收集 RH-ISAC IOC 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用第三方 API 設定 Google Security Operations 資訊動態,藉此收集 RH-ISAC IOC (遭入侵指標) 記錄。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 RH_ISAC_IOC 攝入標籤的剖析器。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 具備 RH-ISAC 核心成員資格,且可存取 MISP 平台
- https://misp.rhisac.org 上的 RH-ISAC MISP 執行個體特殊存取權
產生 RH-ISAC MISP API 驗證金鑰
如要讓 Google SecOps 從 RH-ISAC MISP 擷取 IOC,您必須產生 API 驗證金鑰。
存取 MISP 設定檔
- 前往 https://misp.rhisac.org,登入 RH-ISAC MISP 執行個體。
- 按一下右上角的使用者名稱,前往「我的個人資料」。
- 或者,直接前往:https://misp.rhisac.org/users/view/me。
建立驗證金鑰
- 在設定檔頁面中,選取「Auth Keys」(驗證金鑰) 分頁。
- 按一下「新增驗證金鑰」。
請提供下列設定詳細資料:
- 註解:輸入清楚易懂的註解,方便識別金鑰 (例如
Google SecOps Integration)。 唯讀:選取這個選項 (建議)。
允許的 IP:選用。如要限制金鑰只能用於特定 IP,請輸入 Google SecOps IP 範圍。
- 註解:輸入清楚易懂的註解,方便識別金鑰 (例如
按一下「提交」。
儲存驗證金鑰
建立金鑰後,系統只會顯示一次新的驗證金鑰。
- 立即複製驗證金鑰並儲存*在安全的位置。
- 金鑰格式為長十六進位字串 (例如
abc123def456...)。
必要的 API 權限
RH-ISAC MISP API 驗證金鑰會根據您的 RH-ISAC 會員角色,提供下列存取權:
| 權限 | 存取層級 | 目的 |
|---|---|---|
| 讀取 IOC | 讀取 | 擷取入侵指標 |
| 讀取事件 | 讀取 | 使用 IOC 資料擷取 MISP 事件 |
| 讀取屬性 | 讀取 | 擷取特定 IOC 屬性 |
| 讀取標記 | 讀取 | 擷取分類標記 (例如 rhisac:vetted) |
瞭解 RH-ISAC IOC 資料
RH-ISAC 會透過 MISP 平台提供經過篩選的高可信度威脅情報:
- 經過審查的指標:標有
rhisac:vetted的 IOC 是由零售和餐旅業成員驗證的高保真度指標。 - 強化資料:系統會使用 RH-ISAC 的 PyOTI (Python 開放式威脅情報) 架構,自動強化所有 IOC。
- MITRE ATT&CK 對應:事件包括戰術、技術和程序的 MITRE ATT&CK 架構對應。
- 威脅發動者脈絡:星系叢集會提供威脅發動者歸因和工具關係。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
RH-ISAC IOC Feed)。 - 選取「第三方 API」做為「來源類型」。
- 選取「RH-ISAC」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- OAuth 權杖端點:請與 RH-ISAC 支援團隊聯絡,取得貴機構的 OAuth 權杖端點網址。
- OAuth 用戶端 ID:請與 RH-ISAC 支援團隊聯絡,取得貴機構的 OAuth 用戶端 ID。
- OAuth 用戶端密鑰:請與 RH-ISAC 支援團隊聯絡,取得貴機構的 OAuth 用戶端密鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
設定完成後,動態饋給會開始依時間順序從 RH-ISAC MISP 執行個體擷取 IOC。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
Event.uuid |
metadata.event_id |
MISP 事件專屬 ID |
Attribute.type |
security_result.category |
IOC 類型 (例如 ip-dst、網域、md5) |
Attribute.value |
security_result.detection_fields |
IOC 值 (例如 IP 位址、網域名稱、雜湊) |
Attribute.comment |
security_result.description |
分析師評論或背景資訊 |
Event.info |
security_result.summary |
活動說明或名稱 |
Event.timestamp |
metadata.event_timestamp |
活動建立或修改時間 |
Attribute.category |
security_result.rule_name |
MISP 屬性類別 (例如網路活動、酬載) |
Tag.name |
security_result.detection_fields.tags |
分類標記 (例如 rhisac:vetted、tlp:amber) |
GalaxyCluster.value |
security_result.threat_name |
威脅發動者或工具名稱 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。