收集 ThreatConnect IOC 日志

支持的语言:

此解析器从 ThreatConnect JSON 日志中提取 IOC 数据,并将其转换为 UDM 格式。它可处理各种 IOC 类型,例如主机、地址、文件和网址,将置信度分数、说明和实体详细信息等字段映射到相应的 UDM 等效项,并根据日志数据中的关键字对威胁进行分类。

准备工作

确保您满足以下前提条件:

  • Google Security Operations 实例。
  • 对 ThreatConnect 的特权访问权限。

在 ThreatConnect 上配置 API 用户

  1. 登录 ThreatConnect。
  2. 依次前往设置 > 组织设置
  3. 前往组织设置中的会员标签页。
  4. 点击 Create API User

  5. 填写“API 用户管理”窗口中的字段:

    • First Name:输入 API 用户的名字。
    • Last Name:输入 API 用户的姓氏
    • 系统角色:选择 API 用户Exchange 管理员系统角色。
    • 组织角色:选择 API 用户的组织角色。
    • 纳入观测结果和误报:选中此复选框可将 API 用户提供的数据纳入观测结果和误报计数中。
    • 已停用:如果管理员希望保持日志完整性,请点击相应复选框以停用 API 用户的账号。
    • 复制并保存访问 ID密钥

  6. 点击保存

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 ThreatConnect 日志
  5. 选择第三方 API 作为来源类型
  6. 选择 ThreatConnect 作为日志类型。
  7. 点击下一步
  8. 为以下输入参数指定值:
    • 用户名:输入要用于身份验证的 ThreatConnect Access ID。
    • Secret:输入指定用户的 ThreatConnect 密钥。
    • API 主机名:ThreatConnect 实例的完全限定域名 (FQDN),例如 <myinstance>.threatconnect.com
    • 所有者:所有者名称,其中所有者用于标识 IOC 的集合。
  9. 点击下一步
  10. 最终确定界面中检查 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 用户名:输入要用于身份验证的 ThreatConnect Access ID。
  • Secret:输入指定用户的 ThreatConnect 密钥。
  • API 主机名:ThreatConnect 实例的完全限定域名 (FQDN),例如 <myinstance>.threatconnect.com
  • 所有者:所有者名称,其中所有者用于标识 IOC 的集合。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。