ThreatConnect-IOC-Logs erfassen

Unterstützt in:

Dieser Parser extrahiert IOC-Daten aus ThreatConnect-JSON-Logs und wandelt sie in das UDM-Format um. Es werden verschiedene IOC-Typen wie Host, Adresse, Datei und URL verarbeitet. Felder wie Konfidenzwerte, Beschreibungen und Entitätsdetails werden den entsprechenden UDM-Äquivalenten zugeordnet und Bedrohungen werden anhand von Schlüsselwörtern in den Logdaten kategorisiert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google Security Operations-Instanz.
  • Privilegierter Zugriff auf ThreatConnect.

API-Nutzer in ThreatConnect konfigurieren

  1. Melden Sie sich in ThreatConnect an.
  2. Rufen Sie die Einstellungen > Organisationseinstellungen auf.
  3. Rufen Sie in den Organisationseinstellungen den Tab Mitgliedschaft auf.
  4. Klicken Sie auf Create API User (API-Nutzer erstellen).

  5. Füllen Sie die Felder im Fenster „API-Nutzerverwaltung“ aus:

    • Vorname: Geben Sie den Vornamen des API-Nutzers ein.
    • Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
    • Systemrolle: Wählen Sie die Systemrolle API-Nutzer oder Exchange-Administrator aus.
    • Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.
    • In Beobachtungen und Falsch-Positiv-Meldungen einbeziehen: Klicken Sie das Kästchen an, damit Daten, die vom API-Nutzer bereitgestellt werden, in die Anzahl der Beobachtungen und Falsch-Positiv-Meldungen einbezogen werden.
    • Deaktiviert: Klicken Sie auf das Kästchen, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.
    • Kopieren und speichern Sie die Zugriffs-ID und den geheimen Schlüssel.

  6. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. ThreatConnect Logs (ThreatConnect-Protokolle).
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie ThreatConnect als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID für die Authentifizierung ein.
    • Secret: Geben Sie den ThreatConnect-Secret Key für den angegebenen Nutzer ein.
    • API-Hostname: Vollständig qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz (z. B. <myinstance>.threatconnect.com).
    • Inhaber: Alle Inhabernamen, wobei der Inhaber eine Sammlung von IOCs identifiziert.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID für die Authentifizierung ein.
  • Secret: Geben Sie den ThreatConnect-Secret Key für den angegebenen Nutzer ein.
  • API-Hostname: Vollständig qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz (z. B. <myinstance>.threatconnect.com).
  • Inhaber: Alle Inhabernamen, wobei der Inhaber eine Sammlung von IOCs identifiziert.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten