ThreatConnect IoC 로그 수집

이 파서는 ThreatConnect JSON 로그에서 IOC 데이터를 추출하여 UDM 형식으로 변환합니다. 호스트, 주소, 파일, URL과 같은 다양한 IOC 유형을 처리하고, 신뢰도 점수, 설명, 항목 세부정보와 같은 필드를 상응하는 UDM에 매핑하며, 로그 데이터 내 키워드를 기반으로 위협을 분류합니다.

시작하기 전에

• Google Security Operations 인스턴스가 있는지 확인합니다.
• ThreatConnect에 대한 권한이 있는지 확인합니다.

ThreatConnect에서 API 사용자 구성

1. ThreatConnect에 로그인합니다.
2. 설정 > 조직 설정으로 이동합니다.
3. 조직 설정의 멤버십 탭으로 이동합니다.
4. Create API User(API 사용자 만들기)를 클릭합니다.

5. API 사용자 관리 창의 필드를 작성합니다.

   • 이름: API 사용자의 이름을 입력합니다.
   • 성: API 사용자의 성을 입력합니다.
   • 시스템 역할: Api 사용자 또는 Exchange 관리자 시스템 역할을 선택합니다.
   • 조직 역할: API 사용자의 조직 역할을 선택합니다.
   • 관찰 및 거짓양성에 포함: API 사용자가 제공한 데이터를 관찰 및 거짓양성 수에 포함하도록 체크박스를 선택합니다.
   • 사용 중지됨: 관리자가 로그 무결성을 유지하려는 경우 체크박스를 클릭하여 API 사용자의 계정을 사용 중지합니다.
   • Access ID 및 Secret Key를 복사하여 저장합니다.

6. 저장을 클릭합니다.

ThreatConnect 로그를 수집하도록 Google SecOps에서 피드 구성

1. SIEM 설정 > 피드로 이동합니다.
2. 새로 추가를 클릭합니다.
3. 피드 이름 필드에 피드 이름을 입력합니다 (예: ThreatConnect Logs).
4. 소스 유형으로 서드 파티 API를 선택합니다.
5. 로그 유형으로 ThreatConnect를 선택합니다.
6. 다음을 클릭합니다.
7. 다음 입력 매개변수의 값을 지정합니다.
   • 사용자 이름: 인증할 ThreatConnect 액세스 ID를 입력합니다.
   • Secret: 지정된 사용자의 ThreatConnect 보안 비밀 키를 입력합니다.
   • API 호스트 이름: ThreatConnect 인스턴스의 정규화된 도메인 이름 (FQDN)(예: <myinstance>.threatconnect.com)입니다.
   • 소유자: 소유자가 IOC 모음을 식별하는 모든 소유자 이름입니다.
   • 애셋 네임스페이스: 애셋 네임스페이스입니다.
   • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
8. 다음을 클릭합니다.
9. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.