Mengumpulkan log IOC ThreatConnect

Didukung di:

Parser ini mengekstrak data IOC dari log JSON ThreatConnect dan mengubahnya menjadi format UDM. Fitur ini menangani berbagai jenis IOC seperti Host, Alamat, File, dan URL, memetakan kolom seperti skor keyakinan, deskripsi, dan detail entitas ke UDM yang sesuai, serta mengategorikan ancaman berdasarkan kata kunci dalam data log.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda memiliki akses dengan hak istimewa ke ThreatConnect.

Mengonfigurasi Pengguna API di ThreatConnect

  1. Login ke ThreatConnect.
  2. Buka Setelan > Setelan Org.
  3. Buka tab Langganan di Setelan Organisasi.
  4. Klik Create API User.
  5. Isi kolom di jendela Administrasi Pengguna API:

    • First Name: masukkan nama depan pengguna API.
    • Last Name: masukkan nama belakang pengguna API
    • Peran Sistem: pilih peran Sistem Pengguna API atau Admin Exchange.
    • Peran Organisasi: pilih peran Organisasi pengguna API.
    • Sertakan dalam Pengamatan dan Positif Palsu: centang kotak untuk mengizinkan data yang diberikan oleh pengguna API disertakan dalam jumlah pengamatan dan positif palsu.
    • Nonaktif: klik kotak centang untuk menonaktifkan akun pengguna API jika Administrator ingin mempertahankan integritas log.
    • Salin dan simpan ID Akses dan Kunci Rahasia.
  6. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log ThreatConnect

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log ThreatConnect).
  4. Pilih Third Party API sebagai Source type.
  5. Pilih ThreatConnect sebagai jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Nama pengguna: masukkan ID Akses ThreatConnect untuk mengautentikasi.
    • Secret: masukkan Kunci Rahasia ThreatConnect untuk pengguna yang ditentukan.
    • Nama Host API: Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dari instance ThreatConnect Anda (misalnya, <myinstance>.threatconnect.com).
    • Pemilik: semua nama pemilik, tempat pemilik mengidentifikasi kumpulan IOC.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.