このページは Cloud Translation API によって翻訳されました。

ThreatConnect IoC のログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは、ThreatConnect JSON ログから IOC データを抽出し、UDM 形式に変換します。ホスト、アドレス、ファイル、URL などのさまざまな IOC タイプを処理し、信頼スコア、説明、エンティティの詳細などのフィールドを対応する UDM の同等物にマッピングし、ログデータ内のキーワードに基づいて脅威を分類します。

始める前に

次の前提条件を満たしていることを確認します。

Google Security Operations インスタンス。
ThreatConnect への特権アクセス。

ThreatConnect で API ユーザーを構成する

ThreatConnect にログインします。
[Settings] > [Org Settings] に移動します。
[Organization Settings] の [Membership] タブに移動します。
[Create API User] をクリックします。
[API User Administration]（API ユーザー管理）ウィンドウのフィールドに入力します。
- First Name: API ユーザーの名を入力します。
- Last Name: API ユーザーの姓を入力します。
- System Role: [Api User] または [Exchange Admin] のシステムロールを選択します。
注: API ユーザーが使用できるシステムロールは次のとおりです。
Api User: このロールを持つ API ユーザーは、v3 API TC Exchange™ 管理エンドポイントを除く、すべての ThreatConnect v2 および v3 API エンドポイントを使用できます。
Exchange Admin: このロールを持つ API ユーザーは、v3 AP を含むすべての ThreatConnect v2 および v3 API エンドポイントを使用できます。
- Organization Role: API ユーザーの組織ロールを選択します。
- Include in Observations and False Positives: API ユーザーから提供されたデータをモニタリングと誤検出のカウントに含めるには、チェックボックスをオンにします。
- Disabled: 管理者がログの完全性を保持する場合は、チェックボックスをオンにして API ユーザーのアカウントを無効にします。
- [アクセス ID] と [秘密鍵] の値をコピーして保存します。
[保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: ThreatConnect Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
ログタイプとして [ThreatConnect] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ユーザー名: 認証に使用する ThreatConnect アクセス ID を入力します。
- Secret: 指定したユーザーの ThreatConnect 秘密鍵を入力します。
- API Hostname: ThreatConnect インスタンスの完全修飾ドメイン名（FQDN）（例: <myinstance>.threatconnect.com）。
- Owners: すべてのオーナー名。オーナーは IOC のコレクションを識別します。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

ユーザー名: 認証に使用する ThreatConnect アクセス ID を入力します。
Secret: 指定したユーザーの ThreatConnect 秘密鍵を入力します。
API Hostname: ThreatConnect インスタンスの完全修飾ドメイン名（FQDN）（例: <myinstance>.threatconnect.com）。
Owners: すべてのオーナー名。オーナーは IOC のコレクションを識別します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。