Mengumpulkan log IOC Recorded Future
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log IOC Recorded Future ke Google Security Operations menggunakan API. Parser mengubah data dalam format JSON menjadi model data terpadu (UDM). Tindakan ini mengekstrak detail IOC, memetakannya ke kolom UDM, mengategorikan ancaman berdasarkan tingkat keparahan, dan memperkaya data dengan stempel waktu dan informasi vendor.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke akun Enterprise Recorded Future
Mendapatkan token API Recorded Future
- Login ke Recorded Future.
- Klik avatar Anda di sudut kanan atas, lalu pilih Setelan Pengguna.
- Di menu navigasi, klik Akses API.
- Klik Generate New API Token.
- Salin string panjang yang muncul (misalnya
RF-1234567890abcdef...).- Anda dapat membuat lebih dari satu kunci; Berikan nama deskriptif seperti Google SecOps.
- Salin dan simpan token di lokasi yang aman. Token API tidak ditampilkan lagi.
Menyiapkan feed
- Buka Setelan SIEM > Feed.
- Klik + Tambahkan Feed Baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Recorded Future IOC). - Pilih Third Party API sebagai Source type.
- Pilih jenis log Recorded Future.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi
X-RFToken:<your-api_key>- Pastikan untuk mengganti
<your-api_key>dengan kunci sebenarnya yang disalin pada langkah sebelumnya.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
- Header HTTP Autentikasi
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| Details.EvidenceDetails.Criticality | ||
| Details.EvidenceDetails.CriticalityLabel | ||
| Details.EvidenceDetails.EvidenceString | ioc.description | Nilai kolom "EvidenceString" dipetakan ke kolom ini. |
| Details.EvidenceDetails.EvidenceString | entity.metadata.threat.description | Nilai kolom "EvidenceString" dipetakan ke kolom ini. |
| Details.EvidenceDetails.MitigationString | ||
| Details.EvidenceDetails.Rule | ioc.categorization | Nilai kolom "Aturan" dipetakan ke kolom ini. |
| Details.EvidenceDetails.Rule | entity.metadata.threat.rule_name | Nilai kolom "Aturan" dipetakan ke kolom ini. |
| Details.EvidenceDetails.Timestamp | ||
| Risiko | ioc.confidence_score | Nilai kolom "Risiko" dikonversi menjadi string dan dipetakan ke kolom ini. |
| Risiko | entity.metadata.threat.severity_details | Nilai kolom "Risiko" digabungkan dengan string "Risiko - " dan dipetakan ke kolom ini. |
| Nilai | entity.entity.hostname | Jika kolom "Nilai" adalah nama domain, kolom tersebut dipetakan ke kolom ini. |
| Nilai | ioc.domain_and_ports.domain | Jika kolom "Nilai" adalah nama domain, kolom tersebut dipetakan ke kolom ini. |
| Nilai | ioc.ip_and_ports.ip_address | Jika kolom "Nilai" adalah alamat IP, kolom tersebut dipetakan ke kolom ini. |
| entity.entity.ip | Nilai kolom "Nilai" diuraikan sebagai alamat IP dan dipetakan ke kolom ini. | |
| ioc.feed_name | Nilai "Recorded Future IOC" ditetapkan ke kolom ini. | |
| ioc.raw_severity | Nilai dihasilkan dengan menggabungkan kolom "Risk" dengan kolom "CriticalityLabel", yang dipisahkan dengan titik dua. | |
| entity.metadata.collected_timestamp | Nilai kolom "Details.EvidenceDetails.Timestamp" diuraikan sebagai stempel waktu ISO8601 dan dipetakan ke kolom ini. | |
| entity.metadata.entity_type | Nilai ditetapkan ke "DOMAIN_NAME" jika kolom "Nilai" adalah nama domain, dan "IP_ADDRESS" jika kolom tersebut adalah alamat IP. | |
| entity.metadata.interval.end_time | Nilai "253402300799" (yang merepresentasikan nilai stempel waktu maksimum) ditetapkan ke kolom ini. | |
| entity.metadata.interval.start_time | Nilai kolom "Details.EvidenceDetails.Timestamp" diuraikan sebagai stempel waktu ISO8601 dan dipetakan ke kolom ini. | |
| entity.metadata.threat.category | Nilai ditentukan berdasarkan kolom "CriticalityLabel": "Malicious" dipetakan ke "SOFTWARE_MALICIOUS", "Suspicious" dipetakan ke "SOFTWARE_SUSPICIOUS", dan nilai lainnya dipetakan ke "UNKNOWN_CATEGORY". | |
| entity.metadata.threat.category_details | Nilai dihasilkan dengan menggabungkan string "Criticality - ", "Criticality", ":", dan "CriticalityLabel", dengan nilai yang sesuai dari data input. | |
| entity.metadata.threat.severity | Nilai ditentukan berdasarkan kolom "CriticalityLabel": "Malicious" dipetakan ke "HIGH", "Suspicious" dipetakan ke "MEDIUM", dan nilai lainnya dipetakan ke "LOW". | |
| entity.metadata.threat.threat_feed_name | Nilai "Recorded Future IOC" ditetapkan ke kolom ini. | |
| entity.metadata.vendor_name | Nilai "RECORDED_FUTURE_IOC" ditetapkan ke kolom ini. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.