Esta página foi traduzida pela API Cloud Translation.

Coletar registros de IoC do ThreatConnect

Compatível com:

Google SecOps SIEM

Esse analisador extrai dados de IOC dos registros JSON do ThreatConnect e os transforma no formato UDM. Ele processa vários tipos de IOCs, como host, endereço, arquivo e URL, mapeando campos como pontuações de confiança, descrições e detalhes da entidade para os equivalentes correspondentes da UDM, além de categorizar ameaças com base em palavras-chave nos dados de registro.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google Security Operations.
Acesso privilegiado ao ThreatConnect.

Configurar o usuário da API no ThreatConnect

Faça login no ThreatConnect.
Acesse Configurações > Configurações da organização.
Acesse a guia Assinatura nas Configurações da organização.
Clique em Criar usuário da API.
Preencha os campos na janela "Administração de usuários da API":
- Nome: insira o nome do usuário da API.
- Sobrenome: insira o sobrenome do usuário da API.
- Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.
Observação: as funções de sistema disponíveis para usuários da API incluem o seguinte:
Usuário da API: os usuários da API com essa função podem usar todos os endpoints da API ThreatConnect v2 e v3, exceto os endpoints de administração da API v3 TC Exchange™.
Administrador do Exchange: os usuários da API com essa função podem usar todos os endpoints da API ThreatConnect v2 e v3, incluindo a v3 AP.
- Função na organização: selecione a função do usuário da API na organização.
- Incluir em observações e falsos positivos: marque a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observações e falsos positivos.
- Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.
- Copie e salve o ID de acesso e a chave secreta.
Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do ThreatConnect.
Selecione API de terceiros como o Tipo de origem.
Selecione ThreatConnect como o tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
- Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
- Nome do host da API: nome de domínio totalmente qualificado (FQDN) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
- Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Nome de usuário: insira o ID de acesso do ThreatConnect para autenticação.
Secret: insira a chave secreta do ThreatConnect para o usuário especificado.
Nome do host da API: nome de domínio totalmente qualificado (FQDN) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
Proprietários: todos os nomes de proprietários, em que o proprietário identifica uma coleção de IOCs.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.