Recopila registros de IOC de ThreatConnect
Este analizador extrae datos de IOC de los registros JSON de ThreatConnect y los transforma en el formato UDM. Controla varios tipos de IOC, como host, dirección, archivo y URL, asigna campos como puntuaciones de confianza, descripciones y detalles de la entidad a sus equivalentes de UDM correspondientes, y clasifica las amenazas en función de palabras clave dentro de los datos de registro.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de tener acceso con privilegios a ThreatConnect.
Configura el usuario de la API en ThreatConnect
- Accede a ThreatConnect.
- Ve a Configuración > Configuración de la organización.
- Ve a la pestaña Membresía en la Configuración de la organización.
- Haz clic en Crear usuario de API.
Completa los campos de la ventana Administración de usuarios de la API:
- Nombre: Ingresa el nombre del usuario de la API.
- Apellido: Ingresa el apellido del usuario de la API.
- Rol del sistema: Selecciona el rol del sistema Usuario de API o Administrador de Exchange.
- Rol de la organización: Selecciona el rol de la organización del usuario de la API.
- Incluir en observaciones y falsos positivos: Selecciona la casilla de verificación para permitir que los datos que proporciona el usuario de la API se incluyan en los recuentos de observación y falsos positivos.
- Inhabilitada: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador desee conservar la integridad del registro.
- Copia y guarda el ID de acceso y la clave secreta.
Haz clic en Guardar.
Configura un feed en Google SecOps para transferir registros de ThreatConnect
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de ThreatConnect).
- Selecciona API de terceros como el Tipo de origen.
- Selecciona ThreatConnect como el tipo de registro.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- Nombre de usuario: Ingresa el ID de acceso de ThreatConnect para autenticarte.
- Secreto: Ingresa la clave secreta de ThreatConnect para el usuario especificado.
- Nombre de host de la API: Es el nombre de dominio completamente calificado (FQDN) de tu instancia de ThreatConnect (por ejemplo,
<myinstance>.threatconnect.com
). - Propietarios: Todos los nombres de los propietarios, en los que el propietario identifica una colección de IOC.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- Haz clic en Siguiente.
- Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.