Coletar registros de IOC do RH-ISAC

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros de IOC (indicadores de comprometimento) do RH-ISAC configurando um feed do Google Security Operations usando a API de terceiros.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão RH_ISAC_IOC.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Uma instância do Google SecOps
Assinatura principal ativa do RH-ISAC com acesso à plataforma MISP
Acesso privilegiado à instância do MISP do RH-ISAC em https://misp.rhisac.org

Gerar chave de autenticação da API MISP do RH-ISAC

Para permitir que o Google SecOps recupere IOCs do RH-ISAC MISP, gere uma chave de autenticação de API.

Acessar seu perfil do MISP

Faça login na instância do MISP da RH-ISAC em https://misp.rhisac.org.
Clique no seu nome de usuário no canto superior direito para acessar Meu perfil.
Ou acesse diretamente: https://misp.rhisac.org/users/view/me.

Criar chave de autenticação

Na página do seu perfil, selecione a guia Chaves de autenticação.
Clique em Adicionar chave de autenticação.
Informe os seguintes detalhes de configuração:
- Comentário: insira um comentário descritivo para identificar a chave (por exemplo, Google SecOps Integration).
- Somente leitura: selecione esta opção (recomendada).
  
  Observação: como o Google SecOps lê apenas dados de IOC e não grava de volta no RH-ISAC MISP, usar uma chave somente leitura segue o princípio de privilégio mínimo.
- IPs permitidos: opcional. Insira os intervalos de IP da Google SecOps se quiser restringir o uso da chave a IPs específicos.
Clique em Enviar.

Salvar chave de autenticação

Depois de criar a chave, uma nova chave de autenticação será exibida apenas uma vez.

Copie e salve*a chave de autenticação imediatamente em um local seguro.
O formato da chave é uma string hexadecimal longa (por exemplo, abc123def456...).

Permissões de API necessárias

A chave de autenticação da API MISP do RH-ISAC oferece o seguinte acesso com base na sua função de membro do RH-ISAC:

Permissão	Nível de acesso	Finalidade
Ler IOCs	Ler	Recuperar indicadores de comprometimento
Ler eventos	Ler	Recuperar eventos do MISP com dados de IOC
Leitura de atributos	Ler	Recuperar atributos específicos de IOC
Ler tags	Ler	Recuperar tags de taxonomia (por exemplo, rhisac:vetted)

Noções básicas sobre dados de IOC do RH-ISAC

A RH-ISAC oferece inteligência sobre ameaças selecionada e de alta confiança pela plataforma MISP:

Indicadores verificados: os IOCs marcados com rhisac:vetted são indicadores de alta fidelidade validados por membros do setor de varejo e hotelaria.
Dados enriquecidos: todos os IOCs são enriquecidos automaticamente usando o framework PyOTI (Python Open Threat Intelligence) do RH-ISAC.
Mapeamento do MITRE ATT&CK: os eventos incluem mapeamentos da estrutura do MITRE ATT&CK para táticas, técnicas e procedimentos.
Contexto do agente de ameaças: os clusters do Galaxy fornecem atribuição de agentes de ameaças e relações de ferramentas.

Configurar feeds

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, RH-ISAC IOC Feed).
Selecione API de terceiros como o Tipo de origem.
Selecione RH-ISAC como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Endpoint do token OAuth: entre em contato com o suporte do RH-ISAC para receber o URL do endpoint do token OAuth da sua organização.
- ID do cliente OAuth: entre em contato com o suporte da RH-ISAC para receber o ID do cliente OAuth da sua organização.
- Chave secreta do cliente OAuth: entre em contato com o suporte do RH-ISAC para receber a chave secreta do cliente OAuth da sua organização.
Observação: o Google SecOps usa a autenticação OAuth para se conectar ao RH-ISAC MISP. A chave de autenticação da API MISP gerada anteriormente é usada como parte da configuração do OAuth. Entre em contato com o suporte da RH-ISAC para receber ajuda com a configuração das credenciais OAuth.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Após a configuração, o feed começa a recuperar IOCs da instância do MISP do RH-ISAC em ordem cronológica.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Event.uuid`	`metadata.event_id`	Identificador exclusivo do evento MISP.
`Attribute.type`	`security_result.category`	Tipo de IOC (por exemplo, ip-dst, domínio, md5)
`Attribute.value`	`security_result.detection_fields`	Valor do IOC (por exemplo, endereço IP, nome de domínio, hash)
`Attribute.comment`	`security_result.description`	Comentário ou contexto do analista
`Event.info`	`security_result.summary`	Descrição ou título do evento
`Event.timestamp`	`metadata.event_timestamp`	Horário de criação ou modificação do evento
`Attribute.category`	`security_result.rule_name`	Categoria de atributo do MISP (por exemplo, Atividade de rede, Payload)
`Tag.name`	`security_result.detection_fields.tags`	Tags de taxonomia (por exemplo, rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	Nome do agente de ameaça ou da ferramenta

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.