收集 ThreatConnect IOC 日志

此解析器从 ThreatConnect JSON 日志中提取 IOC 数据，并将其转换为 UDM 格式。它可处理各种 IOC 类型，例如主机、地址、文件和网址，将置信度分数、说明和实体详细信息等字段映射到相应的 UDM 等效项，并根据日志数据中的关键字对威胁进行分类。

准备工作

确保您满足以下前提条件：

• Google Security Operations 实例。
• 对 ThreatConnect 的特权访问权限。

在 ThreatConnect 上配置 API 用户

1. 登录 ThreatConnect。
2. 依次前往设置 > 组织设置。
3. 前往组织设置中的会员资格标签页。
4. 点击 Create API User。

5. 填写“API 用户管理”窗口中的字段：

   • First Name：输入 API 用户的名字。
   • Last Name：输入 API 用户的姓氏
   • 系统角色：选择 API 用户或 Exchange 管理员系统角色。
   • 组织角色：选择 API 用户的组织角色。
   • 纳入观测结果和误报：选中此复选框可将 API 用户提供的数据纳入观测结果和误报计数中。
   • 已停用：如果管理员想要保持日志完整性，请点击相应复选框以停用 API 用户的账号。
   • 复制并保存访问 ID 和密钥。

6. 点击保存。

设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在 Feed 名称字段中，输入 Feed 的名称，例如 ThreatConnect 日志。
5. 选择第三方 API 作为来源类型。
6. 选择 ThreatConnect 作为日志类型。
7. 点击下一步。
8. 为以下输入参数指定值：
   • 用户名：输入要用于身份验证的 ThreatConnect 访问 ID。
   • Secret：输入指定用户的 ThreatConnect 密钥。
   • API 主机名：ThreatConnect 实例的完全限定域名 (FQDN)，例如 <myinstance>.threatconnect.com。
   • 所有者：所有者名称，其中所有者用于标识 IOC 的集合。
9. 点击下一步。
10. 在最终确定界面中检查 Feed 配置，然后点击提交。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。