Raccogliere i log degli indicatori di compromissione (IOC) di ThreatConnect
Questo parser estrae i dati IOC dai log JSON di ThreatConnect e li trasforma nel formato UDM. Gestisce vari tipi di indicatori di compromissione, come host, indirizzi, file e URL, mappando campi come punteggi di attendibilità, descrizioni e dettagli delle entità ai corrispondenti equivalenti UDM e classifica le minacce in base alle parole chiave all'interno dei dati dei log.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di disporre dell'accesso con privilegi a ThreatConnect.
Configurare l'utente API su ThreatConnect
- Accedi a ThreatConnect.
- Vai a Impostazioni > Impostazioni dell'organizzazione.
- Vai alla scheda Abbonamento in Impostazioni dell'organizzazione.
- Fai clic su Crea utente API.
Compila i campi nella finestra Amministrazione utenti API:
- Nome: inserisci il nome dell'utente dell'API.
- Cognome: inserisci il cognome dell'utente dell'API
- Ruolo di sistema: seleziona il ruolo di sistema Utente API o Amministratore Exchange.
- Ruolo dell'organizzazione: seleziona il ruolo dell'organizzazione dell'utente dell'API.
- Includi in Osservazioni e falsi positivi: seleziona la casella di controllo per consentire l'inclusione dei dati forniti dall'utente dell'API nei conteggi di osservazioni e falsi positivi.
- Disattivato: fai clic sulla casella di controllo per disattivare l'account di un utente API nel caso in cui l'amministratore voglia mantenere l'integrità dei log.
- Copia e salva l'ID di accesso e la chiave segreta.
Fai clic su Salva.
Configura un feed in Google SecOps per importare i log di ThreatConnect
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di ThreatConnect).
- Seleziona API di terze parti come Tipo di origine.
- Seleziona ThreatConnect come tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID accesso ThreatConnect con cui eseguire l'autenticazione.
- Secret: inserisci la chiave segreta di ThreatConnect per l'utente specificato.
- Nome host dell'API: nome di dominio completo (FQDN) dell'istanza ThreatConnect (ad es.
<myinstance>.threatconnect.com
). - Proprietari: tutti i nomi dei proprietari, dove il proprietario identifica una raccolta di indicatori di compromissione.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.