Recopila registros de IOC de ThreatConnect

Compatible con:

Este analizador extrae datos de IOC de los registros JSON de ThreatConnect y los transforma en el formato UDM. Controla varios tipos de IOC, como host, dirección, archivo y URL, asigna campos como puntuaciones de confianza, descripciones y detalles de la entidad a sus equivalentes de UDM correspondientes, y clasifica las amenazas en función de palabras clave dentro de los datos de registro.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de tener acceso con privilegios a ThreatConnect.

Configura el usuario de la API en ThreatConnect

  1. Accede a ThreatConnect.
  2. Ve a Configuración > Configuración de la organización.
  3. Ve a la pestaña Membresía en la Configuración de la organización.
  4. Haz clic en Crear usuario de API.
  5. Completa los campos de la ventana Administración de usuarios de la API:

    • Nombre: Ingresa el nombre del usuario de la API.
    • Apellido: Ingresa el apellido del usuario de la API.
    • Rol del sistema: Selecciona el rol del sistema Usuario de API o Administrador de Exchange.
    • Rol de la organización: Selecciona el rol de la organización del usuario de la API.
    • Incluir en observaciones y falsos positivos: Selecciona la casilla de verificación para permitir que los datos que proporciona el usuario de la API se incluyan en los recuentos de observación y falsos positivos.
    • Inhabilitada: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador desee conservar la integridad del registro.
    • Copia y guarda el ID de acceso y la clave secreta.
  6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de ThreatConnect

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de ThreatConnect).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona ThreatConnect como el tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Nombre de usuario: Ingresa el ID de acceso de ThreatConnect para autenticarte.
    • Secreto: Ingresa la clave secreta de ThreatConnect para el usuario especificado.
    • Nombre de host de la API: Es el nombre de dominio completamente calificado (FQDN) de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
    • Propietarios: Todos los nombres de los propietarios, en los que el propietario identifica una colección de IOC.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.