Coletar registros de IOC do ThreatConnect

Compatível com:

Esse analisador extrai dados de IOC dos registros JSON da ThreatConnect e os transforma no formato UDM. Ele processa vários tipos de IOC, como host, endereço, arquivo e URL, mapeando campos como pontuações de confiança, descrições e detalhes de entidade para os equivalentes do UDM e categorizando ameaças com base em palavras-chave nos dados de registro.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você tem acesso privilegiado ao ThreatConnect.

Configurar o usuário da API no ThreatConnect

  1. Faça login no ThreatConnect.
  2. Acesse Configurações > Configurações da organização.
  3. Acesse a guia Assinatura nas Configurações da organização.
  4. Clique em Criar usuário da API.
  5. Preencha os campos na janela "Administração de usuários da API":

    • Nome: digite o nome do usuário da API.
    • Sobrenome: insira o sobrenome do usuário da API.
    • Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.
    • Função da organização: selecione a função da organização do usuário da API.
    • Incluir em observações e falsos positivos: selecione a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observação e falsos positivos.
    • Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.
    • Copie e salve o ID de acesso e a chave secreta.
  6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do ThreatConnect

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do ThreatConnect).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione ThreatConnect como o tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
    • Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
    • Nome do host da API: nome de domínio totalmente qualificado (FQDN, na sigla em inglês) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
    • Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.