Coletar registros de IOC do ThreatConnect
Esse analisador extrai dados de IOC dos registros JSON da ThreatConnect e os transforma no formato UDM. Ele processa vários tipos de IOC, como host, endereço, arquivo e URL, mapeando campos como pontuações de confiança, descrições e detalhes de entidade para os equivalentes do UDM e categorizando ameaças com base em palavras-chave nos dados de registro.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Verifique se você tem acesso privilegiado ao ThreatConnect.
Configurar o usuário da API no ThreatConnect
- Faça login no ThreatConnect.
- Acesse Configurações > Configurações da organização.
- Acesse a guia Assinatura nas Configurações da organização.
- Clique em Criar usuário da API.
Preencha os campos na janela "Administração de usuários da API":
- Nome: digite o nome do usuário da API.
- Sobrenome: insira o sobrenome do usuário da API.
- Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.
- Função da organização: selecione a função da organização do usuário da API.
- Incluir em observações e falsos positivos: selecione a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observação e falsos positivos.
- Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.
- Copie e salve o ID de acesso e a chave secreta.
Clique em Salvar.
Configurar um feed no Google SecOps para ingerir registros do ThreatConnect
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do ThreatConnect).
- Selecione API de terceiros como o Tipo de origem.
- Selecione ThreatConnect como o tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
- Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
- Nome do host da API: nome de domínio totalmente qualificado (FQDN, na sigla em inglês) da sua instância do ThreatConnect (por exemplo,
<myinstance>.threatconnect.com
). - Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.