收集 RH-ISAC IOC 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过使用第三方 API 设置 Google Security Operations Feed 来收集 RH-ISAC IOC(入侵指标)日志。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 RH_ISAC_IOC 注入标签的解析器。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 拥有有效的 RH-ISAC 核心会员资格,可访问 MISP 平台
- 对 https://misp.rhisac.org 上的 RH-ISAC MISP 实例的特权访问权限
生成 RH-ISAC MISP API 身份验证密钥
如需让 Google SecOps 从 RH-ISAC MISP 中检索 IOC,您需要生成 API 身份验证密钥。
访问您的 MISP 个人资料
- 登录 https://misp.rhisac.org 上的 RH-ISAC MISP 实例。
- 点击右上角的用户名,前往我的个人资料。
- 或者,直接前往:https://misp.rhisac.org/users/view/me。
创建身份验证密钥
- 在您的个人资料页面中,选择身份验证密钥标签页。
- 点击添加身份验证密钥。
提供以下配置详细信息:
- 注释:输入描述性注释以标识密钥(例如
Google SecOps Integration)。 只读:选择此选项(推荐)。
允许的 IP:可选。如果您想将密钥使用范围限制为特定 IP,请输入 Google SecOps IP 范围。
- 注释:输入描述性注释以标识密钥(例如
点击提交。
保存身份验证密钥
创建密钥后,系统会仅显示一次新的身份验证密钥。
- 立即将身份验证密钥复制并保存*到安全位置。
- 密钥格式为较长的十六进制字符串(例如
abc123def456...)。
所需 API 权限
RH-ISAC MISP API 身份验证密钥根据您的 RH-ISAC 会员角色提供以下访问权限:
| 权限 | 访问权限级别 | 用途 |
|---|---|---|
| 读取 IOC | 读取 | 检索失陷指标 |
| 读取事件 | 读取 | 检索包含 IOC 数据的 MISP 事件 |
| 读取属性 | 读取 | 检索特定 IOC 属性 |
| 读取代码 | 读取 | 检索分类标记(例如,rhisac:vetted) |
了解 RH-ISAC IOC 数据
RH-ISAC 通过其 MISP 平台提供精选的高可信度威胁情报:
- 经过审核的指标:带有
rhisac:vetted标记的 IOC 是由零售和酒店行业的成员验证的高保真指标。 - 丰富的数据:所有 IOC 都会使用 RH-ISAC 的 PyOTI (Python Open Threat Intelligence) 框架自动丰富。
- MITRE ATT&CK 映射:事件包括策略、技术和流程的 MITRE ATT&CK 框架映射。
- 威胁行为者背景信息:星系聚类提供威胁行为者归因和工具关系。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如
RH-ISAC IOC Feed)。 - 选择第三方 API 作为来源类型。
- 选择 RH-ISAC 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- OAuth 令牌端点:请与 RH-ISAC 支持团队联系,以获取您组织的 OAuth 令牌端点网址。
- OAuth 客户端 ID:请与 RH-ISAC 支持团队联系,以获取组织的 OAuth 客户端 ID。
- OAuth 客户端密钥:请与 RH-ISAC 支持团队联系,以获取组织的 OAuth 客户端密钥。
- 资产命名空间:资产命名空间。
- 注入标签:要应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
设置完成后,Feed 会开始按时间顺序从 RH-ISAC MISP 实例检索 IOC。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Event.uuid |
metadata.event_id |
MISP 事件唯一标识符 |
Attribute.type |
security_result.category |
IOC 类型(例如 ip-dst、domain、md5) |
Attribute.value |
security_result.detection_fields |
IOC 值(例如,IP 地址、域名、哈希) |
Attribute.comment |
security_result.description |
分析师评论或背景信息 |
Event.info |
security_result.summary |
活动说明或标题 |
Event.timestamp |
metadata.event_timestamp |
活动创建或修改时间 |
Attribute.category |
security_result.rule_name |
MISP 属性类别(例如,网络活动、载荷) |
Tag.name |
security_result.detection_fields.tags |
分类标记(例如 rhisac:vetted、tlp:amber) |
GalaxyCluster.value |
security_result.threat_name |
威胁行为者或工具名称 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。