Mengumpulkan log IOC Proofpoint Emerging Threats Pro
Dokumen ini menjelaskan cara menyerap log IOC Proofpoint Emerging Threats Pro ke Google Security Operations menggunakan Google Cloud Storage. Emerging Threats Intelligence memublikasikan daftar reputasi per jam untuk IP dan domain dalam format CSV dengan data intelijen ancaman, termasuk kategori, skor, dan informasi temporal. Kode parser memproses data intelijen ancaman ET_PRO berformat CSV. Alat ini mengekstrak alamat IP, domain, kategori, skor, dan informasi relevan lainnya, memetakannya ke format IOC standar dan skema UDM Chronicle untuk analisis dan penggunaan lebih lanjut dalam Google SecOps.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Langganan Proofpoint ET Intelligence dengan akses ke daftar reputasi
- Kunci ET Intelligence API dari https://etadmin.proofpoint.com/api-access
Mengumpulkan prasyarat Emerging Threats Pro
- Login ke ET Intelligence Admin Portal di https://etadmin.proofpoint.com.
- Buka Akses API.
- Salin dan simpan Kunci API Anda.
- Hubungi perwakilan Proofpoint Anda untuk mendapatkan:
- URL Daftar Reputasi IP Mendetail
- URL Daftar Reputasi Domain Mendetail
ET Intelligence menyediakan file CSV terpisah untuk daftar reputasi IP dan Domain, yang diperbarui setiap jam. Gunakan format "detail" yang mencakup kolom berikut:
- Daftar domain: Nama Domain, Kategori, Skor, Pertama Kali Terlihat, Terakhir Terlihat, Port
- Daftar IP: Alamat IP, Kategori, Skor, Pertama Kali Terlihat, Terakhir Terlihat, Port
URL format detail biasanya mengikuti pola ini:
- Daftar IP:
https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txt - Daftar domain:
https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txt
Header Otorisasi harus berisi nilai kunci API mentah tanpa awalan Bearer, yang sesuai dengan ekspektasi Emerging Threats API.
Membuat bucket Google Cloud Storage
- Buka Google Cloud Console.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, et-pro-ioc-bucket)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Lokasi Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Buat.
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
et-pro-ioc-fetcher-sa. - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect Proofpoint ET Pro IOC logs.
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Selesai.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
et-pro-ioc-fetcher-sa@PROJECT_ID.iam.gserviceaccount.com). - Tetapkan peran: Pilih Storage Object Admin.
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di GCP Console, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
et-pro-ioc-trigger. - Biarkan setelan lainnya tetap default.
- ID Topik: Masukkan
- Klik Buat.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Proofpoint ET Intelligence API dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan et-pro-ioc-fetcherWilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih
et-pro-ioc-trigger. - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih
et-pro-ioc-fetcher-sa.
- Akun layanan: Pilih
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETet-pro-ioc-bucketNama bucket GCS GCS_PREFIXet-pro-iocAwalan untuk file log STATE_KEYet-pro-ioc/state.jsonJalur file status ET_API_KEYyour-et-api-keyKunci ET Intelligence API ET_IP_LIST_URLhttps://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txtURL Daftar Reputasi IP Mendetail ET_DOMAIN_LIST_URLhttps://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txtURL Daftar Reputasi Domain Mendetail TIMEOUT120Waktu tunggu permintaan HTTP dalam detik Scroll ke bawah di tab Variables & Secrets ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit).
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan di Penampung:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi.
- CPU: Pilih 1.
- Klik Selesai.
- Di bagian Materi:
Scroll ke Lingkungan eksekusi:
- Pilih Default (direkomendasikan).
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan
0. - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban).
- Jumlah minimum instance: Masukkan
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di Function entry point
Di editor kode inline, buat dua file:
- File pertama: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch ET Pro IOC reputation lists and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'et-pro-ioc').strip('/') state_key = os.environ.get('STATE_KEY', f'{prefix}/state.json') et_api_key = os.environ.get('ET_API_KEY') et_ip_list_url = os.environ.get('ET_IP_LIST_URL') et_domain_list_url = os.environ.get('ET_DOMAIN_LIST_URL') timeout = int(os.environ.get('TIMEOUT', '120')) if not all([bucket_name, et_api_key, et_ip_list_url, et_domain_list_url]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Generate timestamp for file naming now = datetime.now(timezone.utc) timestamp = now.strftime('%Y/%m/%d/%H%M%S') results = [] errors = [] # Fetch IP reputation list try: print('Fetching IP reputation list...') ip_data = fetch_with_retry(et_ip_list_url, et_api_key, timeout) ip_key = f'{prefix}/ip/{timestamp}.csv' save_to_gcs(bucket, ip_key, ip_data) results.append({'type': 'ip', 'key': ip_key, 'size': len(ip_data)}) print(f'Successfully fetched IP list: {len(ip_data)} bytes') except Exception as e: error_msg = f'Failed to fetch IP list: {str(e)}' print(error_msg) errors.append(error_msg) # Fetch Domain reputation list try: print('Fetching Domain reputation list...') domain_data = fetch_with_retry(et_domain_list_url, et_api_key, timeout) domain_key = f'{prefix}/domain/{timestamp}.csv' save_to_gcs(bucket, domain_key, domain_data) results.append({'type': 'domain', 'key': domain_key, 'size': len(domain_data)}) print(f'Successfully fetched Domain list: {len(domain_data)} bytes') except Exception as e: error_msg = f'Failed to fetch Domain list: {str(e)}' print(error_msg) errors.append(error_msg) # Save state state = { 'last_fetch': now.isoformat(), 'results': results, 'errors': errors } save_state(bucket, state_key, state) if errors: print(f'Completed with {len(errors)} error(s)') else: print('Successfully completed all fetches') except Exception as e: print(f'Error processing logs: {str(e)}') raise def fetch_with_retry(url, api_key, timeout, max_retries=3): """Fetch URL with retry logic for rate limits.""" if not url.lower().startswith('https://'): raise ValueError('Only HTTPS URLs are allowed') headers = {'Authorization': api_key} for attempt in range(max_retries): try: response = http.request('GET', url, headers=headers, timeout=timeout) if response.status == 200: return response.data elif response.status == 429: # Rate limited, wait and retry wait_time = min(30 * (2 ** attempt), 300) print(f'Rate limited, waiting {wait_time}s...') time.sleep(wait_time) else: raise Exception(f'HTTP {response.status}: {response.reason}') except Exception as e: if attempt == max_retries - 1: raise time.sleep(5 * (attempt + 1)) raise Exception(f'Failed to fetch {url} after {max_retries} attempts') def save_to_gcs(bucket, key, content): """Save content to GCS with appropriate content type.""" blob = bucket.blob(key) blob.upload_from_string(content, content_type='text/csv') print(f'Saved {len(content)} bytes to gs://{bucket.name}/{key}') def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}')- File kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama et-pro-ioc-fetcher-hourlyWilayah Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih et-pro-ioc-triggerIsi pesan {}(objek JSON kosong)Klik Buat.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
Frekuensi Ekspresi Cron Kasus Penggunaan Setiap jam 0 * * * *Standar (direkomendasikan untuk ET Pro IOC) Setiap 2 jam 0 */2 * * *Frekuensi lebih rendah Setiap 6 jam 0 */6 * * *Update minimal
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda.
- Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik nama fungsi (
et-pro-ioc-fetcher). - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari hal berikut:
Fetching IP reputation list... Successfully fetched IP list: X bytes Fetching Domain reputation list... Successfully fetched Domain list: X bytes Successfully completed all fetchesBuka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (
et-pro-ioc/ip/danet-pro-ioc/domain/).Pastikan file
.csvbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa ET_API_KEY di variabel lingkungan
- HTTP 403: Verifikasi bahwa kunci API memiliki izin yang diperlukan
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
ET Pro IOC - IP Reputation). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Emerging Threats Pro sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.
Mengonfigurasi feed di Google SecOps untuk menyerap log IOC Proofpoint Emerging Threats Pro
Anda harus membuat dua feed terpisah - satu untuk reputasi IP dan satu untuk reputasi Domain.
Membuat Feed Reputasi IP
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan
ET Pro IOC - IP Reputation. - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Emerging Threats Pro sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://et-pro-ioc-bucket/et-pro-ioc/ip/- Ganti
et-pro-ioc-bucketdengan nama bucket GCS Anda yang sebenarnya.
- Ganti
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Namespace aset: Namespace aset.
Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Membuat Feed Reputasi Domain
Ulangi proses pembuatan feed:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan
ET Pro IOC - Domain Reputation. - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Emerging Threats Pro sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://et-pro-ioc-bucket/et-pro-ioc/domain/Ganti
et-pro-ioc-bucketdengan nama bucket GCS Anda yang sebenarnya.- Opsi penghapusan sumber: Pilih sesuai preferensi Anda.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| kategori | Kolom ini digunakan dalam logika parser, tetapi tidak dipetakan langsung ke UDM. | Menentukan nilai event.ioc.categorization melalui tabel pemetaan. |
| collection_time.nanos | event.idm.entity.metadata.collected_timestamp.nanos | Dipetakan langsung dari log mentah. |
| collection_time.seconds | event.idm.entity.metadata.collected_timestamp.seconds | Dipetakan langsung dari log mentah. |
| data | Kolom ini diuraikan menjadi beberapa kolom UDM berdasarkan kontennya. | |
| first_seen | event.idm.entity.metadata.interval.start_time | Diuraikan sebagai tanggal dan dipetakan ke UDM. |
| first_seen | event.ioc.active_timerange.start | Diuraikan sebagai tanggal dan dipetakan ke UDM. |
| ip_or_domain | event.idm.entity.entity.hostname | Dipetakan ke UDM jika pola grok mengekstrak host dari kolom. |
| ip_or_domain | event.idm.entity.entity.ip | Dipetakan ke UDM jika pola grok tidak mengekstrak host dari kolom. |
| ip_or_domain | event.ioc.domain_and_ports.domain | Dipetakan ke UDM jika pola grok mengekstrak host dari kolom. |
| ip_or_domain | event.ioc.ip_and_ports.ip_address | Dipetakan ke UDM jika pola grok tidak mengekstrak host dari kolom. |
| last_seen | event.idm.entity.metadata.interval.end_time | Diuraikan sebagai tanggal dan dipetakan ke UDM. |
| last_seen | event.ioc.active_timerange.end | Diuraikan sebagai tanggal dan dipetakan ke UDM. |
| ports | event.idm.entity.entity.labels.value | Diuraikan, digabungkan dengan pembatas koma, dan dipetakan ke UDM jika ada beberapa port. |
| ports | event.idm.entity.entity.port | Diuraikan dan dipetakan ke UDM jika hanya ada satu port. |
| ports | event.ioc.domain_and_ports.ports | Diuraikan dan dipetakan ke UDM jika pola grok mengekstrak host dari kolom. |
| ports | event.ioc.ip_and_ports.ports | Diuraikan dan dipetakan ke UDM jika pola grok tidak mengekstrak host dari kolom. |
| skor | event.ioc.confidence_score | Dipetakan langsung dari log mentah. |
| event.idm.entity.entity.labels.key | Setel ke "ports" jika ada beberapa port. | |
| event.idm.entity.metadata.entity_type | Tetapkan ke "DOMAIN_NAME" jika pola grok mengekstrak host dari kolom ip_or_domain, atau tetapkan ke "IP_ADDRESS". | |
| event.idm.entity.metadata.threat.category | Tetapkan ke "SOFTWARE_MALICIOUS". | |
| event.idm.entity.metadata.threat.category_details | Diperoleh dari kolom kategori menggunakan tabel pemetaan. | |
| event.idm.entity.metadata.threat.threat_name | Tetapkan ke "ET Intelligence Rep List". | |
| event.idm.entity.metadata.vendor_name | Tetapkan ke "ET_PRO_IOC". | |
| event.ioc.feed_name | Tetapkan ke "ET Intelligence Rep List". | |
| event.ioc.raw_severity | Ditetapkan ke "Berbahaya". | |
| timestamp.nanos | Disalin dari collection_time.nanos. | |
| timestamp.seconds | Disalin dari collection_time.seconds. |
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.