Recorded Future-IOC-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Recorded Future-IOC-Logs mithilfe einer API in Google Security Operations aufnehmen. Der Parser wandelt die Daten im JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Es werden IOC-Details extrahiert, UDM-Feldern zugeordnet, Bedrohungen nach Schweregrad kategorisiert und die Daten mit Zeitstempeln und Anbieterinformationen angereichert.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Bevorzugter Zugriff auf ein Recorded Future-Arbeitskonto
Recorded Future-API-Token abrufen
- Melden Sie sich in Recorded Future an.
- Klicken Sie rechts oben auf Ihren Avatar und wählen Sie User Settings (Nutzereinstellungen) aus.
- Klicken Sie im Navigationsmenü auf API-Zugriff.
- Klicken Sie auf Neues API-Token generieren.
- Kopieren Sie den langen String, der angezeigt wird (z. B.
RF-1234567890abcdef...).- Sie können mehrere Schlüssel erstellen. Geben Sie einen aussagekräftigen Namen wie Google SecOps an.
- Kopieren Sie das Token und speichern Sie es an einem sicheren Ort. Das API-Token wird nicht noch einmal angezeigt.
Feeds einrichten
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf + Neuen Feed hinzufügen.
- Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B.
Recorded Future IOC. - Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie den Logtyp Recorded Future aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Header für die Authentifizierung
X-RFToken:<your-api_key>- Ersetzen Sie
<your-api_key>durch den tatsächlichen Schlüssel, den Sie im vorherigen Schritt kopiert haben.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Header für die Authentifizierung
- Klicken Sie auf Weiter.
- Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Details.EvidenceDetails.Criticality | ||
| Details.EvidenceDetails.CriticalityLabel | ||
| Details.EvidenceDetails.EvidenceString | ioc.description | Der Wert des Felds „EvidenceString“ wird diesem Feld zugeordnet. |
| Details.EvidenceDetails.EvidenceString | entity.metadata.threat.description | Der Wert des Felds „EvidenceString“ wird diesem Feld zugeordnet. |
| Details.EvidenceDetails.MitigationString | ||
| Details.EvidenceDetails.Rule | ioc.categorization | Der Wert des Felds „Regel“ wird diesem Feld zugeordnet. |
| Details.EvidenceDetails.Rule | entity.metadata.threat.rule_name | Der Wert des Felds „Regel“ wird diesem Feld zugeordnet. |
| Details.EvidenceDetails.Timestamp | ||
| Risiko | ioc.confidence_score | Der Wert des Felds „Risiko“ wird in einen String konvertiert und diesem Feld zugeordnet. |
| Risiko | entity.metadata.threat.severity_details | Der Wert des Felds „Risk“ (Risiko) wird mit dem String „Risk – “ (Risiko – ) verkettet und diesem Feld zugeordnet. |
| Wert | entity.entity.hostname | Wenn das Feld „Wert“ ein Domainname ist, wird es diesem Feld zugeordnet. |
| Wert | ioc.domain_and_ports.domain | Wenn das Feld „Wert“ ein Domainname ist, wird es diesem Feld zugeordnet. |
| Wert | ioc.ip_and_ports.ip_address | Wenn das Feld „Wert“ eine IP-Adresse ist, wird es diesem Feld zugeordnet. |
| entity.entity.ip | Der Wert des Felds „Value“ wird als IP-Adresse geparst und diesem Feld zugeordnet. | |
| ioc.feed_name | Diesem Feld wird der Wert „Recorded Future IOC“ zugewiesen. | |
| ioc.raw_severity | Der Wert wird generiert, indem das Feld „Risk“ (Risiko) mit dem Feld „CriticalityLabel“ (Schweregradlabel) verkettet wird, getrennt durch einen Doppelpunkt. | |
| entity.metadata.collected_timestamp | Der Wert des Felds „Details.EvidenceDetails.Timestamp“ wird als ISO8601-Zeitstempel geparst und diesem Feld zugeordnet. | |
| entity.metadata.entity_type | Der Wert wird auf „DOMAIN_NAME“ festgelegt, wenn das Feld „Value“ ein Domainname ist, und auf „IP_ADDRESS“, wenn es eine IP-Adresse ist. | |
| entity.metadata.interval.end_time | Diesem Feld wird der Wert „253402300799“ zugewiesen, der den maximalen Zeitstempelwert darstellt. | |
| entity.metadata.interval.start_time | Der Wert des Felds „Details.EvidenceDetails.Timestamp“ wird als ISO8601-Zeitstempel geparst und diesem Feld zugeordnet. | |
| entity.metadata.threat.category | Der Wert wird anhand des Felds „CriticalityLabel“ bestimmt: „Malicious“ wird „SOFTWARE_MALICIOUS“ zugeordnet, „Suspicious“ wird „SOFTWARE_SUSPICIOUS“ zugeordnet und jeder andere Wert wird „UNKNOWN_CATEGORY“ zugeordnet. | |
| entity.metadata.threat.category_details | Der Wert wird generiert, indem die Strings „Criticality – “, „Criticality“, „:“ und „CriticalityLabel“ mit den entsprechenden Werten aus den Eingabedaten verkettet werden. | |
| entity.metadata.threat.severity | Der Wert wird anhand des Felds „CriticalityLabel“ bestimmt: „Malicious“ wird „HIGH“ zugeordnet, „Suspicious“ wird „MEDIUM“ zugeordnet und jeder andere Wert wird „LOW“ zugeordnet. | |
| entity.metadata.threat.threat_feed_name | Diesem Feld wird der Wert „Recorded Future IOC“ zugewiesen. | |
| entity.metadata.vendor_name | Diesem Feld wird der Wert „RECORDED_FUTURE_IOC“ zugewiesen. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten