Esta página foi traduzida pela API Cloud Translation.

Coletar registros de IOC do ThreatConnect

Compatível com:

Google SecOps SIEM

Esse analisador extrai dados de IOC dos registros JSON da ThreatConnect e os transforma no formato UDM. Ele processa vários tipos de IOC, como host, endereço, arquivo e URL, mapeando campos como pontuações de confiança, descrições e detalhes de entidade para os equivalentes do UDM e categorizando ameaças com base em palavras-chave nos dados de registro.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você tem acesso privilegiado ao ThreatConnect.

Configurar o usuário da API no ThreatConnect

Faça login no ThreatConnect.
Acesse Configurações > Configurações da organização.
Acesse a guia Assinatura nas Configurações da organização.
Clique em Criar usuário da API.
Preencha os campos na janela "Administração de usuários da API":
- Nome: digite o nome do usuário da API.
- Sobrenome: insira o sobrenome do usuário da API.
- Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.
Observação: as funções do sistema disponíveis para usuários da API incluem as seguintes:
Usuário da API: os usuários da API com essa função podem usar todos os endpoints da API ThreatConnect v2 e v3, com exceção dos endpoints de administração da API TC Exchange™ v3.
Administrador do Exchange: os usuários da API com essa função podem usar todos os endpoints da API ThreatConnect v2 e v3, incluindo a AP v3.
- Função da organização: selecione a função da organização do usuário da API.
- Incluir em observações e falsos positivos: selecione a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observação e falsos positivos.
- Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.
- Copie e salve o ID de acesso e a chave secreta.
Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do ThreatConnect

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do ThreatConnect).
Selecione API de terceiros como o Tipo de origem.
Selecione ThreatConnect como o tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
- Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
- Nome do host da API: nome de domínio totalmente qualificado (FQDN, na sigla em inglês) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
- Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.