Collecter les journaux d'IOC ThreatConnect

Compatible avec :

Cet analyseur extrait les données d'IOC des journaux JSON ThreatConnect et les transforme au format UDM. Il gère différents types d'IOC tels que l'hôte, l'adresse, le fichier et l'URL, en mappant les champs tels que les scores de confiance, les descriptions et les détails des entités à leurs équivalents UDM correspondants. Il catégorise également les menaces en fonction des mots clés contenus dans les données de journaux.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google Security Operations.
  • Accès privilégié à ThreatConnect.

Configurer un utilisateur de l'API sur ThreatConnect

  1. Connectez-vous à ThreatConnect.
  2. Accédez à Paramètres > Paramètres de l'organisation.
  3. Accédez à l'onglet Abonnement dans les paramètres de l'organisation.
  4. Cliquez sur Créer un utilisateur d'API.

  5. Renseignez les champs de la fenêtre "Administration des utilisateurs de l'API" :

    • Prénom : saisissez le prénom de l'utilisateur de l'API.
    • Nom : saisissez le nom de l'utilisateur de l'API.
    • Rôle système : sélectionnez le rôle système Utilisateur de l'API ou Administrateur Exchange.
    • Rôle dans l'organisation : sélectionnez le rôle de l'utilisateur de l'API dans l'organisation.
    • Inclure dans les observations et les faux positifs : cochez la case pour autoriser l'inclusion des données fournies par l'utilisateur de l'API dans les nombres d'observations et de faux positifs.
    • Désactivé : cochez la case pour désactiver le compte d'un utilisateur de l'API si l'administrateur souhaite préserver l'intégrité des journaux.
    • Copiez et enregistrez l'ID d'accès et la clé secrète.

  6. Cliquez sur Enregistrer.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux ThreatConnect).
  5. Sélectionnez API tierce comme Type de source.
  6. Sélectionnez ThreatConnect comme type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Nom d'utilisateur : saisissez l'ID d'accès ThreatConnect pour l'authentification.
    • Secret : saisissez la clé secrète ThreatConnect pour l'utilisateur spécifié.
    • Nom d'hôte de l'API : nom de domaine complet (FQDN) de votre instance ThreatConnect (par exemple, <myinstance>.threatconnect.com).
    • Propriétaires : tous les noms de propriétaires, où le propriétaire identifie une collection d'IOC.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Nom d'utilisateur : saisissez l'ID d'accès ThreatConnect pour l'authentification.
  • Secret : saisissez la clé secrète ThreatConnect pour l'utilisateur spécifié.
  • Nom d'hôte de l'API : nom de domaine complet (FQDN) de votre instance ThreatConnect (par exemple, <myinstance>.threatconnect.com).
  • Propriétaires : tous les noms de propriétaires, où le propriétaire identifie une collection d'IOC.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.