收集 ThreatConnect IoC 日志

此解析器会从 ThreatConnect JSON 日志中提取 IOC 数据，并将其转换为 UDM 格式。它可处理各种 IOC 类型（例如主机、地址、文件和网址），将置信度分数、说明和实体详情等字段映射到其对应的 UDM 等效字段，并根据日志数据中的关键字对威胁进行分类。

准备工作

• 确保您有一个 Google Security Operations 实例。
• 确保您拥有对 ThreatConnect 的特权访问权限。

在 ThreatConnect 上配置 API 用户

1. 登录 ThreatConnect。
2. 依次前往设置 > 组织设置。
3. 前往组织设置中的会员资格标签页。
4. 点击 Create API User（创建 API 用户）。

5. 填写 API 用户管理窗口中的字段：

   • First Name：输入 API 用户的名字。
   • Last Name：输入 API 用户的姓氏
   • 系统角色：选择 Api 用户或 Exchange 管理员系统角色。
   • 组织角色：选择 API 用户的组织角色。
   • 包含在观察结果和误报中：选中此复选框可允许 API 用户提供的数据包含在观察结果和误报计数中。
   • 已停用：如果管理员希望保留日志完整性，请点击此复选框以停用 API 用户的账号。
   • 复制并保存访问 ID 和Secret 密钥。

6. 点击保存。

在 Google SecOps 中配置 Feed 以提取 ThreatConnect 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 ThreatConnect 日志）。
4. 选择第三方 API 作为来源类型。
5. 选择 ThreatConnect 作为日志类型。
6. 点击下一步。
7. 为以下输入参数指定值：
   • 用户名：输入要以哪个身份进行身份验证的 ThreatConnect Access ID。
   • Secret：输入指定用户的 ThreatConnect Secret Key。
   • API 主机名：ThreatConnect 实例的完全限定域名 (FQDN)（例如 <myinstance>.threatconnect.com）。
   • 所有者：所有所有者名称，其中所有者用于标识一组 IOC。
   • 资源命名空间：资源命名空间。
   • 提取标签：应用于此 Feed 中的事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看 Feed 配置，然后点击提交。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。