ThreatConnect IoC ログを収集する

このパーサーは、ThreatConnect JSON ログから IOC データを抽出し、UDM 形式に変換します。ホスト、アドレス、ファイル、URL などのさまざまな IOC タイプを処理し、信頼スコア、説明、エンティティの詳細などのフィールドを対応する UDM の同等のフィールドにマッピングし、ログデータ内のキーワードに基づいて脅威を分類します。

始める前に

• Google Security Operations インスタンスがあることを確認します。
• ThreatConnect への特権アクセス権があることを確認します。

ThreatConnect で API ユーザーを構成する

1. ThreatConnect にログインします。
2. [設定] > [組織の設定] に移動します。
3. [組織の設定] の [メンバーシップ] タブに移動します。
4. [Create API User] をクリックします。

5. [API User Administration] ウィンドウのフィールドに入力します。

   • First Name: API ユーザーの名を入力します。
   • Last Name: API ユーザーの姓を入力します。
   • システムロール: [Api User] または [Exchange Admin] のシステムロールを選択します。
   • 組織ロール: API ユーザーの組織ロールを選択します。
   • モニタリングと誤検出に含める: API ユーザーから提供されたデータをモニタリングと誤検出のカウントに含めるには、チェックボックスをオンにします。
   • 無効: 管理者がログの完全性を保持する場合は、チェックボックスをオンにして API ユーザーのアカウントを無効にします。
   • [Access ID] と [Secret Key] の値をコピーして保存します。

6. [保存] をクリックします。

ThreatConnect ログを取り込むように Google SecOps でフィードを構成する

1. [SIEM 設定] > [フィード] に移動します。
2. [新しく追加] をクリックします。
3. [フィード名] フィールドに、フィードの名前を入力します（例: ThreatConnect ログ）。
4. [ソースタイプ] として [サードパーティ API] を選択します。
5. ログタイプとして [ThreatConnect] を選択します。
6. [次へ] をクリックします。
7. 次の入力パラメータの値を指定します。
   • ユーザー名: 認証に使用する ThreatConnect アクセス ID を入力します。
   • シークレット: 指定したユーザーの ThreatConnect シークレット キーを入力します。
   • API ホスト名: ThreatConnect インスタンスの完全修飾ドメイン名（FQDN）（例: <myinstance>.threatconnect.com）。
   • オーナー: すべてのオーナー名。オーナーは IOC のコレクションを識別します。
   • アセットの名前空間: アセットの名前空間。
   • 取り込みラベル: このフィードのイベントに適用されるラベル。
8. [次へ] をクリックします。
9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。