Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log IOC di ThreatConnect

Supportato in:

Google SecOps SIEM

Questo parser estrae i dati IOC dai log JSON di ThreatConnect e li trasforma nel formato UDM. Gestisce vari tipi di indicatori di compromissione, come host, indirizzo, file e URL, mappando campi come i punteggi di confidenza, le descrizioni e i dettagli delle entità ai relativi equivalenti UDM e classifica le minacce in base alle parole chiave all'interno dei dati di log.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Istanza Google Security Operations.
Accesso con privilegi a ThreatConnect.

Configura l'utente API su ThreatConnect

Accedi a ThreatConnect.
Vai a Impostazioni > Impostazioni dell'organizzazione.
Vai alla scheda Abbonamento nelle Impostazioni dell'organizzazione.
Fai clic su Create API User (Crea utente API).
Compila i campi nella finestra Amministrazione utenti API:
- Nome: inserisci il nome dell'utente API.
- Cognome: inserisci il cognome dell'utente API
- Ruolo di sistema: seleziona il ruolo di sistema Utente API o Amministratore Exchange.
Nota: i ruoli di sistema disponibili per gli utenti API includono quanto segue:
Utente API: gli utenti API con questo ruolo possono utilizzare tutti gli endpoint API ThreatConnect v2 e v3, ad eccezione degli endpoint di amministrazione TC Exchange™ dell'API v3.
Exchange Admin: gli utenti API con questo ruolo possono utilizzare tutti gli endpoint API ThreatConnect v2 e v3, inclusa l'API v3.
- Ruolo organizzazione: seleziona il ruolo organizzazione dell'utente API.
- Includi in Osservazioni e falsi positivi: seleziona la casella di controllo per consentire l'inclusione dei dati forniti dall'utente dell'API nei conteggi di osservazioni e falsi positivi.
- Disattivato: fai clic sulla casella di controllo per disattivare l'account di un utente API nel caso in cui l'amministratore voglia mantenere l'integrità dei log.
- Copia e salva l'ID accesso e la chiave segreta.
Fai clic su Salva.

Configurare i feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio ThreatConnect Logs.
Seleziona API di terze parti come Tipo di origine.
Seleziona ThreatConnect come tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID accesso ThreatConnect per l'autenticazione.
- Secret (Segreto): inserisci la chiave segreta di ThreatConnect per l'utente specificato.
- Nome host API: nome di dominio completo (FQDN) dell'istanza ThreatConnect (ad esempio, <myinstance>.threatconnect.com).
- Proprietari: tutti i nomi dei proprietari, dove il proprietario identifica una raccolta di IOC.
Fai clic su Avanti.
Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.