このページは Cloud Translation API によって翻訳されました。

Anomali ThreatStream IOC のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、API を使用して Anomali ThreatStream IOC ログを Google Security Operations に取り込む方法について説明します。パーサーは、IOC データを JSON または CEF 形式から統合データモデル（UDM）に変換します。このコードは、まず入力を JSON として解析しようとします。解析に失敗した場合は、「CEF:」接頭辞を確認して CEF メッセージとして処理し、IOC 属性を抽出して UDM フィールドにマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Anomali ThreatStream エンタープライズテナントへの特権アクセス

専用の API ユーザーを作成する

ThreatStream にログインします。Anomali Enterprise を使用している場合は、従来の UI に切り替えます。
[管理> ユーザー] に移動します。
[+ ユーザーを追加] をクリックします（または、既存のサービスアカウントを選択します）。
次の情報を入力します。
- メール: サービスアカウントのメールアドレス（例: anomali_ioc_secops@example.com）。
- 認証ソース: [標準] を選択します。
- ユーザータイプ: [API ユーザー] を選択します。
- ロール: [読み取り専用] を選択します（インジケーターを一覧表示するのに十分です）。
[保存] をクリックします。
新しいアカウントに有効化メールが送信されます。有効化を完了します。

API キーを生成する

API ユーザーとして ThreatStream にログインします。
プロフィールアバター > [My API Keys] に移動します。
[新しい鍵を作成] をクリックします
[説明]（例: Google SecOps export）を入力します。
[保存] をクリックします。
[Key] に表示されるキー値をコピーして安全な場所に保存します。キー値は再度表示されません。

推奨: コレクタ IP を許可リストに登録する

[Administration] > [Organization Settings] に移動します。
[IP 許可リスト] タブを選択します。
[+ Add] をクリックします。
Google SecOps テナントのアドレスを入力し、[保存] をクリックします。

フィードを設定する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Anomali TS IOC）。
[ソースタイプ] として [サードパーティ API] を選択します。
[Anomali] ログタイプを選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ユーザー名: 新しく作成した API ユーザーを入力します。
- Secret: 先ほどコピーした生成済みの API キーを入力します。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`obj.asn`	entity.administrative_domain	未加工ログの asn フィールドは、UDM エンティティオブジェクトの administrative_domain フィールドにマッピングされます。
`obj.confidence`	ioc.confidence_score	未加工ログの信頼度フィールドは、UDM ioc オブジェクトの confidence_score フィールドにマッピングされます。
`obj.country`	entity.location.country_or_region	未加工ログの国フィールドは、UDM エンティティオブジェクトの country_or_region フィールドにマッピングされます。
`obj.created_ts`	entity.metadata.creation_timestamp	未加工ログの created_ts フィールドは、UDM エンティティオブジェクトの creation_timestamp フィールドにマッピングされます。
`obj.created_ts`	ioc.active_timerange.start	未加工ログの created_ts フィールドは、UDM ioc オブジェクトの start フィールドにマッピングされます。
`obj.created_ts`	entity.metadata.threat.first_discovered_time	未加工ログの created_ts フィールドは、UDM 脅威オブジェクトの first_discovered_time フィールドにマッピングされます。
`obj.expiration_ts`	entity.metadata.interval.end_time	未加工ログの expiration_ts フィールドは、UDM エンティティオブジェクトの end_time フィールドにマッピングされます。
`obj.expiration_ts`	ioc.active_timerange.end	未加工ログの expiration_ts フィールドは、UDM ioc オブジェクトの end フィールドにマッピングされます。
`obj.id`	entity.metadata.product_entity_id	未加工ログの id フィールドは、UDM エンティティオブジェクトの product_entity_id フィールドにマッピングされます。
`obj.ip`	entity.entity.ip	ロギングデータの ip フィールドは、UDM エンティティオブジェクトの ip フィールドに統合されます。
`obj.ip`	ioc.ip_and_ports.ip_address	未加工ログの ip フィールドは、UDM ioc オブジェクトの ip_address フィールドにマッピングされます。
`obj.itype`	ioc.categorization	未加工ログの itype フィールドは、UDM ioc オブジェクトの categorization フィールドにマッピングされます。
`obj.itype`	entity.metadata.threat.category_details	未加工ログの itype フィールドは、UDM 脅威オブジェクトの category_details フィールドに統合されます。
`obj.latitude`	entity.entity.location.region_latitude	未加工ログの緯度フィールドは、UDM エンティティオブジェクトの region_latitude フィールドにマッピングされます。
`obj.longitude`	entity.entity.location.region_longitude	未加工ログの経度フィールドは、UDM エンティティオブジェクトの region_longitude フィールドにマッピングされます。
`obj.meta.detail2`	ioc.description	未加工ログの detail2 フィールドは、UDM ioc オブジェクトの description フィールドにマッピングされます。
`obj.meta.detail2`	entity.metadata.threat.description	未加工ログの detail2 フィールドは、UDM の脅威オブジェクトの description フィールドにマッピングされます。
`obj.meta.severity`	ioc.raw_severity	未加工ログの重大度フィールドは、UDM ioc オブジェクトの raw_severity フィールドにマッピングされます。
`obj.meta.severity`	entity.metadata.threat.severity	未加工ログの重大度フィールドは、UDM の脅威オブジェクトの重大度フィールドにマッピングされます。重大度が「very-high」の場合、「CRITICAL」にマッピングされます。
`obj.meta.severity`	entity.metadata.threat.severity_details	未加工ログの重大度フィールドは、UDM 脅威オブジェクトの severity_details フィールドにマッピングされます。
`obj.modified_ts`	entity.metadata.threat.last_updated_time	未加工ログの modified_ts フィールドは、UDM 脅威オブジェクトの last_updated_time フィールドにマッピングされます。
`obj.org`	entity.entity.administrative_domain	未加工ログの org フィールドは、UDM エンティティオブジェクトの administrative_domain フィールドにマッピングされます。
`obj.resource_uri`	entity.metadata.threat.url_back_to_product	未加工ログの resource_uri フィールドは、UDM の脅威オブジェクトの url_back_to_product フィールドにマッピングされます。
`obj.retina_confidence`	entity.metadata.threat.confidence_score	未加工ログの retina_confidence フィールドは、UDM の脅威オブジェクトの confidence_score フィールドにマッピングされます。
`obj.source`	ioc.feed_name	未加工ログのソースフィールドは、UDM ioc オブジェクトの feed_name フィールドにマッピングされます。
`obj.source`	entity.metadata.threat.threat_name	未加工ログのソースフィールドは、UDM 脅威オブジェクトの threat_name フィールドにマッピングされます。
`obj.status`	entity.metadata.threat.threat_status	未加工ログのステータスフィールドは、UDM 脅威オブジェクトの threat_status フィールドにマッピングされます。
`obj.subtype`	entity.entity.file.sha1	サブタイプが「SHA1」の場合、未加工ログのサブタイプフィールドは UDM エンティティオブジェクトの sha1 フィールドにマッピングされます。
`obj.subtype`	entity.entity.file.sha256	サブタイプが「SHA256」の場合、未加工ログのサブタイプフィールドは UDM エンティティオブジェクトの sha256 フィールドにマッピングされます。
`obj.tags`	entity.metadata.source_labels	未加工ログの tags フィールドは、UDM エンティティオブジェクトの source_labels フィールドにマッピングされます。
`obj.tags.id`	entity.metadata.source_labels	未加工ログの tags 配列の id フィールドは、UDM エンティティオブジェクトの source_labels フィールドにマッピングされます。
`obj.tags.name`	entity.metadata.source_labels	未加工ログのタグ配列の name フィールドは、UDM エンティティオブジェクトの source_labels フィールドにマッピングされます。
`obj.threatscore`	entity.metadata.threat.risk_score	未加工ログの threatscore フィールドは、UDM 脅威オブジェクトの risk_score フィールドにマッピングされます。
`obj.threat_type`	entity.metadata.threat.detection_fields	未加工ログの threat_type フィールドは、UDM 脅威オブジェクトの detection_fields フィールドにマッピングされます。
`obj.type`	entity.entity.file.md5	タイプが「md5」の場合、未加工ログのタイプフィールドは UDM エンティティオブジェクトの md5 フィールドにマッピングされます。
`obj.type`	entity.entity.hostname	タイプが「domain」の場合、未加工ログのタイプフィールドは UDM エンティティオブジェクトのホスト名フィールドにマッピングされます。
`obj.type`	entity.entity.ip	タイプが「ip」または「ipv6」の場合、未加工ログのタイプフィールドは UDM エンティティオブジェクトの ip フィールドに統合されます。
`obj.type`	entity.entity.url	未加工ログの type フィールドは、type が「url」または「string」の場合、UDM エンティティオブジェクトの url フィールドにマッピングされます。
`obj.type`	entity.entity.user.email_addresses	タイプが「email」の場合、未加工ログのタイプフィールドは UDM エンティティオブジェクトの email_addresses フィールドに統合されます。
`obj.type`	entity.metadata.entity_type	未加工ログの type フィールドは、UDM エンティティオブジェクトの entity_type フィールドにマッピングされます。タイプが「ip」または「ipv6」の場合、「IP_ADDRESS」にマッピングされます。タイプが「domain」の場合、「DOMAIN_NAME」にマッピングされます。タイプが「md5」の場合、または itype フィールドに「md5」が含まれている場合は、「FILE」にマッピングされます。タイプが「url」または「string」の場合は、「URL」にマッピングされます。タイプが「email」の場合、「USER」にマッピングされます。それ以外の場合は、「UNKNOWN_ENTITYTYPE」にマッピングされます。
`obj.uuid`	entity.additional.fields	未加工ログの uuid フィールドは、UDM エンティティオブジェクトの fields フィールドにマッピングされます。
`obj.value`	entity.entity.ip	type フィールドが「ip」で、ip フィールドが空の場合、未加工ログの value フィールドは UDM エンティティオブジェクトの ip フィールドに統合されます。
`obj.value`	entity.entity.ip	ip_field_not_exists フィールドが true で、value フィールドが IP アドレスの場合、未加工ログの value フィールドは UDM エンティティオブジェクトの ip フィールドに統合されます。
`obj.value`	entity.entity.url	タイプフィールドが「url」または「string」の場合、未加工ログの値フィールドは UDM エンティティオブジェクトの url フィールドにマッピングされます。
`obj.value`	ioc.domain_and_ports.domain	タイプフィールドが「ip」でない場合、未加工ログの値フィールドは UDM ioc オブジェクトのドメインフィールドにマッピングされます。
`obj.value`	ioc.ip_and_ports.ip_address	type フィールドが「ip」で、ip フィールドが空の場合、未加工ログの値フィールドは UDM ioc オブジェクトの ip_address フィールドにマッピングされます。
`cn1`	ioc.confidence_score	未加工ログの cn1 フィールドは、UDM ioc オブジェクトの confidence_score フィールドにマッピングされます。
`cn2`	entity.metadata.threat.rule_id	未加工ログの cn2 フィールドは、UDM 脅威オブジェクトの rule_id フィールドにマッピングされます。
`cs1`	ioc.raw_severity	未加工ログの cs1 フィールドは、UDM ioc オブジェクトの raw_severity フィールドにマッピングされます。
`cs2`	entity.metadata.threat.threat_name	未加工ログの cs2 フィールドは、UDM 脅威オブジェクトの threat_name フィールドにマッピングされます。
`cs3`	entity.metadata.threat.threat_status	未加工ログの cs3 フィールドは、UDM 脅威オブジェクトの threat_status フィールドにマッピングされます。cs3 フィールドが「active」の場合、「ACTIVE」にマッピングされます。cs3 フィールドが「cleared」の場合、「CLEARED」にマッピングされます。cs3 フィールドが「falsePositive」または「falsepos」の場合、「FALSE_POSITIVE」にマッピングされます。cs3 フィールドが「threat_status_unspecified」の場合、「THREAT_STATUS_UNSPECIFIED」にマッピングされます。
`cs4`	entity.entity.administrative_domain	未加工ログの cs4 フィールドは、UDM エンティティオブジェクトの administrative_domain フィールドにマッピングされます。
`cs5`	ioc.description	未加工ログの cs5 フィールドは、UDM ioc オブジェクトの description フィールドにマッピングされます。
`cs5`	entity.metadata.threat.detection_fields	未加工ログの cs5 フィールドは、UDM 脅威オブジェクトの detection_fields フィールドにマッピングされます。
`cs5`	entity.metadata.threat.description	未加工ログの cs5 フィールドは、UDM 脅威オブジェクトの説明フィールドにマッピングされます。
`cs6`	entity.metadata.threat.category_details	未加工ログの cs6 フィールドは、UDM 脅威オブジェクトの category_details フィールドにマージされます。
`device_product`	entity.metadata.product_name	未加工ログの device_product フィールドは、UDM エンティティオブジェクトの product_name フィールドにマッピングされます。
`device_vendor`	entity.metadata.vendor_name	未加工ログの device_vendor フィールドは、UDM エンティティオブジェクトの vendor_name フィールドにマッピングされます。
`device_version`	entity.metadata.product_version	未加工ログの device_version フィールドは、UDM エンティティオブジェクトの product_version フィールドにマッピングされます。
`msg`	entity.metadata.threat.summary	未加工ログの msg フィールドは、UDM 脅威オブジェクトの summary フィールドにマッピングされます。
`shost`	entity.entity.hostname	未加工ログの shost フィールドは、UDM エンティティオブジェクトの hostname フィールドにマッピングされます。
`shost`	entity.entity.url	未加工ログの shost フィールドは、UDM エンティティオブジェクトの url フィールドにマッピングされます。
`shost`	ioc.domain_and_ports.domain	未加工ログの shost フィールドは、UDM ioc オブジェクトの domain フィールドにマッピングされます。
`src`	entity.entity.ip	ロギングデータの src フィールドは、UDM エンティティオブジェクトの ip フィールドに統合されます。
`src`	ioc.ip_and_ports.ip_address	未加工ログの src フィールドは、UDM ioc オブジェクトの ip_address フィールドにマッピングされます。
entity.metadata.threat.confidence	HIGH_CONFIDENCE	confidence_score フィールドが 75 以上の場合は、UDM 脅威オブジェクトの confidence フィールドが「HIGH_CONFIDENCE」に設定されます。
entity.metadata.threat.confidence	LOW_CONFIDENCE	confidence_score フィールドが 50 以下の場合は、UDM 脅威オブジェクトの信頼度フィールドが「LOW_CONFIDENCE」に設定されます。
entity.metadata.threat.confidence	MEDIUM_CONFIDENCE	confidence_score フィールドが 50 より大きく 74 以下の場合は、UDM 脅威オブジェクトの信頼度フィールドが「MEDIUM_CONFIDENCE」に設定されます。
entity.metadata.threat.confidence	UNKNOWN_CONFIDENCE	confidence_score フィールドが有効な整数でない場合、UDM 脅威オブジェクトの信頼度フィールドは「UNKNOWN_CONFIDENCE」に設定されます。
entity.metadata.vendor_name	ANOMALI_IOC	UDM エンティティオブジェクトの vendor_name フィールドが「ANOMALI_IOC」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。