Recopila registros de IOC de ThreatConnect

Este analizador extrae datos de IOC de los registros JSON de ThreatConnect y los transforma en el formato del UDM. Maneja varios tipos de IOC, como host, dirección, archivo y URL, asigna campos como las puntuaciones de confianza, las descripciones y los detalles de la entidad a sus equivalentes correspondientes en el UDM, y categoriza las amenazas según las palabras clave de los datos de registro.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Es la instancia de Google Security Operations.
• Acceso privilegiado a ThreatConnect.

Configura el usuario de la API en ThreatConnect

1. Accede a ThreatConnect.
2. Ve a Configuración > Configuración de la organización.
3. Ve a la pestaña Membresía en la Configuración de la organización.
4. Haz clic en Crear usuario de API.

5. Completa los campos de la ventana Administración de usuarios de la API:

   • First Name: Ingresa el nombre del usuario de la API.
   • Apellido: Ingresa el apellido del usuario de la API.
   • Rol del sistema: Selecciona el rol del sistema Usuario de API o Administrador de Exchange.
   • Organization Role: Selecciona el rol de la organización del usuario de la API.
   • Incluir en observaciones y falsos positivos: Selecciona la casilla de verificación para permitir que los datos proporcionados por el usuario de la API se incluyan en los recuentos de observaciones y falsos positivos.
   • Inhabilitado: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador quiera conservar la integridad del registro.
   • Copia y guarda el ID de acceso y la clave secreta.

6. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds
• Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

1. Ve a Configuración del SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de ThreatConnect.
5. Selecciona API de terceros como el Tipo de origen.
6. Selecciona ThreatConnect como el tipo de registro.
7. Haz clic en Siguiente.
8. Especifica valores para los siguientes parámetros de entrada:
   • Nombre de usuario: Ingresa el ID de acceso de ThreatConnect para autenticarte.
   • Secreto: Ingresa la clave secreta de ThreatConnect para el usuario especificado.
   • Nombre de host de la API: Nombre de dominio completamente calificado (FQDN) de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
   • Propietarios: Todos los nombres de los propietarios, en los que el propietario identifica una colección de IOCs.
9. Haz clic en Siguiente.
10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

• Nombre de usuario: Ingresa el ID de acceso de ThreatConnect para autenticarte.
• Secreto: Ingresa la clave secreta de ThreatConnect para el usuario especificado.
• Nombre de host de la API: Nombre de dominio completamente calificado (FQDN) de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
• Propietarios: Todos los nombres de los propietarios, en los que el propietario identifica una colección de IOCs.

Opciones avanzadas

• Nombre del feed: Es un valor completado previamente que identifica el feed.
• Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
• Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
• Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.