Esta página se ha traducido con Cloud Translation API.

Recoger registros de IOC de ThreatConnect

Disponible en:

SecOps de Google SIEM

Este analizador extrae datos de IOC de los registros JSON de ThreatConnect y los transforma al formato UDM. Gestiona varios tipos de IOC, como host, dirección, archivo y URL, asigna campos como puntuaciones de confianza, descripciones y detalles de entidades a sus equivalentes de UDM y clasifica las amenazas en función de las palabras clave de los datos de registro.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google Security Operations.
Acceso privilegiado a ThreatConnect.

Configurar un usuario de la API en ThreatConnect

Inicia sesión en ThreatConnect.
Ve a Ajustes > Ajustes de la organización.
Ve a la pestaña Suscripción de la configuración de la organización.
Haz clic en Create API User (Crear usuario de la API).
Rellena los campos de la ventana Administración de usuarios de la API:
- Nombre: introduce el nombre del usuario de la API.
- Apellidos: introduce los apellidos del usuario de la API.
- Rol del sistema: selecciona el rol del sistema Usuario de la API o Administrador de Exchange.
Nota: Los roles de sistema disponibles para los usuarios de la API son los siguientes:
Usuario de la API: los usuarios de la API con este rol pueden usar todos los endpoints de la API ThreatConnect v2 y v3, excepto los endpoints de administración de la API v3 TC Exchange™.
Administrador de Exchange: los usuarios de la API con este rol pueden usar todos los endpoints de la API ThreatConnect v2 y v3, incluida la API v3.
- Rol de la organización: selecciona el rol de la organización del usuario de la API.
- Incluir en observaciones y falsos positivos: marca la casilla para permitir que los datos proporcionados por el usuario de la API se incluyan en los recuentos de observaciones y falsos positivos.
- Inhabilitado: marca la casilla para inhabilitar la cuenta de un usuario de la API si el administrador quiere conservar la integridad de los registros.
- Copia y guarda el ID de acceso y la clave secreta.
Haz clic en Guardar.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de ThreatConnect).
Seleccione API de terceros como Tipo de fuente.
Seleccione ThreatConnect como tipo de registro.
Haz clic en Siguiente.
Especifique valores para los siguientes parámetros de entrada:
- Nombre de usuario: introduce el ID de acceso de ThreatConnect para autenticarte.
- Secreto: introduce la clave secreta de ThreatConnect del usuario especificado.
- Nombre de host de la API: nombre de dominio completo (FQDN) de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
- Propietarios: todos los nombres de los propietarios, donde el propietario identifica una colección de IOCs.
Haz clic en Siguiente.
Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.