이 파서는 ThreatConnect JSON 로그에서 IOC 데이터를 추출하여 UDM 형식으로 변환합니다. 호스트, 주소, 파일, URL과 같은 다양한 IOC 유형을 처리하고, 신뢰도 점수, 설명, 엔티티 세부정보와 같은 필드를 해당 UDM에 매핑하며, 로그 데이터 내의 키워드를 기반으로 위협을 분류합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
Google Security Operations 인스턴스입니다.
ThreatConnect에 대한 액세스 권한 관리
ThreatConnect에서 API 사용자 구성
ThreatConnect에 로그인합니다.
설정>조직 설정으로 이동합니다.
조직 설정의 멤버십 탭으로 이동합니다.
Create API User(API 사용자 만들기)를 클릭합니다.
API 사용자 관리 창의 필드를 작성합니다.
이름: API 사용자의 이름을 입력합니다.
성: API 사용자의 성을 입력합니다.
시스템 역할: API 사용자 또는 Exchange 관리자 시스템 역할을 선택합니다.
조직 역할: API 사용자의 조직 역할을 선택합니다.
관찰 및 거짓양성에 포함: API 사용자가 제공한 데이터를 관찰 및 거짓양성 수에 포함하려면 체크박스를 선택합니다.
사용 중지됨: 관리자가 로그 무결성을 유지하려는 경우 체크박스를 클릭하여 API 사용자의 계정을 사용 중지합니다.
Access ID(액세스 ID)와 Secret Key(보안 비밀 키)를 복사하여 저장합니다.
저장을 클릭합니다.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
SIEM 설정>피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: ThreatConnect 로그).
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 ThreatConnect를 선택합니다.
다음을 클릭합니다.
다음 입력 파라미터의 값을 지정합니다.
사용자 이름: 인증할 ThreatConnect 액세스 ID를 입력합니다.
Secret: 지정된 사용자의 ThreatConnect 보안 키를 입력합니다.
API 호스트 이름: ThreatConnect 인스턴스의 정규화된 도메인 이름 (FQDN)(예: <myinstance>.threatconnect.com)입니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-10(UTC)"],[[["\u003cp\u003eThis content describes how to collect and ingest ThreatConnect IOC logs into Google Security Operations (SecOps), utilizing a parser that transforms the data into the Unified Data Model (UDM) format.\u003c/p\u003e\n"],["\u003cp\u003eThe process requires privileged access to both Google SecOps and ThreatConnect, followed by configuring an API user within ThreatConnect to generate necessary authentication credentials.\u003c/p\u003e\n"],["\u003cp\u003eThe configuration of an API user involves defining roles such as "Api User" or "Exchange Admin," setting user details, and saving the generated Access ID and Secret Key for later use in Google SecOps.\u003c/p\u003e\n"],["\u003cp\u003eSetting up a feed in Google SecOps involves specifying the ThreatConnect log source, providing the API credentials and instance details, and defining parameters such as Owners and Asset namespace for the log ingestion.\u003c/p\u003e\n"],["\u003cp\u003eThe ThreatConnect parser is able to handle various types of IOC's such as Host, Address, File, and URL, and will map them to the UDM equivalent while categorizing the threats based on keywords found within the log data.\u003c/p\u003e\n"]]],[],null,["Collect ThreatConnect IOC logs \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis parser extracts IOC data from ThreatConnect JSON logs and transforms it into the UDM format. It handles various IOC types such as Host, Address, File, and URL, mapping fields like confidence scores, descriptions, and entity details to their corresponding UDM equivalents, and categorizes threats based on keywords within the log data.\n\nBefore you begin\n\nEnsure that you have the following prerequisites:\n\n- Google Security Operations instance.\n- Privileged access to ThreatConnect.\n\nConfigure API User on ThreatConnect\n\n1. Sign in to ThreatConnect.\n2. Go to **Settings** \\\u003e **Org Settings**.\n3. Go to the **Membership** tab in the **Organization Settings**.\n4. Click **Create API User**.\n5. Fill out the fields on the API User Administration window:\n\n - **First Name**: enter the API user's first name.\n - **Last Name**: enter the API user's last name\n - **System Role** : select the **Api User** or **Exchange Admin** System role.\n\n | **Note:** Available System roles for API users include the following: \n | Api User: API users with this role can use all ThreatConnect v2 and v3 API endpoints, with the exception of the v3 API TC Exchange™ administration endpoints. \n | Exchange Admin: API users with this role can use all ThreatConnect v2 and v3 API endpoints, including the v3 AP.\n - **Organization Role**: select the API user's Organization role.\n - **Include in Observations and False Positives**: select the checkbox to allow data provided by the API user to be included in observation and false-positive counts.\n - **Disabled**: click the checkbox to disable an API user's account in the event that the Administrator wants to retain log integrity.\n - Copy and save the **Access ID** and **Secret Key**.\n6. Click **Save**.\n\nSet up feeds\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings** \\\u003e **Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed; for example, **ThreatConnect Logs**.\n5. Select **Third Party API** as the **Source type**.\n6. Select the **ThreatConnect** as the log type.\n7. Click **Next**.\n8. Specify values for the following input parameters:\n - **Username**: enter the ThreatConnect Access ID to authenticate as.\n - **Secret**: enter the ThreatConnect Secret Key for the specified user.\n - **API Hostname** : Fully Qualified Domain Name (FQDN) of your ThreatConnect instance (for example, `\u003cmyinstance\u003e.threatconnect.com`).\n - **Owners**: all owner names, where the owner identifies a collection of IOCs.\n9. Click **Next**.\n10. Review the feed configuration in the **Finalize** screen, and then click **Submit**.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]