收集 ThreatConnect IOC 日志
支持的语言:
Google SecOps
SIEM
此解析器从 ThreatConnect JSON 日志中提取 IOC 数据,并将其转换为 UDM 格式。它可处理各种 IOC 类型,例如主机、地址、文件和网址,将置信度分数、说明和实体详细信息等字段映射到相应的 UDM 等效项,并根据日志数据中的关键字对威胁进行分类。
准备工作
确保您满足以下前提条件:
- Google Security Operations 实例。
- 对 ThreatConnect 的特权访问权限。
在 ThreatConnect 上配置 API 用户
- 登录 ThreatConnect。
- 依次前往设置 > 组织设置。
- 前往组织设置中的会员资格标签页。
- 点击 Create API User。
填写“API 用户管理”窗口中的字段:
- First Name:输入 API 用户的名字。
- Last Name:输入 API 用户的姓氏
- 系统角色:选择 API 用户或 Exchange 管理员系统角色。
- 组织角色:选择 API 用户的组织角色。
- 纳入观测结果和误报:选中此复选框可将 API 用户提供的数据纳入观测结果和误报计数中。
- 已停用:如果管理员想要保持日志完整性,请点击相应复选框以停用 API 用户的账号。
- 复制并保存访问 ID 和密钥。
点击保存。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 ThreatConnect 日志。
- 选择第三方 API 作为来源类型。
- 选择 ThreatConnect 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 用户名:输入要用于身份验证的 ThreatConnect 访问 ID。
- Secret:输入指定用户的 ThreatConnect 密钥。
- API 主机名:ThreatConnect 实例的完全限定域名 (FQDN),例如
<myinstance>.threatconnect.com
。 - 所有者:所有者名称,其中所有者用于标识 IOC 的集合。
- 点击下一步。
- 在最终确定界面中检查 Feed 配置,然后点击提交。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。