ThreatConnect-IOC-Logs erfassen

Dieser Parser extrahiert IOC-Daten aus ThreatConnect-JSON-Logs und wandelt sie in das UDM-Format um. Es werden verschiedene IOC-Typen wie Host, Adresse, Datei und URL verarbeitet. Felder wie Konfidenzwerte, Beschreibungen und Entitätsdetails werden den entsprechenden UDM-Entsprechungen zugeordnet und Bedrohungen werden anhand von Schlüsselwörtern in den Logdaten kategorisiert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Google Security Operations-Instanz.
• Privilegierter Zugriff auf ThreatConnect.

API-Nutzer in ThreatConnect konfigurieren

1. Melden Sie sich in ThreatConnect an.
2. Rufen Sie die Einstellungen > Organisationseinstellungen auf.
3. Rufen Sie in den Organisationseinstellungen den Tab Mitgliedschaft auf.
4. Klicken Sie auf API-Nutzer erstellen.

5. Füllen Sie die Felder im Fenster „API-Nutzerverwaltung“ aus:

   • Vorname: Geben Sie den Vornamen des API-Nutzers ein.
   • Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
   • Systemrolle: Wählen Sie die Systemrolle API-Nutzer oder Exchange-Administrator aus.
   • Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.
   • In Beobachtungen und Falschmeldungen einbeziehen: Wählen Sie das Kästchen aus, damit Daten, die vom API-Nutzer bereitgestellt werden, in die Anzahl der Beobachtungen und Falschmeldungen einbezogen werden.
   • Deaktiviert: Klicken Sie auf das Kästchen, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.
   • Kopieren und speichern Sie die Zugriffs-ID und den geheimen Schlüssel.

6. Klicken Sie auf Speichern.

Feeds einrichten

So konfigurieren Sie einen Feed:

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. ThreatConnect Logs (ThreatConnect-Protokolle).
5. Wählen Sie Drittanbieter-API als Quelltyp aus.
6. Wählen Sie ThreatConnect als Logtyp aus.
7. Klicken Sie auf Weiter.
8. Geben Sie Werte für die folgenden Eingabeparameter an:
   • Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID für die Authentifizierung ein.
   • Secret: Geben Sie den ThreatConnect-Secret Key für den angegebenen Nutzer ein.
   • API-Hostname: Vollständig qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz (z. B. <myinstance>.threatconnect.com).
   • Inhaber: Alle Inhabernamen, wobei der Inhaber eine Sammlung von IOCs identifiziert.
9. Klicken Sie auf Weiter.
10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten