Raccogliere i log IOC di RH-ISAC

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log IOC (Indicators of Compromise) di RH-ISAC configurando un feed Google Security Operations utilizzando l'API di terze parti.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione RH_ISAC_IOC.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Abbonamento di base attivo a RH-ISAC con accesso alla piattaforma MISP
Accesso privilegiato all'istanza MISP di RH-ISAC all'indirizzo https://misp.rhisac.org

Genera la chiave di autenticazione dell'API RH-ISAC MISP

Per consentire a Google SecOps di recuperare gli IOC da RH-ISAC MISP, devi generare una chiave di autenticazione API.

Accedere al profilo MISP

Accedi all'istanza MISP di RH-ISAC all'indirizzo https://misp.rhisac.org.
Vai a Il mio profilo facendo clic sul tuo nome utente nell'angolo in alto a destra.
In alternativa, vai direttamente a: https://misp.rhisac.org/users/view/me.

Crea chiave di autenticazione

Nella pagina del profilo, seleziona la scheda Chiavi di autenticazione.
Fai clic su Aggiungi chiave di autenticazione.
Fornisci i seguenti dettagli di configurazione:
- Commento: inserisci un commento descrittivo per identificare la chiave (ad esempio, Google SecOps Integration).
- Sola lettura: seleziona questa opzione (consigliata).
  
  Nota :poiché Google SecOps legge solo i dati IOC e non scrive nuovamente in RH-ISAC MISP, l'utilizzo di una chiave di sola lettura segue il principio del privilegio minimo.
- IP consentiti: facoltativo. Inserisci gli intervalli IP di Google SecOps se vuoi limitare l'utilizzo della chiave a IP specifici.
Fai clic su Invia.

Salva chiave di autenticazione

Dopo aver creato la chiave, viene visualizzata una nuova chiave di autenticazione una sola volta.

Copia e salva*immediatamente la chiave di autenticazione in una posizione sicura.
Il formato della chiave è una lunga stringa esadecimale (ad esempio, abc123def456...).

Autorizzazioni API richieste

La chiave di autenticazione dell'API RH-ISAC MISP fornisce il seguente accesso in base al tuo ruolo di membro RH-ISAC:

Autorizzazione	Livello di accesso	Finalità
Leggi gli IOC	Leggi	Recuperare gli indicatori di compromissione
Leggi eventi	Leggi	Recuperare gli eventi MISP con i dati IOC
Leggi attributi	Leggi	Recuperare attributi IOC specifici
Read Tags	Leggi	Recupera tag di tassonomia (ad es. rhisac:vetted)

Informazioni sui dati IOC di RH-ISAC

RH-ISAC fornisce intelligence sulle minacce curata e ad alta affidabilità tramite la piattaforma MISP:

Indicatori verificati: gli IOC contrassegnati con rhisac:vetted sono indicatori ad alta fedeltà convalidati dai membri del settore della vendita al dettaglio e dell'ospitalità.
Dati arricchiti: tutti gli indicatori di compromissione vengono arricchiti automaticamente utilizzando il framework PyOTI (Python Open Threat Intelligence) di RH-ISAC.
Mappatura MITRE ATT&CK: gli eventi includono mappature del framework MITRE ATT&CK per tattiche, tecniche e procedure.
Contesto del soggetto malintenzionato: i cluster Galaxy forniscono l'attribuzione del soggetto malintenzionato e le relazioni tra gli strumenti.

Configurare i feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, RH-ISAC IOC Feed).
Seleziona API di terze parti come Tipo di origine.
Seleziona RH-ISAC come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Endpoint del token OAuth: contatta l'assistenza RH-ISAC per ottenere l'URL dell'endpoint del token OAuth per la tua organizzazione.
- ID client OAuth: contatta l'assistenza RH-ISAC per ottenere l'ID client OAuth della tua organizzazione.
- Client secret OAuth: contatta l'assistenza RH-ISAC per ottenere il client secret OAuth della tua organizzazione.
Nota: Google SecOps utilizza l'autenticazione OAuth per connettersi a RH-ISAC MISP. La chiave di autenticazione dell'API MISP generata in precedenza viene utilizzata nell'ambito della configurazione OAuth. Contatta l'assistenza RH-ISAC per ricevere aiuto con la configurazione delle credenziali OAuth.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Dopo la configurazione, il feed inizia a recuperare gli IOC dall'istanza RH-ISAC MISP in ordine cronologico.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`Event.uuid`	`metadata.event_id`	Identificatore univoco dell'evento MISP
`Attribute.type`	`security_result.category`	Tipo di indicatore di compromissione (ad es. ip-dst, dominio, md5)
`Attribute.value`	`security_result.detection_fields`	Valore IOC (ad es. indirizzo IP, nome di dominio, hash)
`Attribute.comment`	`security_result.description`	Commento o contesto dell'analista
`Event.info`	`security_result.summary`	Descrizione o titolo dell'evento
`Event.timestamp`	`metadata.event_timestamp`	Ora di creazione o modifica dell'evento
`Attribute.category`	`security_result.rule_name`	Categoria dell'attributo MISP (ad es. Attività di rete, Payload)
`Tag.name`	`security_result.detection_fields.tags`	Tag di classificazione (ad es. rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Nome dell'attore delle minacce o dello strumento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.