Raccogliere i log di Intel 471 Malware Intelligence

Supportato in:

Questo documento spiega come importare i log di Intel 471 Malware Intelligence in Google Security Operations utilizzando Google Cloud Storage V2.

Intel 471 è una piattaforma di threat intelligence che fornisce indicatori di malware, monitoraggio degli autori di minacce e monitoraggio dei forum underground. Il parser mappa i dati degli indicatori in formato JSON al modello UDM (Unified Data Model), estraendo hash di file, metadati delle minacce, punteggi di confidenza e contesto MITRE ATT&CK.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Storage Cloud abilitata
  • Autorizzazioni per creare e gestire bucket GCS e policy IAM
  • Un account Intel 471 Titan con accesso API al modulo Malware Intelligence

Crea un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio intel471-malware-intel-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Esportare il feed IOC di Intel 471 in Google Cloud Storage

Intel 471 fornisce dati sugli indicatori di malware tramite l'API Titan. Utilizza un processo pianificato per esportare gli indicatori e caricarli in GCS in formato JSON.

  1. Accedi al portale Intel 471 Titan.
  2. Vai a Impostazioni > API e genera una chiave API se non ne hai già una.
  3. Copia e salva la chiave API. L'autenticazione utilizza l'indirizzo email registrato e la chiave API tramite l'autenticazione di base HTTP.
  4. Utilizza uno script pianificato o una funzione Cloud Run per chiamare l'API Intel 471 Indicators Stream e scrivere i risultati in GCS in formato JSON:
    • /v1/indicators/stream per gli indicatori di malware in streaming (hash di file, URL, domini)
  5. Assicurati che i file esportati siano in formato JSON.
  6. Pianifica l'esecuzione dell'esportazione a intervalli regolari (ad esempio, ogni ora) per mantenere aggiornata la copertura degli indicatori.

Recuperare il account di servizio Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Feed.
  3. Fai clic su Aggiungi nuovo feed.
  4. Fai clic su Configura un singolo feed.
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Intel 471 Malware Intelligence come Tipo di log.

  7. Fai clic su Ottieni service account. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia l'indirizzo email. Lo utilizzerai nel prossimo passaggio.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del account di servizio Google SecOps.
    • Assegna ruoli: seleziona Visualizzatore oggetti Storage.
  6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di Intel 471 Malware Intelligence

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Intel 471 Malware Intelligence logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Intel 471 Malware Intelligence come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    Campo Valore
    URI bucket di archiviazione gs://intel471-malware-intel-logs/intel471/indicators/
    Opzione di eliminazione dell'origine Seleziona l'opzione di eliminazione in base alle tue preferenze
    Età massima del file (giorni) Il valore predefinito è 180 giorni
    Spazio dei nomi dell'asset Lo spazio dei nomi dell'asset
    Etichette di importazione L'etichetta da applicare agli eventi di questo feed
    • Sostituisci intel471-malware-intel-logs con il nome effettivo del bucket GCS.
    • Includi sempre la barra finale (/) alla fine dell'URI.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
data.uid additional.fields Campi aggiuntivi per i dati personalizzati
data.threat.uid additional.fields Campi aggiuntivi per i dati personalizzati
data.context.description metadata.description Descrizione dell'evento
metadata.event_type Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
meta.version metadata.product_version Versione del prodotto
data.indicator_data.file.md5 principal.file.md5 Hash MD5 del file
data.indicator_data.file.type principal.file.mime_type Tipo MIME del file
data.indicator_data.file.sha1 principal.file.sha1 Hash SHA1 del file
data.indicator_data.file.sha256 principal.file.sha256 Hash SHA256 del file
data.indicator_data.file.size principal.file.size Dimensioni del file in byte
data.indicator_data.file.download_url principal.url URL associato al principale
data.confidence security_result.confidence Livello di confidenza del risultato di sicurezza
data.indicator_type, data.intel_requirements, data.mitre_tactics, data.source_id, data.threat.data.family, data.threat.data.malware_family_profile_uid security_result.detection_fields Campi di rilevamento aggiuntivi
data.threat.type security_result.threat_name Nome della minaccia
metadata.product_name Nome del prodotto
metadata.vendor_name Nome fornitore/azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.