ThreatConnect-IOC-Logs mit der v3-API erfassen

Unterstützt in:

Mit dem ThreatConnect-Feed in Google Security Operations können Sie automatisch Kompromittierungsindikatoren (Indicators of Compromise, IOCs) wie IP-Adressen, Domains, URLs und Dateihashes sowie den zugehörigen Kontext (z. B. Bedrohungstyp, Vertrauenswürdigkeitswert, Tags) aus Ihrem ThreatConnect-Konto abrufen. Durch die Aufnahme dieser IOCs werden Ihre Sicherheitsdaten in Google Security Operations angereichert, was die Funktionen zur Bedrohungserkennung und -untersuchung verbessert.

In diesem Dokument wird beschrieben, wie Sie Google SecOps so konfigurieren, dass IOCs aus Ihrer ThreatConnect-Instanz mit dem ThreatConnect v3 API-Connector aufgenommen werden. Diese Version des Connectors verwendet die ThreatConnect v3 REST API und ist eine aktualisierte Version des vorhandenen Connectors, der die ThreatConnect v2 REST API verwendet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine aktive ThreatConnect-Instanz und ein Nutzerkonto mit ausreichenden Berechtigungen für den Zugriff auf die erforderlichen Indikatoren über die v3-API. Dazu sind in der Regel Berechtigungen zum Lesen von Indikatoren und deren Attributen erforderlich.
  • Eine Google Security Operations-Instanz
  • Sie benötigen ausreichende IAM-Berechtigungen (Identity and Access Management) in Ihrem Google Cloud -Projekt, um Google SecOps-Feeds zu verwalten.

Konfigurationsschritte

So richten Sie den ThreatConnect IOC-Feed ein:

ThreatConnect v3-API-Anmeldedaten abrufen

  1. Melden Sie sich in Ihrer ThreatConnect-Instanz an.
  2. Rufen Sie den Abschnitt API-Nutzerverwaltung auf, um einen neuen API-Nutzer zu erstellen oder einen vorhandenen Nutzer zu verwenden, der für Ihre Google SecOps-Integration vorgesehen ist.

  3. So erstellen Sie einen neuen API-Nutzer:

    1. Rufen Sie die Organisationseinstellungen auf > Einstellungen.
    2. Rufen Sie auf der Seite Organisationseinstellungen den Tab Mitgliedschaft auf.
    3. Klicken Sie auf API-Nutzer erstellen.

    4. Füllen Sie die Felder im Fenster API-Nutzerverwaltung aus:

      • Vorname: Geben Sie den Vornamen des API-Nutzers ein.
      • Nachname: Geben Sie den Nachnamen des API-Nutzers ein.

      • Systemrolle: Wählen Sie die Systemrolle API-Nutzer oder Exchange-Administrator aus.

      • Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.

      • In Beobachtungen und Falsch-Positiven einbeziehen: Aktivieren Sie das Kästchen, damit Daten, die vom API-Nutzer bereitgestellt werden, in die Zählungen einbezogen werden.

      • Deaktiviert: Klicken Sie auf das Kästchen, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.

  4. Kopieren Sie die Zugriffs-ID und den geheimen Schlüssel und bewahren Sie sie sicher auf.

  5. Klicken Sie auf Speichern.

  6. Rufen Sie die Zugriffs-ID und den geheimen Schlüssel für den entsprechenden API-Nutzer ab und fahren Sie mit dem nächsten Schritt fort.

ThreatConnect-Feed in Google Security Operations konfigurieren

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ThreatConnect Logs.
  5. Wählen Sie als Quelltyp die Option Drittanbieter-API aus.
  6. Wählen Sie als Log Type (Protokolltyp) ThreatConnect IOC V3 aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie die folgenden Details für die ThreatConnect v3-API ein:
    • Access ID (Zugriffs-ID): Geben Sie die ThreatConnect-Zugriffs-ID ein, die Sie in Schritt 1 erhalten haben.
    • Secret Key (Geheimer Schlüssel): Geben Sie den in Schritt 1 abgerufenen geheimen Schlüssel von ThreatConnect ein.
    • API-Hostname: Der FQDN Ihrer ThreatConnect-Instanz (z. B. <myinstance>.threatconnect.com).
    • Inhaber: Geben Sie die ThreatConnect-Organisation, ‑Community oder ‑Quelle an, aus der Indikatoren abgerufen werden sollen. Geben Sie pro Zeile einen Inhaber ein. Weitere Informationen finden Sie in der Übersicht für Inhaber.
    • TQL: Die erforderliche TQL-Abfrage zum Abrufen von IoCs basierend auf Ihren Anforderungen an die Aufnahme (siehe TQL-Abfragen schreiben).
    • Felder: Namen der zusätzlichen Felder, die abgerufen werden sollen, aber nicht standardmäßig abgerufen werden. Geben Sie ein Feld pro Zeile ein (siehe Liste der Standard- und zusätzlichen Felder).
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Datenaufnahme prüfen

  1. Nachdem Sie die Konfiguration eingereicht haben, kann es einige Zeit dauern, bis die ersten Daten abgerufen werden.
  2. Prüfen Sie den Feedstatus in der Liste Feeds. Der Status sollte schließlich als Abgeschlossen oder Aktiv angezeigt werden.
  3. Prüfen Sie, ob Daten aufgenommen werden, indem Sie auf der Google Security Operations-Suchseite Protokolle abfragen:
    • Verwenden Sie die Abfrage: log_type = "THREATCONNECT_IOC_V3"
  4. Prüfen Sie die aufgenommenen Logs, um sicherzustellen, dass die Felder wie erwartet geparst werden.

TQL-Abfragen schreiben

In ThreatConnect können Sie strukturierte Abfragen mit einer SQL-ähnlichen Abfragesprache namens ThreatConnect Query Language (TQL) erstellen, um sehr gezielte Suchen in Ihren Daten durchzuführen. Eine TQL-Abfrage enthält einen Parameternamen, einen Operator und einen Wert oder eine Liste von Werten. Sie können mehrere Abfragen mit Klammern und AND/OR-Logik kombinieren.

  • Die folgende TQL-Beispielabfrage sucht nach Netzwerkindikatoren mit hoher Wahrscheinlichkeit (IPs, Hosts, URLs), die in den letzten 30 Tagen hinzugefügt wurden und mit Cobalt Strike, APTs oder Phishing in Verbindung stehen. Außerdem werden bekannte falsch positive Ergebnisse und interne Testdaten explizit herausgefiltert.

    typeName IN ("Address", "Host", "URL")
AND confidence > 75
AND dateAdded > "NOW() - 30 DAYS"
AND (summary CONTAINS "cobalt" OR tag STARTSWITH "APT" OR tag ENDSWITH "Phish")
AND NOT tag = "False_Positive"
AND source != "Internal_Testing"

Weitere Informationen zu TQL finden Sie in der ThreatConnect-Dokumentation zu TQL.

Liste der Standard- und zusätzlichen Felder

In diesem Abschnitt werden die spezifischen Datenpunkte beschrieben, die über die ThreatConnect-API abgerufen werden. Sie sind danach kategorisiert, ob sie standardmäßig enthalten sind oder eine manuelle Konfiguration erfordern.

Standardfelder

Die folgenden Standardfelder werden standardmäßig von der API abgerufen und erfordern keine zusätzliche Konfiguration:

# Feld Beschreibung Typ Beispielwert(e)
1 active Gibt an, ob der Indikator aktiv ist. Boolesch true, false
2 activeLocked Gibt an, ob der aktive Indikatorstatus gesperrt ist. Boolesch true, false
3 confidence Konfidenzbewertung des Indikators Ganzzahl 1, 2, 3, ... 100
4 dateAdded Datum und Uhrzeit der externen Erstellung des Indikators DateTime "2023-10-04T12:34:56Z"
5 id Die ID des Indikators Ganzzahl 1, 2, 3, ... 100
6 ip Die IP-Adresse, die mit dem Adressindikator verknüpft ist String "107.180.48.66"
7 lastModified Datum und Uhrzeit der letzten externen Änderung des Indikators DateTime "2023-10-04T12:34:56Z"
8 legacyLink Alte URL (mit Zugriffsbeschränkung) für den Zugriff auf Details zum Indikator in der ThreatConnect-App URL "https://app.threatconnect.com/auth/indicators/..."
9 ownerId Die ID des Inhabers, zu dem der Indikator gehört Ganzzahl 1, 2, 3, ... 100
10 ownerName Der Name des Inhabers, zu dem der Indikator gehört String "Demo Community"
11 privateFlag Gibt an, ob der Indikator privat ist. Boolesch true, false
12 rating Bedrohungsgrad des Indikators Big Decimal 1.0: 2.0, 3.0, 4.0, 5.0
13 summary Der Wert des Indikators basierend auf dem Indikatortyp "type": "Host","summary": "zayla.co" ; "type": "Address","summary": "107.180.48.66"
14 type Der Typ des Indikators, der erstellt wird String "Address", "Host", "Registry Key" (Liste der zulässigen Werte)
15 webLink URL (mit Zugriffsbeschränkung) für den Zugriff auf Details zum Indikator in der ThreatConnect-App URL "https://app.threatconnect.com/#/details/indicators/10/overview"

Zusätzliche Felder

Beim Abrufen von Daten können Sie das Eingabefeld Felder verwenden, um zusätzliche Felder einzufügen, die nicht in der Liste der Standardfelder enthalten sind.

Wenn Sie ein oder mehrere zusätzliche Felder in die API-Antwort aufnehmen möchten, geben Sie den Feldwert beim Einrichten des Feeds in separaten Zeilen in das Eingabefeld Feld ein. Wenn Sie beispielsweise Daten für zugeordnete Gruppen und Tags in eine API-Antwort einfügen möchten, geben Sie associatedGroups in Zeile 1 ein, drücken Sie Enter und geben Sie dann tags in Zeile 2 ein.

Weitere Informationen zu Indikatorattributen finden Sie unter Indikatoren – Übersicht. Weitere Informationen zu zusätzlichen Feldern finden Sie unter Zusätzliche Felder in API-Antworten einfügen.

Häufige Probleme beheben

  • Fehler bei der Authentifizierung: Überprüfen Sie den API-Host, die Zugriffs-ID und den geheimen Schlüssel. Prüfen Sie, ob der API-Nutzer die richtigen Berechtigungen für die v3-API hat und nicht gesperrt ist. Prüfen Sie, ob Netzwerk-Firewalls den Zugriff von Google SecOps auf Ihren ThreatConnect API-Host blockieren.
  • Keine Daten aufgenommen:
    • Prüfen Sie, ob die von Ihnen festgelegten Filter (z.B. Konfidenz, Tags, Typen) mit den Indikatoren übereinstimmen, die in Ihrer ThreatConnect-Instanz verfügbar sind.
    • Prüfen Sie die Berechtigungen des ThreatConnect API-Nutzers.
    • Sehen Sie in der Google SecOps-Benutzeroberfläche nach, ob Fehlermeldungen zum aktuellen Feedstatus angezeigt werden.
  • API-Ratenbegrenzungen: ThreatConnect kann API-Ratenbegrenzungen erzwingen. Der Connector sollte Standardratenbegrenzungen berücksichtigen. Übermäßiges Abrufen kann jedoch zu Verzögerungen führen. Weitere Informationen zu den Grenzwerten finden Sie in der ThreatConnect API-Dokumentation.
  • Probleme beim Parsen von Daten: Wenn Protokolle aufgenommen, aber nicht richtig geparst werden, vergleichen Sie das Rohprotokoll von Google SecOps mit der erwarteten JSON-Ausgabe der ThreatConnect v3 API für Indikatoren. Wenden Sie sich an den Google Cloud -Support, wenn Sie ein Problem mit dem Parser vermuten.

Vom V2-Connector migrieren

Wenn Sie den vorherigen ThreatConnect-Feed auf Grundlage der v2-API verwendet haben, sollten Sie Folgendes beachten:

  • Wichtige Unterschiede: Die v3-API kann eine andere Datenstruktur, andere Filterparameter oder neue Funktionen haben. In der ThreatConnect v3-API-Dokumentation finden Sie Informationen zu Änderungen, die für die von Ihnen aufgenommenen Indikatoren relevant sind.
  • V3-Feed einrichten: Konfigurieren Sie den neuen Feed (wie oben beschrieben) mit Ihren V3-API-Anmeldedaten. Sie können sowohl den V2- als auch den V3-Feed für einen Übergangszeitraum gleichzeitig ausführen.
  • Daten validieren: Vergleichen Sie die vom V3-Feed erfassten Daten mit den Daten aus dem alten V2-Feed, um Vollständigkeit und Richtigkeit zu prüfen. Notieren Sie alle Feldänderungen oder Verbesserungen.
  • Alten Feed deaktivieren: Wenn Sie sich vergewissert haben, dass der V3-Feed wie erwartet funktioniert, können Sie die alte Feedkonfiguration, die die V2-API verwendet, deaktivieren oder löschen, um doppelte Daten zu vermeiden und API-Aufrufe zu reduzieren.

Weitere Informationen

Weitere Informationen zur ThreatConnect v3 REST API finden Sie in der ThreatConnect-Dokumentation.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten