Raccogliere i log IOC di Proofpoint Emerging Threats Pro

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log IOC di Proofpoint Emerging Threats Pro in Google Security Operations utilizzando Google Cloud Storage. Emerging Threats Intelligence pubblica elenchi di reputazione orari per IP e domini in formato CSV con dati di intelligence sulle minacce, tra cui categorie, punteggi e informazioni temporali. Il codice del parser elabora i dati di threat intelligence ET_PRO in formato CSV. Estrae indirizzi IP, domini, categorie, punteggi e altre informazioni pertinenti, mappandoli sia in un formato IOC standardizzato sia nello schema UDM di Chronicle per ulteriori analisi e utilizzo in Google SecOps.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Abbonamento a Proofpoint ET Intelligence con accesso agli elenchi di reputazione
Chiave API ET Intelligence da https://etadmin.proofpoint.com/api-access

Raccogliere i prerequisiti di Emerging Threats Pro

Accedi al portale di amministrazione di ET Intelligence all'indirizzo https://etadmin.proofpoint.com.
Vai ad Accesso API.
Copia e salva la chiave API.
Contatta il tuo rappresentante di Proofpoint per ottenere:
- URL dell'elenco dettagliato della reputazione IP
- URL dell'elenco dettagliato della reputazione del dominio

ET Intelligence fornisce file CSV separati per gli elenchi di reputazione di IP e domini, aggiornati ogni ora. Utilizza il formato "Dettagliato", che include le seguenti colonne:

Elenco domini: nome di dominio, categoria, punteggio, prima visualizzazione, ultima visualizzazione, porte
Elenco IP: indirizzo IP, categoria, punteggio, prima visualizzazione, ultima visualizzazione, porte

Gli URL in formato dettagliato in genere seguono questo pattern:

Elenco IP: https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txt
Elenco domini: https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txt

L'intestazione Authorization deve contenere il valore della chiave API non elaborato senza un prefisso Bearer, in linea con le aspettative dell'API Emerging Threats.

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `et-pro-ioc-bucket`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci et-pro-ioc-fetcher-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Proofpoint ET Pro IOC logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. et-pro-ioc-fetcher-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci et-pro-ioc-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Proofpoint ET Intelligence e li scrive in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`et-pro-ioc-fetcher`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli et-pro-ioc-trigger.
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account (Service account): seleziona et-pro-ioc-fetcher-sa.

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`et-pro-ioc-bucket`	Nome bucket GCS
`GCS_PREFIX`	`et-pro-ioc`	Prefisso per i file di log
`STATE_KEY`	`et-pro-ioc/state.json`	Percorso file di stato
`ET_API_KEY`	`your-et-api-key`	Chiave API ET Intelligence
`ET_IP_LIST_URL`	`https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-iprepdata.txt`	URL dell'elenco dettagliato della reputazione IP
`ET_DOMAIN_LIST_URL`	`https://rules.emergingthreatspro.com/[your-code]/reputation/detailed-domainrepdata.txt`	URL dell'elenco dettagliato della reputazione del dominio
`TIMEOUT`	`120`	Timeout richiesta HTTP in secondi

Scorri verso il basso nella scheda Variabili e secret fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni in Container:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
- Fai clic su Fine.
Scorri fino a Ambiente di esecuzione:
- Seleziona Predefinito (opzione consigliata).
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch ET Pro IOC reputation lists and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'et-pro-ioc').strip('/')
    state_key = os.environ.get('STATE_KEY', f'{prefix}/state.json')
    et_api_key = os.environ.get('ET_API_KEY')
    et_ip_list_url = os.environ.get('ET_IP_LIST_URL')
    et_domain_list_url = os.environ.get('ET_DOMAIN_LIST_URL')
    timeout = int(os.environ.get('TIMEOUT', '120'))

    if not all([bucket_name, et_api_key, et_ip_list_url, et_domain_list_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Generate timestamp for file naming
        now = datetime.now(timezone.utc)
        timestamp = now.strftime('%Y/%m/%d/%H%M%S')

        results = []
        errors = []

        # Fetch IP reputation list
        try:
            print('Fetching IP reputation list...')
            ip_data = fetch_with_retry(et_ip_list_url, et_api_key, timeout)
            ip_key = f'{prefix}/ip/{timestamp}.csv'
            save_to_gcs(bucket, ip_key, ip_data)
            results.append({'type': 'ip', 'key': ip_key, 'size': len(ip_data)})
            print(f'Successfully fetched IP list: {len(ip_data)} bytes')
        except Exception as e:
            error_msg = f'Failed to fetch IP list: {str(e)}'
            print(error_msg)
            errors.append(error_msg)

        # Fetch Domain reputation list
        try:
            print('Fetching Domain reputation list...')
            domain_data = fetch_with_retry(et_domain_list_url, et_api_key, timeout)
            domain_key = f'{prefix}/domain/{timestamp}.csv'
            save_to_gcs(bucket, domain_key, domain_data)
            results.append({'type': 'domain', 'key': domain_key, 'size': len(domain_data)})
            print(f'Successfully fetched Domain list: {len(domain_data)} bytes')
        except Exception as e:
            error_msg = f'Failed to fetch Domain list: {str(e)}'
            print(error_msg)
            errors.append(error_msg)

        # Save state
        state = {
            'last_fetch': now.isoformat(),
            'results': results,
            'errors': errors
        }
        save_state(bucket, state_key, state)

        if errors:
            print(f'Completed with {len(errors)} error(s)')
        else:
            print('Successfully completed all fetches')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_with_retry(url, api_key, timeout, max_retries=3):
    """Fetch URL with retry logic for rate limits."""
    if not url.lower().startswith('https://'):
        raise ValueError('Only HTTPS URLs are allowed')

    headers = {'Authorization': api_key}

    for attempt in range(max_retries):
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)

            if response.status == 200:
                return response.data
            elif response.status == 429:
                # Rate limited, wait and retry
                wait_time = min(30 * (2 ** attempt), 300)
                print(f'Rate limited, waiting {wait_time}s...')
                time.sleep(wait_time)
            else:
                raise Exception(f'HTTP {response.status}: {response.reason}')
        except Exception as e:
            if attempt == max_retries - 1:
                raise
            time.sleep(5 * (attempt + 1))

    raise Exception(f'Failed to fetch {url} after {max_retries} attempts')

def save_to_gcs(bucket, key, content):
    """Save content to GCS with appropriate content type."""
    blob = bucket.blob(key)
    blob.upload_from_string(content, content_type='text/csv')
    print(f'Saved {len(content)} bytes to gs://{bucket.name}/{key}')

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`et-pro-ioc-fetcher-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona `et-pro-ioc-trigger`
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza Espressione cron Caso d'uso

Ogni ora 0 * * * * Standard (consigliato per ET Pro IOC)

Ogni 2 ore 0 */2 * * * Frequenza più bassa

Ogni 6 ore 0 */6 * * * Aggiornamenti minimi

Nota: ET Intelligence aggiorna gli elenchi di reputazione ogni ora, pertanto è consigliabile la raccolta oraria.

Frequenza	Espressione cron	Caso d'uso
Ogni ora	`0 * * * *`	Standard (consigliato per ET Pro IOC)
Ogni 2 ore	`0 /2 * *`	Frequenza più bassa
Ogni 6 ore	`0 /6 * *`	Aggiornamenti minimi

Testare l'integrazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare il job manualmente.
Aspetta alcuni secondi.
Vai a Cloud Run > Servizi.
Fai clic sul nome della funzione (et-pro-ioc-fetcher).
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

Fetching IP reputation list...
Successfully fetched IP list: X bytes
Fetching Domain reputation list...
Successfully fetched Domain list: X bytes
Successfully completed all fetches

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alle cartelle dei prefissi (et-pro-ioc/ip/ e et-pro-ioc/domain/).
Verifica che siano stati creati nuovi file .csv con il timestamp corrente.

Se visualizzi errori nei log:

HTTP 401: controlla ET_API_KEY nelle variabili di ambiente
HTTP 403: verifica che la chiave API disponga delle autorizzazioni richieste
HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, ET Pro IOC - IP Reputation).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Emerging Threats Pro come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura i feed in Google SecOps per importare i log IOC di Proofpoint Emerging Threats Pro

Devi creare due feed separati: uno per la reputazione IP e uno per la reputazione del dominio.

Crea feed reputazione IP

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci ET Pro IOC - IP Reputation.
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Emerging Threats Pro come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://et-pro-ioc-bucket/et-pro-ioc/ip/
```
  - Sostituisci et-pro-ioc-bucket con il nome effettivo del bucket GCS.
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Crea feed reputazione dominio

Ripeti la procedura di creazione del feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci ET Pro IOC - Domain Reputation.
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Emerging Threats Pro come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://et-pro-ioc-bucket/et-pro-ioc/domain/
```
Sostituisci et-pro-ioc-bucket con il nome effettivo del bucket GCS.

Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione che preferisci.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
category	Questo campo viene utilizzato nella logica del parser, ma non viene mappato direttamente all'UDM.	Determina il valore di event.ioc.categorization tramite una tabella di ricerca.
collection_time.nanos	event.idm.entity.metadata.collected_timestamp.nanos	Mappato direttamente dal log non elaborato.
collection_time.seconds	event.idm.entity.metadata.collected_timestamp.seconds	Mappato direttamente dal log non elaborato.
dati	Questo campo viene analizzato in più campi UDM in base ai suoi contenuti.
first_seen	event.idm.entity.metadata.interval.start_time	Analizzato come data e mappato al modello UDM.
first_seen	event.ioc.active_timerange.start	Analizzato come data e mappato al modello UDM.
ip_or_domain	event.idm.entity.entity.hostname	Mappato a UDM se il pattern grok estrae un host dal campo.
ip_or_domain	event.idm.entity.entity.ip	Mappato a UDM se il pattern grok non estrae un host dal campo.
ip_or_domain	event.ioc.domain_and_ports.domain	Mappato a UDM se il pattern grok estrae un host dal campo.
ip_or_domain	event.ioc.ip_and_ports.ip_address	Mappato a UDM se il pattern grok non estrae un host dal campo.
last_seen	event.idm.entity.metadata.interval.end_time	Analizzato come data e mappato al modello UDM.
last_seen	event.ioc.active_timerange.end	Analizzato come data e mappato al modello UDM.
ports	event.idm.entity.entity.labels.value	Analizzato, unito con il delimitatore virgola e mappato all'UDM se sono presenti più porte.
ports	event.idm.entity.entity.port	Analizzato e mappato all'UDM se è presente una sola porta.
ports	event.ioc.domain_and_ports.ports	Analizzato e mappato a UDM se il pattern grok estrae un host dal campo.
ports	event.ioc.ip_and_ports.ports	Analizzato e mappato all'UDM se il pattern Grok non estrae un host dal campo.
punteggio	event.ioc.confidence_score	Mappato direttamente dal log non elaborato.
	event.idm.entity.entity.labels.key	Imposta "porte" se sono presenti più porte.
	event.idm.entity.metadata.entity_type	Imposta su "DOMAIN_NAME" se il pattern grok estrae un host dal campo ip_or_domain, altrimenti imposta su "IP_ADDRESS".
	event.idm.entity.metadata.threat.category	Imposta il valore su "SOFTWARE_MALICIOUS".
	event.idm.entity.metadata.threat.category_details	Derivato dal campo della categoria utilizzando una tabella di ricerca.
	event.idm.entity.metadata.threat.threat_name	Imposta "Elenco rappresentanti ET Intelligence".
	event.idm.entity.metadata.vendor_name	Imposta il valore su "ET_PRO_IOC".
	event.ioc.feed_name	Imposta "Elenco rappresentanti ET Intelligence".
	event.ioc.raw_severity	Impostato su "Malicious" (Dannoso).
	timestamp.nanos	Copiato da collection_time.nanos.
	timestamp.seconds	Copiato da collection_time.seconds.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.