Intel 471 Malware Intelligence-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Intel 471 Malware Intelligence-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Intel 471 ist eine Threat Intelligence-Plattform, die Malware-Indikatoren, die Verfolgung von Bedrohungsakteuren und die Überwachung von Untergrundforen bietet. Der Parser ordnet JSON-formatierte Indikatordaten dem Unified Data Model (UDM) zu und extrahiert Dateihashes, Bedrohungsmetadaten, Vertrauenswerte und MITRE ATT&CK-Kontext.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets und IAM-Richtlinien
  • Ein Intel 471 Titan-Konto mit API-Zugriff auf das Malware Intelligence-Modul

Google Cloud Storage-Bucket erstellen

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. intel471-malware-intel-logs.
    Standorttyp Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffskontrolle Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Intel 471 IOC-Feed nach Google Cloud Storage exportieren

Intel 471 stellt über die Titan API Daten zu Malware-Indikatoren bereit. Verwenden Sie einen geplanten Prozess, um Indikatoren zu exportieren und im JSON-Format in GCS hochzuladen.

  1. Melden Sie sich im Intel 471 Titan-Portal an.
  2. Rufen Sie Einstellungen > API auf und generieren Sie einen API-Schlüssel, falls Sie noch keinen haben.
  3. Kopieren und speichern Sie den API-Schlüssel. Die Authentifizierung erfolgt über Ihre registrierte E-Mail-Adresse und Ihren API-Schlüssel über die HTTP-Basisauthentifizierung.
  4. Verwenden Sie ein geplantes Script oder eine Cloud Run-Funktion, um die Intel 471 Indicators Stream API aufzurufen und die Ergebnisse im JSON-Format in GCS zu schreiben:
    • /v1/indicators/stream für Streaming-Malware-Indikatoren (Datei-Hashes, URLs, Domains)
  5. Die exportierten Dateien müssen im JSON-Format vorliegen.
  6. Planen Sie den Export in regelmäßigen Abständen (z. B. jede Stunde), um die Indikatorabdeckung auf dem neuesten Stand zu halten.

Google SecOps-Dienstkonto abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Klicken Sie auf Einzelnen Feed konfigurieren.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Intel 471 Malware Intelligence als Log type (Protokolltyp) aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E-Mail-Adresse. Sie verwenden es in der nächsten Aufgabe.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Intel 471 Malware Intelligence-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Intel 471 Malware Intelligence logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Intel 471 Malware Intelligence als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    Feld Wert
    Storage-Bucket-URI gs://intel471-malware-intel-logs/intel471/indicators/
    Option zum Löschen der Quelle Wählen Sie die gewünschte Löschoption aus.
    Maximales Dateialter (Tage) Standardwert: 180 Tage
    Asset-Namespace Der Asset-Namespace
    Labels für Datenaufnahme Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
    • Ersetzen Sie intel471-malware-intel-logs durch den Namen Ihres tatsächlichen GCS-Buckets.
    • Fügen Sie immer einen Schrägstrich (/) am Ende des URI ein.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
data.uid additional.fields Zusätzliche Felder für benutzerdefinierte Daten
data.threat.uid additional.fields Zusätzliche Felder für benutzerdefinierte Daten
data.context.description metadata.description Eine Beschreibung des Ereignisses
metadata.event_type Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
meta.version metadata.product_version Produktversion
data.indicator_data.file.md5 principal.file.md5 MD5-Hash der Datei
data.indicator_data.file.type principal.file.mime_type MIME-Typ der Datei.
data.indicator_data.file.sha1 principal.file.sha1 SHA1-Hash der Datei
data.indicator_data.file.sha256 principal.file.sha256 SHA256-Hash der Datei
data.indicator_data.file.size principal.file.size Größe der Datei in Byte
data.indicator_data.file.download_url principal.url Mit dem Rechtssubjekt verknüpfte URL
data.confidence security_result.confidence Konfidenzniveau des Sicherheitsergebnisses
data.indicator_type, data.intel_requirements, data.mitre_tactics, data.source_id, data.threat.data.family, data.threat.data.malware_family_profile_uid security_result.detection_fields Zusätzliche Erkennungsfelder
data.threat.type security_result.threat_name Name der Bedrohung
metadata.product_name Produktname
metadata.vendor_name Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten