Raccogliere i log degli indicatori di compromissione (IOC) di ThreatConnect

Supportato in:

Questo parser estrae i dati IOC dai log JSON di ThreatConnect e li trasforma nel formato UDM. Gestisce vari tipi di indicatori di compromissione, come host, indirizzi, file e URL, mappando campi come punteggi di attendibilità, descrizioni e dettagli delle entità ai corrispondenti equivalenti UDM e classifica le minacce in base alle parole chiave all'interno dei dati dei log.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di disporre dell'accesso con privilegi a ThreatConnect.

Configurare l'utente API su ThreatConnect

  1. Accedi a ThreatConnect.
  2. Vai a Impostazioni > Impostazioni dell'organizzazione.
  3. Vai alla scheda Abbonamento in Impostazioni dell'organizzazione.
  4. Fai clic su Crea utente API.
  5. Compila i campi nella finestra Amministrazione utenti API:

    • Nome: inserisci il nome dell'utente dell'API.
    • Cognome: inserisci il cognome dell'utente dell'API
    • Ruolo di sistema: seleziona il ruolo di sistema Utente API o Amministratore Exchange.
    • Ruolo dell'organizzazione: seleziona il ruolo dell'organizzazione dell'utente dell'API.
    • Includi in Osservazioni e falsi positivi: seleziona la casella di controllo per consentire l'inclusione dei dati forniti dall'utente dell'API nei conteggi di osservazioni e falsi positivi.
    • Disattivato: fai clic sulla casella di controllo per disattivare l'account di un utente API nel caso in cui l'amministratore voglia mantenere l'integrità dei log.
    • Copia e salva l'ID di accesso e la chiave segreta.
  6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di ThreatConnect

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di ThreatConnect).
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona ThreatConnect come tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Nome utente: inserisci l'ID accesso ThreatConnect con cui eseguire l'autenticazione.
    • Secret: inserisci la chiave segreta di ThreatConnect per l'utente specificato.
    • Nome host dell'API: nome di dominio completo (FQDN) dell'istanza ThreatConnect (ad es. <myinstance>.threatconnect.com).
    • Proprietari: tutti i nomi dei proprietari, dove il proprietario identifica una raccolta di indicatori di compromissione.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.