ThreatConnect-IOC-Logs erfassen
Dieser Parser extrahiert IOC-Daten aus ThreatConnect-JSON-Logs und wandelt sie in das UDM-Format um. Es werden verschiedene IOC-Typen wie Host, Adresse, Datei und URL verarbeitet. Felder wie Konfidenzwerte, Beschreibungen und Entitätsdetails werden den entsprechenden UDM-Entsprechungen zugeordnet und Bedrohungen werden anhand von Schlüsselwörtern in den Logdaten kategorisiert.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google Security Operations-Instanz.
- Privilegierter Zugriff auf ThreatConnect.
API-Nutzer in ThreatConnect konfigurieren
- Melden Sie sich in ThreatConnect an.
- Rufen Sie die Einstellungen > Organisationseinstellungen auf.
- Rufen Sie in den Organisationseinstellungen den Tab Mitgliedschaft auf.
- Klicken Sie auf API-Nutzer erstellen.
Füllen Sie die Felder im Fenster „API-Nutzerverwaltung“ aus:
- Vorname: Geben Sie den Vornamen des API-Nutzers ein.
- Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
- Systemrolle: Wählen Sie die Systemrolle API-Nutzer oder Exchange-Administrator aus.
- Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.
- In Beobachtungen und Falschmeldungen einbeziehen: Wählen Sie das Kästchen aus, damit Daten, die vom API-Nutzer bereitgestellt werden, in die Anzahl der Beobachtungen und Falschmeldungen einbezogen werden.
- Deaktiviert: Klicken Sie auf das Kästchen, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.
- Kopieren und speichern Sie die Zugriffs-ID und den geheimen Schlüssel.
Klicken Sie auf Speichern.
Feeds einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. ThreatConnect Logs (ThreatConnect-Protokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie ThreatConnect als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID für die Authentifizierung ein.
- Secret: Geben Sie den ThreatConnect-Secret Key für den angegebenen Nutzer ein.
- API-Hostname: Vollständig qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz (z. B.
<myinstance>.threatconnect.com
). - Inhaber: Alle Inhabernamen, wobei der Inhaber eine Sammlung von IOCs identifiziert.
- Klicken Sie auf Weiter.
- Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten