Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log IOC ThreatConnect

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak data IOC dari log JSON ThreatConnect dan mengubahnya menjadi format UDM. Fitur ini menangani berbagai jenis IOC seperti Host, Alamat, File, dan URL, memetakan kolom seperti skor keyakinan, deskripsi, dan detail entitas ke UDM yang sesuai, serta mengategorikan ancaman berdasarkan kata kunci dalam data log.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki akses dengan hak istimewa ke ThreatConnect.

Mengonfigurasi Pengguna API di ThreatConnect

Login ke ThreatConnect.
Buka Setelan > Setelan Org.
Buka tab Langganan di Setelan Organisasi.
Klik Create API User.
Isi kolom di jendela Administrasi Pengguna API:
- First Name: masukkan nama depan pengguna API.
- Last Name: masukkan nama belakang pengguna API
- Peran Sistem: pilih peran Sistem Pengguna API atau Admin Exchange.
Catatan: Peran Sistem yang tersedia untuk pengguna API mencakup hal berikut:
Pengguna API: Pengguna API dengan peran ini dapat menggunakan semua endpoint API ThreatConnect v2 dan v3, dengan pengecualian endpoint administrasi TC Exchange™ API v3.
Exchange Admin: Pengguna API dengan peran ini dapat menggunakan semua endpoint ThreatConnect API v2 dan v3, termasuk AP v3.
- Peran Organisasi: pilih peran Organisasi pengguna API.
- Sertakan dalam Pengamatan dan Positif Palsu: centang kotak untuk mengizinkan data yang diberikan oleh pengguna API disertakan dalam jumlah pengamatan dan positif palsu.
- Nonaktif: klik kotak centang untuk menonaktifkan akun pengguna API jika Administrator ingin mempertahankan integritas log.
- Salin dan simpan ID Akses dan Kunci Rahasia.
Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log ThreatConnect

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log ThreatConnect).
Pilih Third Party API sebagai Source type.
Pilih ThreatConnect sebagai jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Nama pengguna: masukkan ID Akses ThreatConnect untuk mengautentikasi.
- Secret: masukkan Kunci Rahasia ThreatConnect untuk pengguna yang ditentukan.
- Nama Host API: Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dari instance ThreatConnect Anda (misalnya, <myinstance>.threatconnect.com).
- Pemilik: semua nama pemilik, tempat pemilik mengidentifikasi kumpulan IOC.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.