Coletar registros de IoC do ThreatConnect

Compatível com:

Esse analisador extrai dados de IOC dos registros JSON do ThreatConnect e os transforma no formato UDM. Ele processa vários tipos de IOCs, como host, endereço, arquivo e URL, mapeando campos como pontuações de confiança, descrições e detalhes da entidade para os equivalentes correspondentes da UDM, além de categorizar ameaças com base em palavras-chave nos dados de registro.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google Security Operations.
  • Acesso privilegiado ao ThreatConnect.

Configurar o usuário da API no ThreatConnect

  1. Faça login no ThreatConnect.
  2. Acesse Configurações > Configurações da organização.
  3. Acesse a guia Assinatura nas Configurações da organização.
  4. Clique em Criar usuário da API.

  5. Preencha os campos na janela "Administração de usuários da API":

    • Nome: insira o nome do usuário da API.
    • Sobrenome: insira o sobrenome do usuário da API.
    • Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.
    • Função na organização: selecione a função do usuário da API na organização.
    • Incluir em observações e falsos positivos: marque a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observações e falsos positivos.
    • Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.
    • Copie e salve o ID de acesso e a chave secreta.

  6. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do ThreatConnect.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione ThreatConnect como o tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
    • Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
    • Nome do host da API: nome de domínio totalmente qualificado (FQDN) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
    • Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
  • Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
  • Nome do host da API: nome de domínio totalmente qualificado (FQDN) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
  • Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.