Collecter les journaux des IOC RH-ISAC

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux des IOC (indicateurs de compromission) RH-ISAC en configurant un flux Google Security Operations à l'aide de l'API tierce.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion RH_ISAC_IOC.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Être membre actif du RH-ISAC et avoir accès à la plate-forme MISP
Accès privilégié à l'instance MISP de RH-ISAC sur https://misp.rhisac.org

Générer une clé d'authentification pour l'API MISP de RH-ISAC

Pour permettre à Google SecOps de récupérer les IOC à partir de RH-ISAC MISP, vous devez générer une clé d'authentification de l'API.

Accéder à votre profil MISP

Connectez-vous à l'instance MISP de RH-ISAC à l'adresse https://misp.rhisac.org.
Cliquez sur votre nom d'utilisateur en haut à droite, puis sur Mon profil.
Vous pouvez également accéder directement à https://misp.rhisac.org/users/view/me.

Créer une clé d'authentification

Sur la page de votre profil, sélectionnez l'onglet Clés d'authentification.
Cliquez sur Ajouter une clé d'authentification.
Fournissez les informations de configuration suivantes :
- Commentaire : saisissez un commentaire descriptif pour identifier la clé (par exemple, Google SecOps Integration).
- Lecture seule : sélectionnez cette option (recommandée).
  
  Remarque : Étant donné que Google SecOps ne fait que lire les données IOC et ne les réécrit pas dans RH-ISAC MISP, l'utilisation d'une clé en lecture seule respecte le principe du moindre privilège.
- Adresses IP autorisées : facultatif. Saisissez les plages d'adresses IP Google SecOps si vous souhaitez limiter l'utilisation des clés à des adresses IP spécifiques.
Cliquez sur Envoyer.

Enregistrer la clé d'authentification

Une fois la clé créée, une nouvelle clé d'authentification s'affiche une seule fois.

Copiez et enregistrez*immédiatement la clé d'authentification dans un emplacement sécurisé.
Le format de la clé est une longue chaîne hexadécimale (par exemple, abc123def456...).

Autorisations d'API requises

La clé d'authentification de l'API MISP RH-ISAC fournit l'accès suivant en fonction de votre rôle de membre RH-ISAC :

Autorisation	Niveau d'accès	Objectif
Lire les IOC	Lire	Récupérer les indicateurs de compromission
Lire les événements	Lire	Récupérer des événements MISP avec des données d'IOC
Lire les attributs	Lire	Récupérer des attributs d'IOC spécifiques
Lire les tags	Lire	Récupérer les tags de taxonomie (par exemple, rhisac:vetted)

Comprendre les données d'IOC de RH-ISAC

Le RH-ISAC fournit des renseignements sur les menaces sélectionnés et très fiables via sa plate-forme MISP :

Indicateurs validés : les IOC marqués avec rhisac:vetted sont des indicateurs haute fidélité validés par les membres des secteurs de la vente au détail et de l'hôtellerie.
Données enrichies : tous les IoC sont automatiquement enrichis à l'aide du framework PyOTI (Python Open Threat Intelligence) de RH-ISAC.
Mappage MITRE ATT&CK : les événements incluent des mappages du framework MITRE ATT&CK pour les tactiques, les techniques et les procédures.
Contexte des acteurs malveillants : les clusters Galaxy fournissent l'attribution des acteurs malveillants et les relations entre les outils.

Configurer des flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, RH-ISAC IOC Feed).
Sélectionnez API tierce comme type de source.
Sélectionnez RH-ISAC comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Point de terminaison du jeton OAuth : contactez l'assistance RH-ISAC pour obtenir l'URL du point de terminaison du jeton OAuth de votre organisation.
- ID client OAuth : contactez l'assistance RH-ISAC pour obtenir l'ID client OAuth de votre organisation.
- Code secret du client OAuth : contactez l'assistance RH-ISAC pour obtenir le code secret du client OAuth de votre organisation.
Remarque : Google SecOps utilise l'authentification OAuth pour se connecter à RH-ISAC MISP. La clé d'authentification de l'API MISP que vous avez générée précédemment est utilisée dans la configuration OAuth. Contactez l'assistance RH-ISAC pour obtenir de l'aide concernant la configuration des identifiants OAuth.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Une fois la configuration terminée, le flux commence à récupérer les IOC de l'instance RH-ISAC MISP dans l'ordre chronologique.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`Event.uuid`	`metadata.event_id`	Identifiant unique de l'événement MISP
`Attribute.type`	`security_result.category`	Type de CTI (par exemple, ip-dst, domain, md5)
`Attribute.value`	`security_result.detection_fields`	Valeur de l'IOC (par exemple, Adresse IP, nom de domaine, hachage)
`Attribute.comment`	`security_result.description`	Commentaire ou contexte de l'analyste
`Event.info`	`security_result.summary`	Description ou titre de l'événement
`Event.timestamp`	`metadata.event_timestamp`	Heure de création ou de modification de l'événement
`Attribute.category`	`security_result.rule_name`	Catégorie d'attribut MISP (par exemple, Activité réseau, Charge utile)
`Tag.name`	`security_result.detection_fields.tags`	Tags de taxonomie (par exemple, rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Nom de l'acteur ou de l'outil malveillant

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.