Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log IOC di ThreatConnect

Supportato in:

Google secops SIEM

Questo parser estrae i dati IOC dai log JSON di ThreatConnect e li trasforma nel formato UDM. Gestisce vari tipi di indicatori di compromissione, come host, indirizzo, file e URL, mappando campi come i punteggi di confidenza, le descrizioni e i dettagli delle entità ai relativi equivalenti UDM e classifica le minacce in base alle parole chiave all'interno dei dati di log.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google Security Operations.
Accesso con privilegi a ThreatConnect.

Configura l'utente API su ThreatConnect

Accedi a ThreatConnect.
Vai a Impostazioni > Impostazioni dell'organizzazione.
Vai alla scheda Abbonamento nelle Impostazioni dell'organizzazione.
Fai clic su Create API User (Crea utente API).
Compila i campi nella finestra Amministrazione utenti API:
- Nome: inserisci il nome dell'utente API.
- Cognome: inserisci il cognome dell'utente API
- Ruolo di sistema: seleziona il ruolo di sistema Utente API o Amministratore Exchange.
Nota: i ruoli di sistema disponibili per gli utenti API includono quanto segue:
Utente API: gli utenti API con questo ruolo possono utilizzare tutti gli endpoint API ThreatConnect v2 e v3, ad eccezione degli endpoint di amministrazione TC Exchange™ dell'API v3.
Exchange Admin: gli utenti API con questo ruolo possono utilizzare tutti gli endpoint API ThreatConnect v2 e v3, inclusa l'API v3.
- Ruolo dell'organizzazione: seleziona il ruolo dell'organizzazione dell'utente API.
- Includi in Osservazioni e falsi positivi: seleziona la casella di controllo per consentire l'inclusione dei dati forniti dall'utente API nei conteggi di osservazioni e falsi positivi.
- Disattivato: fai clic sulla casella di controllo per disattivare l'account di un utente API nel caso in cui l'amministratore voglia mantenere l'integrità dei log.
- Copia e salva l'ID accesso e la chiave segreta.
Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed
Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio ThreatConnect Logs.
Seleziona API di terze parti come Tipo di origine.
Seleziona ThreatConnect come tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID accesso ThreatConnect per l'autenticazione.
- Secret (Segreto): inserisci la chiave segreta di ThreatConnect per l'utente specificato.
- Nome host API: nome di dominio completo (FQDN) dell'istanza di ThreatConnect (ad es. <myinstance>.threatconnect.com).
- Proprietari: tutti i nomi dei proprietari, dove il proprietario identifica una raccolta di IOC.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

Nome utente: inserisci l'ID accesso ThreatConnect per l'autenticazione.
Secret (Segreto): inserisci la chiave segreta di ThreatConnect per l'utente specificato.
Nome host API: nome di dominio completo (FQDN) dell'istanza di ThreatConnect (ad es. <myinstance>.threatconnect.com).
Proprietari: tutti i nomi dei proprietari, dove il proprietario identifica una raccolta di IOC.

Opzioni avanzate

Nome feed: un valore precompilato che identifica il feed.
Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.