RH-ISAC-IOC-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie RH-ISAC-IOC-Logs (Indicators of Compromise) erfassen, indem Sie einen Google Security Operations-Feed mit der Drittanbieter-API einrichten.

Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel RH_ISAC_IOC.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Aktive RH-ISAC-Kernmitgliedschaft mit Zugriff auf die MISP-Plattform
Privilegierter Zugriff auf die RH-ISAC MISP-Instanz unter https://misp.rhisac.org

RH-ISAC MISP-API-Authentifizierungsschlüssel generieren

Damit Google SecOps IOCs aus RH-ISAC MISP abrufen kann, müssen Sie einen API-Authentifizierungsschlüssel generieren.

Auf Ihr MISP-Profil zugreifen

Melden Sie sich unter https://misp.rhisac.org in der RH-ISAC MISP-Instanz an.
Klicken Sie oben rechts auf Ihren Nutzernamen, um Mein Profil aufzurufen.
Alternativ können Sie auch direkt https://misp.rhisac.org/users/view/me aufrufen.

Authentifizierungsschlüssel erstellen

Wählen Sie auf Ihrer Profilseite den Tab Auth Keys aus.
Klicken Sie auf Authentifizierungsschlüssel hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Kommentar: Geben Sie einen aussagekräftigen Kommentar ein, um den Schlüssel zu identifizieren (z. B. Google SecOps Integration).
- Nur lesen: Wählen Sie diese Option aus (empfohlen).
  
  Hinweis :Da Google SecOps nur IOC-Daten liest und nicht in RH-ISAC MISP zurückschreibt, wird mit einem schreibgeschützten Schlüssel das Prinzip der geringsten Berechtigung eingehalten.
- Zulässige IPs: Optional. Geben Sie die IP-Bereiche von Google SecOps ein, wenn Sie die Schlüsselnutzung auf bestimmte IPs beschränken möchten.
Klicken Sie auf Senden.

Authentifizierungsschlüssel speichern

Nachdem Sie den Schlüssel erstellt haben, wird ein neuer Authentifizierungsschlüssel nur einmal angezeigt.

Kopieren Sie den Authentifizierungsschlüssel und speichern Sie ihn sofort an einem sicheren Ort.*
Das Schlüsselformat ist ein langer hexadezimaler String (z. B. abc123def456...).

Erforderliche API-Berechtigungen

Der RH-ISAC MISP API-Authentifizierungsschlüssel bietet den folgenden Zugriff basierend auf Ihrer RH-ISAC-Mitgliedschaftsrolle:

Berechtigung	Zugriffsebene	Zweck
IOCs lesen	Lesen	Kompromittierungsindikatoren abrufen
Ereignisse lesen	Lesen	MISP-Ereignisse mit IOC-Daten abrufen
Attribute lesen	Lesen	Bestimmte IOC-Attribute abrufen
Tags lesen	Lesen	Taxonomie-Tags abrufen (z.B. rhisac:vetted)

IOC-Daten von RH-ISAC verstehen

RH-ISAC bietet über seine MISP-Plattform kuratierte, zuverlässige Informationen zu Bedrohungen:

Geprüfte Indikatoren: Mit rhisac:vetted gekennzeichnete IOCs sind High-Fidelity-Indikatoren, die von Mitgliedern des Einzelhandels- und Gastgewerbesektors validiert wurden.
Angereicherte Daten: Alle IOCs werden automatisch mit dem PyOTI-Framework (Python Open Threat Intelligence) von RH-ISAC angereichert.
MITRE-ATT&CK-Zuordnung: Ereignisse enthalten Zuordnungen des MITRE-ATT&CK-Frameworks für Taktiken, Techniken und Verfahren.
Kontext zu Angreifern: Galaxiencluster liefern Informationen zur Zuordnung von Angreifern und zu Tool-Beziehungen.

Feeds einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. RH-ISAC IOC Feed.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie RH-ISAC als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- OAuth-Token-Endpunkt: Wenden Sie sich an den RH-ISAC-Support, um die URL des OAuth-Token-Endpunkts für Ihre Organisation zu erhalten.
- OAuth-Client-ID: Wenden Sie sich an den RH-ISAC-Support, um die OAuth-Client-ID Ihrer Organisation zu erhalten.
- OAuth-Clientschlüssel: Wenden Sie sich an den RH-ISAC-Support, um den OAuth-Clientschlüssel Ihrer Organisation zu erhalten.
Hinweis: Google SecOps verwendet die OAuth-Authentifizierung, um eine Verbindung zu RH-ISAC MISP herzustellen. Der MISP-API-Authentifizierungsschlüssel, den Sie zuvor generiert haben, wird als Teil der OAuth-Konfiguration verwendet. Wenden Sie sich an den RH-ISAC-Support, um Hilfe bei der Einrichtung von OAuth-Anmeldedaten zu erhalten.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Nach der Einrichtung werden die IOCs chronologisch aus der RH-ISAC MISP-Instanz abgerufen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Event.uuid`	`metadata.event_id`	Eindeutige Kennung für MISP-Ereignis
`Attribute.type`	`security_result.category`	IOC-Typ (z.B. ip-dst, domain, md5)
`Attribute.value`	`security_result.detection_fields`	IOC-Wert (z.B. IP-Adresse, Domainname, Hash)
`Attribute.comment`	`security_result.description`	Kommentar oder Kontext des Analysten
`Event.info`	`security_result.summary`	Ereignisbeschreibung oder -titel
`Event.timestamp`	`metadata.event_timestamp`	Erstellungs- oder Änderungszeitpunkt des Termins
`Attribute.category`	`security_result.rule_name`	MISP-Attributkategorie (z.B. Netzwerkaktivität, Nutzlast)
`Tag.name`	`security_result.detection_fields.tags`	Taxonomie-Tags (z.B. rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Name des Angreifers oder Tools

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten