收集 Recorded Future IOC 日志

支持的语言:

本文档介绍了如何使用 API 将 Recorded Future IOC 日志注入到 Google Security Operations。解析器会将 JSON 格式的数据转换为统一数据模型 (UDM)。它会提取 IOC 详细信息,将其映射到 UDM 字段,根据严重程度对威胁进行分类,并使用时间戳和供应商信息丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 Recorded Future Enterprise 账号的特权访问权限

获取 Recorded Future API 令牌

  1. 登录 Recorded Future
  2. 点击右上角的头像,然后选择用户设置
  3. 在导航菜单中,点击 API 访问权限
  4. 点击 Generate New API Token(生成新的 API 令牌)。
  5. 复制显示的长字符串(例如 RF-1234567890abcdef...)。
    • 您可以创建多个密钥;提供一个描述性名称,例如 Google SecOps
  6. 复制令牌并将其保存在安全的位置。系统不会再显示该 API 令牌。

设置 Feed

  1. 依次前往 SIEM 设置> Feed
  2. 点击 + 添加新 Feed
  3. Feed 名称字段中,输入 Feed 的名称(例如 Recorded Future IOC)。
  4. 选择第三方 API 作为来源类型
  5. 选择 Recorded Future 日志类型。
  6. 点击下一步
  7. 为以下输入参数指定值:
    • 身份验证 HTTP 标头
      • X-RFToken:<your-api_key>
      • 请务必将 <your-api_key> 替换为在上一步中复制的实际密钥。
    • 资产命名空间资产命名空间
    • 注入标签:应用于此 Feed 中事件的标签。
  8. 点击下一步
  9. 最终确定界面中检查 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
Details.EvidenceDetails.Criticality
Details.EvidenceDetails.CriticalityLabel
Details.EvidenceDetails.EvidenceString ioc.description “EvidenceString”字段的值会映射到此字段。
Details.EvidenceDetails.EvidenceString entity.metadata.threat.description “EvidenceString”字段的值会映射到此字段。
Details.EvidenceDetails.MitigationString
Details.EvidenceDetails.Rule ioc.categorization “Rule”字段的值会映射到此字段。
Details.EvidenceDetails.Rule entity.metadata.threat.rule_name “Rule”字段的值会映射到此字段。
Details.EvidenceDetails.Timestamp
风险 ioc.confidence_score “风险”字段的值会转换为字符串并映射到此字段。
风险 entity.metadata.threat.severity_details “风险”字段的值与字符串“风险 - ”串联,并映射到此字段。
entity.entity.hostname 如果“值”字段是域名,则会映射到此字段。
ioc.domain_and_ports.domain 如果“值”字段是域名,则会映射到此字段。
ioc.ip_and_ports.ip_address 如果“值”字段是 IP 地址,则会映射到此字段。
entity.entity.ip “值”字段的值会解析为 IP 地址并映射到此字段。
ioc.feed_name 系统会为此字段分配值“Recorded Future IOC”。
ioc.raw_severity 该值是通过将“风险”字段与“严重程度标签”字段(以英文冒号分隔)串联而生成的。
entity.metadata.collected_timestamp “Details.EvidenceDetails.Timestamp”字段的值会被解析为 ISO8601 时间戳并映射到此字段。
entity.metadata.entity_type 如果“值”字段是域名,则该值设置为“DOMAIN_NAME”;如果该字段是 IP 地址,则该值设置为“IP_ADDRESS”。
entity.metadata.interval.end_time 系统会为该字段分配值“253402300799”(表示最大时间戳值)。
entity.metadata.interval.start_time “Details.EvidenceDetails.Timestamp”字段的值会被解析为 ISO8601 时间戳并映射到此字段。
entity.metadata.threat.category 该值根据“CriticalityLabel”字段确定:“Malicious”映射到“SOFTWARE_MALICIOUS”,“Suspicious”映射到“SOFTWARE_SUSPICIOUS”,任何其他值都映射到“UNKNOWN_CATEGORY”。
entity.metadata.threat.category_details 该值是通过将字符串“Criticality -”“Criticality”“:”和“CriticalityLabel”与输入数据中的相应值串联而生成的。
entity.metadata.threat.severity 该值根据“CriticalityLabel”字段确定:“Malicious”映射到“HIGH”,“Suspicious”映射到“MEDIUM”,任何其他值都映射到“LOW”。
entity.metadata.threat.threat_feed_name 系统会为此字段分配值“Recorded Future IOC”。
entity.metadata.vendor_name 系统会为此字段分配值“RECORDED_FUTURE_IOC”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。