Mengumpulkan log IOC RH-ISAC

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log IOC (Indikator Kompromi) RH-ISAC dengan menyiapkan feed Google Security Operations menggunakan API Pihak ketiga.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan RH_ISAC_IOC.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Keanggotaan Inti RH-ISAC yang aktif dengan akses ke platform MISP
Akses istimewa ke instance MISP RH-ISAC di https://misp.rhisac.org

Membuat kunci autentikasi API MISP RH-ISAC

Untuk mengizinkan Google SecOps mengambil IOC dari RH-ISAC MISP, Anda perlu membuat kunci autentikasi API.

Mengakses profil MISP Anda

Login ke instance MISP RH-ISAC di https://misp.rhisac.org.
Buka Profil Saya dengan mengklik nama pengguna Anda di sudut kanan atas.
Atau, buka langsung: https://misp.rhisac.org/users/view/me.

Buat kunci autentikasi

Di halaman profil Anda, pilih tab Auth Keys.
Klik Tambahkan kunci autentikasi.
Berikan detail konfigurasi berikut:
- Comment: Masukkan komentar deskriptif untuk mengidentifikasi kunci (misalnya, Google SecOps Integration).
- Hanya baca: Pilih opsi ini (direkomendasikan).
  
  Catatan: Karena Google SecOps hanya membaca data IOC dan tidak menulis kembali ke MISP RH-ISAC, penggunaan kunci hanya baca mengikuti prinsip hak istimewa terendah.
- IP yang diizinkan: Opsional. Masukkan rentang IP Google SecOps jika Anda ingin membatasi penggunaan kunci ke IP tertentu.
Klik Kirim.

Simpan kunci autentikasi

Setelah kunci dibuat, kunci autentikasi baru akan ditampilkan hanya satu kali.

Segera salin dan simpan*kunci autentikasi di lokasi yang aman.
Format kunci adalah string heksadesimal panjang (misalnya, abc123def456...).

Izin API yang diperlukan

Kunci autentikasi RH-ISAC MISP API memberikan akses berikut berdasarkan peran keanggotaan RH-ISAC Anda:

Izin	Tingkat Akses	Tujuan
Baca IOC	Baca	Mengambil indikator penyusupan
Membaca Acara	Baca	Mengambil peristiwa MISP dengan data IOC
Read Attributes	Baca	Mengambil atribut IOC tertentu
Baca Tag	Baca	Mengambil tag taksonomi (misalnya, rhisac:vetted)

Memahami data IOC RH-ISAC

RH-ISAC menyediakan informasi ancaman yang dikurasi dan memiliki tingkat keyakinan tinggi melalui platform MISP mereka:

Indikator yang Diperiksa: IOC yang diberi tag rhisac:vetted adalah indikator fidelitas tinggi yang divalidasi oleh anggota sektor retail dan perhotelan.
Data yang Diperkaya: Semua IOC otomatis diperkaya menggunakan framework PyOTI (Python Open Threat Intelligence) RH-ISAC.
Pemetaan MITRE ATT&CK: Peristiwa mencakup pemetaan framework MITRE ATT&CK untuk taktik, teknik, dan prosedur.
Konteks Pelaku Ancaman: Gugusan galaksi memberikan atribusi pelaku ancaman dan hubungan alat.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, RH-ISAC IOC Feed).
Pilih Third party API sebagai Source type.
Pilih RH-ISAC sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Endpoint token OAuth: Hubungi dukungan RH-ISAC untuk mendapatkan URL endpoint token OAuth untuk organisasi Anda.
- ID klien OAuth: Hubungi dukungan RH-ISAC untuk mendapatkan ID klien OAuth organisasi Anda.
- Rahasia klien OAuth: Hubungi dukungan RH-ISAC untuk mendapatkan rahasia klien OAuth organisasi Anda.
Catatan: Google SecOps menggunakan autentikasi OAuth untuk terhubung ke RH-ISAC MISP. Kunci autentikasi MISP API yang Anda buat sebelumnya digunakan sebagai bagian dari konfigurasi OAuth. Hubungi dukungan RH-ISAC untuk mendapatkan bantuan terkait penyiapan kredensial OAuth.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Setelah penyiapan, feed mulai mengambil IOC dari instance MISP RH-ISAC dalam urutan kronologis.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Event.uuid`	`metadata.event_id`	ID unik peristiwa MISP
`Attribute.type`	`security_result.category`	Jenis IOC (misalnya, ip-dst, domain, md5)
`Attribute.value`	`security_result.detection_fields`	Nilai IOC (misalnya, Alamat IP, nama domain, hash)
`Attribute.comment`	`security_result.description`	Komentar atau konteks analis
`Event.info`	`security_result.summary`	Deskripsi atau judul acara
`Event.timestamp`	`metadata.event_timestamp`	Waktu pembuatan atau modifikasi acara
`Attribute.category`	`security_result.rule_name`	Kategori atribut MISP (misalnya, Aktivitas jaringan, Payload)
`Tag.name`	`security_result.detection_fields.tags`	Tag taksonomi (misalnya, rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Nama alat atau pelaku ancaman

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.