ThreatConnect IoC のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このパーサーは、ThreatConnect JSON ログから IOC データを抽出し、UDM 形式に変換します。ホスト、アドレス、ファイル、URL などのさまざまな IOC タイプを処理し、信頼スコア、説明、エンティティの詳細などのフィールドを対応する UDM の同等物にマッピングします。また、ログデータ内のキーワードに基づいて脅威を分類します。
始める前に
次の前提条件を満たしていることを確認します。
- Google Security Operations インスタンス。
- ThreatConnect への特権アクセス。
ThreatConnect で API ユーザーを構成する
- ThreatConnect にログインします。
- [Settings] > [Org Settings] に移動します。
- [Organization Settings] の [Membership] タブに移動します。
- [Create API User] をクリックします。
[API User Administration](API ユーザー管理)ウィンドウのフィールドに入力します。
- First Name: API ユーザーの名を入力します。
- Last Name: API ユーザーの姓を入力します。
- System Role: [Api User] または [Exchange Admin] のシステムロールを選択します。
- Organization Role: API ユーザーの組織ロールを選択します。
- Include in Observations and False Positives: API ユーザーから提供されたデータをモニタリングと誤検出のカウントに含めるには、チェックボックスをオンにします。
- Disabled: 管理者がログの完全性を保持する場合は、チェックボックスをオンにして API ユーザーのアカウントを無効にします。
- [アクセス ID] と [シークレット キー] の値をコピーして保存します。
[保存] をクリックします。
フィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: ThreatConnect Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- ログタイプとして [ThreatConnect] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Username: 認証に使用する ThreatConnect アクセス ID を入力します。
- Secret: 指定したユーザーの ThreatConnect 秘密鍵を入力します。
- API Hostname: ThreatConnect インスタンスの完全修飾ドメイン名(FQDN)(例:
<myinstance>.threatconnect.com)。 - Owners: すべてのオーナー名。オーナーは IOC のコレクションを識別します。
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。