Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de IOC de ThreatConnect

Compatible con:

Google SecOps SIEM

Este analizador extrae datos de IOC de los registros JSON de ThreatConnect y los transforma en el formato UDM. Controla varios tipos de IOC, como host, dirección, archivo y URL, asigna campos como puntuaciones de confianza, descripciones y detalles de la entidad a sus equivalentes de UDM correspondientes, y clasifica las amenazas en función de palabras clave dentro de los datos de registro.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener acceso con privilegios a ThreatConnect.

Configura el usuario de la API en ThreatConnect

Accede a ThreatConnect.
Ve a Configuración > Configuración de la organización.
Ve a la pestaña Membresía en la Configuración de la organización.
Haz clic en Crear usuario de API.
Completa los campos de la ventana Administración de usuarios de la API:
- Nombre: Ingresa el nombre del usuario de la API.
- Apellido: Ingresa el apellido del usuario de la API.
- Rol del sistema: Selecciona el rol del sistema Usuario de API o Administrador de Exchange.
Nota: Los roles del sistema disponibles para los usuarios de la API incluyen los siguientes:
Usuario de la API: Los usuarios de la API con este rol pueden usar todos los extremos de la API de ThreatConnect v2 y v3, excepto los extremos de administración de TC Exchange™ de la API v3.
Administrador de Exchange: Los usuarios de la API con este rol pueden usar todos los extremos de la API de ThreatConnect v2 y v3, incluido el AP de v3.
- Rol de la organización: Selecciona el rol de la organización del usuario de la API.
- Incluir en observaciones y falsos positivos: Selecciona la casilla de verificación para permitir que los datos que proporciona el usuario de la API se incluyan en los recuentos de observación y falsos positivos.
- Inhabilitada: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador desee conservar la integridad del registro.
- Copia y guarda el ID de acceso y la clave secreta.
Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de ThreatConnect

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de ThreatConnect).
Selecciona API de terceros como el Tipo de origen.
Selecciona ThreatConnect como el tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Nombre de usuario: Ingresa el ID de acceso de ThreatConnect para autenticarte.
- Secreto: Ingresa la clave secreta de ThreatConnect para el usuario especificado.
- Nombre de host de la API: Es el nombre de dominio completamente calificado (FQDN) de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
- Propietarios: Todos los nombres de los propietarios, en los que el propietario identifica una colección de IOC.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.