收集 ThreatConnect 入侵指標記錄
支援的國家/地區:
Google SecOps
SIEM
這個剖析器會從 ThreatConnect JSON 記錄檔中擷取 IOC 資料,並轉換為 UDM 格式。可處理各種 IOC 類型,例如主機、地址、檔案和網址,將信賴分數、說明和實體詳細資料等欄位對應至相應的 UDM 等效項目,並根據記錄資料中的關鍵字分類威脅。
事前準備
請確認您已完成下列事前準備事項:
- Google Security Operations 執行個體。
- ThreatConnect 的特殊存取權。
在 ThreatConnect 中設定 API 使用者
- 登入 ThreatConnect。
- 依序點選「設定」>「機構設定」。
- 前往「機構設定」的「會員」分頁。
- 按一下「Create API User」。
填寫「API User Administration」(API 使用者管理) 視窗中的欄位:
- 名字:輸入 API 使用者的名字。
- 姓氏:輸入 API 使用者的姓氏
- 系統角色:選取「API 使用者」或「Exchange 管理員」系統角色。
- 機構角色:選取 API 使用者的機構角色。
- 納入觀察結果和誤判:勾選核取方塊,允許將 API 使用者提供的資料納入觀察結果和誤判次數。
- 已停用:如果管理員想保留記錄完整性,請按一下核取方塊,停用 API 使用者的帳戶。
- 複製並儲存「存取 ID」和「私密金鑰」。
按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態消息名稱」欄位中,輸入動態消息的名稱,例如「ThreatConnect Logs」。
- 選取「第三方 API」做為「來源類型」。
- 選取「ThreatConnect」ThreatConnect做為記錄類型。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 使用者名稱:輸入要用於驗證的 ThreatConnect 存取 ID。
- 密鑰:輸入指定使用者的 ThreatConnect 密鑰。
- API 主機名稱:ThreatConnect 執行個體的完整網域名稱 (FQDN),例如
<myinstance>.threatconnect.com。 - 擁有者:所有擁有者名稱,其中擁有者會識別 IOC 集合。
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 使用者名稱:輸入要用於驗證的 ThreatConnect 存取 ID。
- 密鑰:輸入指定使用者的 ThreatConnect 密鑰。
- API 主機名稱:ThreatConnect 執行個體的完整網域名稱 (FQDN),例如
<myinstance>.threatconnect.com。 - 擁有者:所有擁有者名稱,其中擁有者會識別 IOC 集合。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。