收集 ThreatConnect IoC 日志
支持的平台:
Google SecOps
SIEM
此解析器会从 ThreatConnect JSON 日志中提取 IOC 数据,并将其转换为 UDM 格式。它可处理各种 IOC 类型(例如主机、地址、文件和网址),将置信度分数、说明和实体详情等字段映射到其对应的 UDM 等效字段,并根据日志数据中的关键字对威胁进行分类。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您拥有对 ThreatConnect 的特权访问权限。
在 ThreatConnect 上配置 API 用户
- 登录 ThreatConnect。
- 依次前往设置 > 组织设置。
- 前往组织设置中的会员资格标签页。
- 点击 Create API User(创建 API 用户)。
填写 API 用户管理窗口中的字段:
- First Name:输入 API 用户的名字。
- Last Name:输入 API 用户的姓氏
- 系统角色:选择 Api 用户或 Exchange 管理员系统角色。
- 组织角色:选择 API 用户的组织角色。
- 包含在观察结果和误报中:选中此复选框可允许 API 用户提供的数据包含在观察结果和误报计数中。
- 已停用:如果管理员希望保留日志完整性,请点击此复选框以停用 API 用户的账号。
- 复制并保存访问 ID 和Secret 密钥。
点击保存。
在 Google SecOps 中配置 Feed 以提取 ThreatConnect 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 ThreatConnect 日志)。
- 选择第三方 API 作为来源类型。
- 选择 ThreatConnect 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 用户名:输入要以哪个身份进行身份验证的 ThreatConnect Access ID。
- Secret:输入指定用户的 ThreatConnect Secret Key。
- API 主机名:ThreatConnect 实例的完全限定域名 (FQDN)(例如
<myinstance>.threatconnect.com
)。 - 所有者:所有所有者名称,其中所有者用于标识一组 IOC。
- 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。