Recopila registros de IOC de RH-ISAC

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de IOC (indicadores de compromiso) de RH-ISAC configurando un feed de Google Security Operations con la API de terceros.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia RH_ISAC_IOC.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Membresía activa de RH-ISAC Core con acceso a la plataforma de MISP
Acceso privilegiado a la instancia de MISP de RH-ISAC en https://misp.rhisac.org

Genera la clave de autenticación de la API de MISP de RH-ISAC

Para permitir que Google SecOps recupere IOC del MISP de RH-ISAC, debes generar una clave de autenticación de API.

Cómo acceder a tu perfil de MISP

Accede a la instancia de MISP de RH-ISAC en https://misp.rhisac.org.
En la esquina superior derecha, haz clic en tu nombre de usuario y ve a Mi perfil.
También puedes navegar directamente a https://misp.rhisac.org/users/view/me.

Crea una clave de autenticación

En tu página de perfil, selecciona la pestaña Claves de autorización.
Haz clic en Agregar clave de autenticación.
Proporciona los siguientes detalles de configuración:
- Comentario: Ingresa un comentario descriptivo para identificar la clave (por ejemplo, Google SecOps Integration).
- Solo lectura: Selecciona esta opción (recomendada).
  
  Nota: Dado que Google SecOps solo lee los datos de los IOC y no escribe en el MISP de RH-ISAC, usar una clave de solo lectura sigue el principio de privilegio mínimo.
- IPs permitidas: Opcional. Ingresa los rangos de IP de Google SecOps si deseas restringir el uso de la clave a IPs específicas.
Haz clic en Enviar.

Cómo guardar la clave de autenticación

Después de crear la clave, se muestra una nueva clave de autenticación solo una vez.

Copia y guarda*la clave de autenticación de inmediato en una ubicación segura.
El formato de la clave es una cadena hexadecimal larga (por ejemplo, abc123def456...).

Permisos de API necesarios

La clave de autenticación de la API de MISP de RH-ISAC proporciona el siguiente acceso según tu rol de membresía de RH-ISAC:

Permiso	Nivel de acceso	Objetivo
Leer los IOC	Leer	Recupera indicadores de compromiso
Leer eventos	Leer	Recupera eventos de MISP con datos de IOC
Atributos de lectura	Leer	Recupera atributos de IOC específicos
Read Tags	Leer	Recupera etiquetas de taxonomía (p.ej., rhisac:vetted)

Información sobre los datos de IOC de RH-ISAC

El RH-ISAC proporciona información sobre amenazas seleccionada y de alta confianza a través de su plataforma MISP:

Indicadores verificados: Los IOC etiquetados con rhisac:vetted son indicadores de alta fidelidad validados por miembros del sector minorista y hotelero.
Datos enriquecidos: Todos los IoC se enriquecen automáticamente con el framework PyOTI (Python Open Threat Intelligence) de RH-ISAC.
Asignación de MITRE ATT&CK: Los eventos incluyen asignaciones del framework de MITRE ATT&CK para tácticas, técnicas y procedimientos.
Contexto del agente de amenazas: Los clústeres de galaxias proporcionan atribución del agente de amenazas y relaciones de herramientas.

Configura feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, RH-ISAC IOC Feed).
Selecciona API de terceros como el Tipo de origen.
Selecciona RH-ISAC como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Extremo del token de OAuth: Comunícate con el equipo de asistencia de RH-ISAC para obtener la URL del extremo del token de OAuth de tu organización.
- ID de cliente de OAuth: Comunícate con el equipo de asistencia de RH-ISAC para obtener el ID de cliente de OAuth de tu organización.
- Secreto del cliente de OAuth: Comunícate con el equipo de asistencia de RH-ISAC para obtener el secreto del cliente de OAuth de tu organización.
Nota: Google SecOps usa la autenticación de OAuth para conectarse a MISP de RH-ISAC. La clave de autenticación de la API de MISP que generaste antes se usa como parte de la configuración de OAuth. Comunícate con el equipo de asistencia de RH-ISAC para obtener ayuda con la configuración de las credenciales de OAuth.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Después de la configuración, el feed comienza a recuperar los IOC de la instancia de MISP de RH-ISAC en orden cronológico.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Event.uuid`	`metadata.event_id`	Identificador único del evento de MISP
`Attribute.type`	`security_result.category`	Tipo de IOC (p.ej., ip-dst, domain, md5)
`Attribute.value`	`security_result.detection_fields`	Valor del IOC (p.ej., Dirección IP, nombre de dominio, hash)
`Attribute.comment`	`security_result.description`	Comentario o contexto del analista
`Event.info`	`security_result.summary`	Título o descripción del evento
`Event.timestamp`	`metadata.event_timestamp`	Hora de creación o modificación del evento
`Attribute.category`	`security_result.rule_name`	Categoría de atributo de MISP (p.ej., Actividad de red, carga útil)
`Tag.name`	`security_result.detection_fields.tags`	Etiquetas de taxonomía (p.ej., rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Nombre de la herramienta o el agente de amenazas

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.