Mengumpulkan log IOC ThreatConnect

Didukung di:

Parser ini mengekstrak data IOC dari log JSON ThreatConnect dan mengubahnya menjadi format UDM. Deteksi ini menangani berbagai jenis IOC seperti Host, Alamat, File, dan URL, memetakan kolom seperti skor keyakinan, deskripsi, dan detail entitas ke padanannya di UDM, serta mengategorikan ancaman berdasarkan kata kunci dalam data log.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google Security Operations.
  • Akses istimewa ke ThreatConnect.

Mengonfigurasi Pengguna API di ThreatConnect

  1. Login ke ThreatConnect.
  2. Buka Setelan > Setelan Org.
  3. Buka tab Langganan di Setelan Organisasi.
  4. Klik Create API User.

  5. Isi kolom di jendela Administrasi Pengguna API:

    • Nama Depan: masukkan nama depan pengguna API.
    • Nama Belakang: masukkan nama belakang pengguna API
    • Peran Sistem: pilih peran Sistem Pengguna API atau Admin Exchange.
    • Peran Organisasi: pilih peran Organisasi pengguna API.
    • Sertakan dalam Pengamatan dan Positif Palsu: centang kotak untuk mengizinkan data yang disediakan oleh pengguna API disertakan dalam jumlah pengamatan dan positif palsu.
    • Dinonaktifkan: klik kotak centang untuk menonaktifkan akun pengguna API jika Administrator ingin mempertahankan integritas log.
    • Salin dan simpan Access ID dan Secret Key.

  6. Klik Simpan.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, ThreatConnect Logs.
  5. Pilih Third Party API sebagai Source type.
  6. Pilih ThreatConnect sebagai jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Nama Pengguna: masukkan ID Akses ThreatConnect untuk melakukan autentikasi sebagai.
    • Secret: masukkan Kunci Rahasia ThreatConnect untuk pengguna yang ditentukan.
    • Nama Host API: Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) instance ThreatConnect Anda (misalnya, <myinstance>.threatconnect.com).
    • Pemilik: semua nama pemilik, dengan pemilik mengidentifikasi kumpulan IOC.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.