收集 ThreatConnect IoC 日志

支持的平台:

此解析器会从 ThreatConnect JSON 日志中提取 IOC 数据,并将其转换为 UDM 格式。它可处理各种 IOC 类型(例如主机、地址、文件和网址),将置信度分数、说明和实体详情等字段映射到其对应的 UDM 等效字段,并根据日志数据中的关键字对威胁进行分类。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您拥有对 ThreatConnect 的特权访问权限。

在 ThreatConnect 上配置 API 用户

  1. 登录 ThreatConnect。
  2. 依次前往设置 > 组织设置
  3. 前往组织设置中的会员资格标签页。
  4. 点击 Create API User(创建 API 用户)。
  5. 填写 API 用户管理窗口中的字段:

    • First Name:输入 API 用户的名字。
    • Last Name:输入 API 用户的姓氏
    • 系统角色:选择 Api 用户Exchange 管理员系统角色。
    • 组织角色:选择 API 用户的组织角色。
    • 包含在观察结果和误报中:选中此复选框可允许 API 用户提供的数据包含在观察结果和误报计数中。
    • 已停用:如果管理员希望保留日志完整性,请点击此复选框以停用 API 用户的账号。
    • 复制并保存访问 IDSecret 密钥
  6. 点击保存

在 Google SecOps 中配置 Feed 以提取 ThreatConnect 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 ThreatConnect 日志)。
  4. 选择第三方 API 作为来源类型
  5. 选择 ThreatConnect 作为日志类型。
  6. 点击下一步
  7. 为以下输入参数指定值:
    • 用户名:输入要以哪个身份进行身份验证的 ThreatConnect Access ID。
    • Secret:输入指定用户的 ThreatConnect Secret Key。
    • API 主机名:ThreatConnect 实例的完全限定域名 (FQDN)(例如 <myinstance>.threatconnect.com)。
    • 所有者:所有所有者名称,其中所有者用于标识一组 IOC。
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看 Feed 配置,然后点击提交

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。