Collecter les journaux IOC ThreatConnect

Compatible avec:

Cet analyseur extrait les données d'indicateurs de compromission des journaux JSON ThreatConnect et les transforme au format UDM. Il gère différents types d'IOC tels que l'hôte, l'adresse, le fichier et l'URL, en mappant des champs tels que les scores de confiance, les descriptions et les détails des entités à leurs équivalents UDM correspondants, et en catégorisant les menaces en fonction des mots clés dans les données de journal.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous de disposer d'un accès privilégié à ThreatConnect.

Configurer l'utilisateur de l'API sur ThreatConnect

  1. Connectez-vous à ThreatConnect.
  2. Accédez à Paramètres > Paramètres de l'organisation.
  3. Accédez à l'onglet Abonnement dans les Paramètres de l'organisation.
  4. Cliquez sur Créer un utilisateur de l'API.
  5. Renseignez les champs de la fenêtre "Administration des utilisateurs de l'API" :

    • Prénom: saisissez le prénom de l'utilisateur de l'API.
    • Nom: saisissez le nom de l'utilisateur de l'API.
    • Rôle système: sélectionnez le rôle système Utilisateur de l'API ou Exchange Admin.
    • Rôle dans l'organisation: sélectionnez le rôle de l'utilisateur de l'API dans l'organisation.
    • Inclure dans les observations et les faux positifs: cochez cette case pour autoriser l'inclusion des données fournies par l'utilisateur de l'API dans les observations et les faux positifs.
    • Désactivé: cochez cette case pour désactiver le compte d'un utilisateur de l'API si l'administrateur souhaite conserver l'intégrité des journaux.
    • Copiez et enregistrez l'ID d'accès et la clé secrète.
  6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux ThreatConnect

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux ThreatConnect).
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez ThreatConnect comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Nom d'utilisateur: saisissez l'ID d'accès ThreatConnect à utiliser pour l'authentification.
    • Secret: saisissez la clé secrète ThreatConnect de l'utilisateur spécifié.
    • Nom d'hôte de l'API: nom de domaine complet (FQDN) de votre instance ThreatConnect (par exemple, <myinstance>.threatconnect.com).
    • Owners (Propriétaires) : tous les noms de propriétaires, où le propriétaire identifie une collection d'IOC.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.