Coletar registros de IOC do ThreatConnect usando a API v3

Compatível com:

O feed do ThreatConnect no Google Security Operations permite buscar automaticamente indicadores de comprometimento (IOCs), como endereços IP, domínios, URLs e hashes de arquivos, além do contexto deles (por exemplo, tipo de ameaça, pontuação de confiança, tags) na sua conta do ThreatConnect. A ingestão desses IOCs enriquece seus dados de segurança nas Operações de segurança do Google, melhorando os recursos de detecção e investigação de ameaças.

Este documento descreve como configurar o Google SecOps para ingerir IOCs da sua instância do ThreatConnect usando o conector da API v3 do ThreatConnect. Esta versão do conector usa a API REST v3 do ThreatConnect e é uma versão atualizada do conector atual que usa a API REST v2 do ThreatConnect.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância ativa do ThreatConnect e uma conta de usuário com permissões suficientes para acessar os indicadores necessários usando a API v3. Isso geralmente envolve permissões para ler indicadores e atributos.
  • Uma instância do Google Security Operations
  • Permissões suficientes do Identity and Access Management no seu projeto Google Cloud para gerenciar feeds do Google SecOps

Etapas da configuração

Siga estas etapas para configurar o feed de indicadores de comprometimento do ThreatConnect:

Obter credenciais da API ThreatConnect v3

  1. Faça login na sua instância do ThreatConnect.
  2. Acesse a seção Gerenciamento de usuários da API para criar um usuário ou usar um existente designado para sua integração do Google SecOps.

  3. Para criar um usuário da API:

    1. Acesse Configurações > Configurações da organização.
    2. Acesse a guia Assinatura na página Configurações da organização.
    3. Clique em Criar usuário da API.

    4. Preencha os campos na janela Administração de usuários da API:

      • Nome: insira o nome do usuário da API.
      • Sobrenome: insira o sobrenome do usuário da API.

      • Função do sistema: selecione a função do sistema Usuário da API ou Administrador do Exchange.

      • Função na organização: selecione a função do usuário da API na organização.

      • Incluir em observações e falsos positivos: marque a caixa de seleção para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens.

      • Desativado: clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro.

  4. Copie e armazene com segurança o ID de acesso e a chave secreta.

  5. Clique em Salvar.

  6. Recupere o ID de acesso e a chave secreta do usuário da API relevante e siga para a próxima etapa.

Configurar o feed do ThreatConnect no Google Security Operations

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, ThreatConnect Logs).
  5. Em Tipo de origem, selecione API de terceiros.
  6. Em Tipo de registro, selecione ThreatConnect IOC V3.
  7. Clique em Próxima.
  8. Insira os seguintes detalhes da API ThreatConnect v3:
    • ID de acesso: insira o ID de acesso do ThreatConnect obtido na Etapa 1.
    • Chave secreta: insira a chave secreta do ThreatConnect obtida na Etapa 1.
    • Nome do host da API: o FQDN da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
    • Proprietários: especifique a organização, a comunidade ou a fonte do ThreatConnect para extrair indicadores. Insira um proprietário por linha. Para mais informações, consulte a Visão geral dos proprietários.
    • TQL: a consulta TQL necessária para buscar IoCs com base nos seus requisitos de ingestão. Consulte Como escrever consultas TQL.
    • Campos: nomes de campos adicionais a serem buscados, que não são buscados por padrão. Insira um campo por linha (consulte Lista de campos padrão e adicionais).
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Validar a ingestão

  1. Depois de enviar a configuração, aguarde um pouco para que os dados iniciais sejam extraídos.
  2. Verifique o status do feed na lista Feeds. O status vai aparecer como Concluído ou Ativo.
  3. Verifique se os dados estão sendo ingeridos consultando os registros na página de pesquisa das Operações de segurança do Google:
    • Use a consulta: log_type = "THREATCONNECT_IOC_V3"
  4. Examine os registros ingeridos para garantir que os campos sejam analisados como esperado.

Como escrever consultas TQL

No ThreatConnect, é possível criar consultas estruturadas com uma linguagem de consulta semelhante a SQL chamada ThreatConnect Query Language (TQL) para realizar pesquisas altamente segmentadas dos seus dados. Uma consulta TQL inclui um nome de parâmetro, um operador e um valor ou uma lista de valores. É possível combinar várias consultas com parênteses e lógica AND/OR.

  • A consulta TQL de exemplo a seguir pesquisa indicadores de rede de alta confiança (IPs, hosts, URLs) adicionados nos últimos 30 dias e associados a Cobalt Strike, APTs ou phishing. Ele também filtra explicitamente falsos positivos conhecidos e dados de teste internos.

    typeName IN ("Address", "Host", "URL")
AND confidence > 75
AND dateAdded > "NOW() - 30 DAYS"
AND (summary CONTAINS "cobalt" OR tag STARTSWITH "APT" OR tag ENDSWITH "Phish")
AND NOT tag = "False_Positive"
AND source != "Internal_Testing"

Para mais informações sobre a TQL, consulte a documentação da TQL do ThreatConnect (em inglês).

Lista de campos padrão e adicionais

Esta seção detalha os pontos de dados específicos recuperados da API do ThreatConnect, categorizados de acordo com se eles são incluídos por padrão ou exigem configuração manual.

Campos padrão

Os seguintes campos padrão são buscados pela API por padrão e não exigem configuração adicional:

# Campo Descrição Tipo Exemplo de valores
1 active Indica se o indicador está ativo. Booleano true, false
2 activeLocked Indica se o status do indicador ativo está bloqueado. Booleano true, false
3 confidence A classificação de confiança do indicador Número inteiro 1, 2, 3, ... 100
4 dateAdded A data e a hora em que o indicador foi criado externamente DateTime "2023-10-04T12:34:56Z"
5 id O ID do indicador. Número inteiro 1, 2, 3, ... 100
6 ip O endereço IP associado ao indicador de endereço. String "107.180.48.66"
7 lastModified A data e a hora em que o indicador foi modificado externamente pela última vez. DateTime "2023-10-04T12:34:56Z"
8 legacyLink URL legado (controlado) para acessar detalhes sobre o indicador no app ThreatConnect. URL "https://app.threatconnect.com/auth/indicators/..."
9 ownerId O ID do proprietário a que o indicador pertence. Número inteiro 1, 2, 3, ... 100
10 ownerName O nome do proprietário a que o indicador pertence String "Demo Community"
11 privateFlag Indica se o indicador é particular. Booleano true, false
12 rating A classificação de ameaça do indicador Big Decimal 1.0, 2.0, 3.0, 4.0, 5.0
13 summary O valor do indicador. com base no tipo de indicador "type": "Host","summary": "zayla.co" ; "type": "Address","summary": "107.180.48.66"
14 type O tipo de indicador que está sendo criado String "Address", "Host", "Registry Key" (lista de valores aceitos)
15 webLink URL (restrito) para acessar detalhes sobre o indicador no app ThreatConnect. URL "https://app.threatconnect.com/#/details/indicators/10/overview"

Outros campos

Ao recuperar dados, use o campo de entrada Campos para incluir outros campos que não estão na lista de campos padrão.

Para incluir um ou mais campos adicionais na resposta da API, preencha o valor do campo em linhas separadas na caixa de entrada Campo ao configurar seu feed. Por exemplo, para incluir dados de grupos e tags associados em uma resposta da API, digite associatedGroups na linha 1, pressione Enter e insira tags na linha 2.

Para mais informações sobre atributos de indicadores, consulte Visão geral dos indicadores. Para mais informações sobre campos adicionais, consulte Incluir campos adicionais em respostas da API.

Resolver problemas comuns

  • Falha na autenticação: verifique novamente o host da API, o ID de acesso e a chave secreta. Verifique se o usuário da API tem as permissões corretas para a API v3 e não está bloqueado. Verifique se não há firewalls de rede bloqueando o acesso do Google SecOps ao host da API ThreatConnect.
  • Nenhum dado ingerido:
    • Confirme se os filtros definidos (por exemplo, confiança, tags, tipos) correspondem aos indicadores disponíveis na sua instância do ThreatConnect.
    • Verifique as permissões do usuário da API do ThreatConnect.
    • Verifique o status mais recente do feed na interface do Google SecOps para mensagens de erro.
  • Limites de taxa de API: o ThreatConnect pode aplicar limites de taxa de API. O conector processa os limites de taxa padrão, mas a busca excessiva pode causar atrasos. Consulte a documentação da API ThreatConnect para mais detalhes sobre os limites.
  • Problemas de análise de dados: se os registros forem ingeridos, mas não analisados corretamente, compare o registro bruto do Google SecOps com a saída JSON esperada da API ThreatConnect v3 para indicadores. Entre em contato com o suporte Google Cloud se você suspeitar de um problema com o analisador.

Migrar do conector v2

Se você estava usando o feed anterior do ThreatConnect com base na API v2, considere o seguinte:

  • Principais diferenças: a API v3 pode ter uma estrutura de dados diferente, parâmetros de filtragem diferentes ou novos recursos. Leia a documentação da API ThreatConnect v3 para entender as mudanças relevantes para os indicadores que você está ingerindo.
  • Configurar o feed da v3: configure o novo feed (conforme descrito acima) usando suas credenciais da API v3. É possível executar os feeds v2 e v3 simultaneamente por um período de transição.
  • Validar dados: compare os dados ingeridos pelo feed v3 com os dados do feed v2 antigo para garantir a integridade e a correção. Observe as mudanças ou melhorias nos campos.
  • Desativar o feed antigo: depois de confirmar que o feed v3 está funcionando conforme o esperado, desative ou exclua a configuração do feed antigo que usa a API v2 para evitar dados duplicados e reduzir as chamadas de API.

Saiba mais

Para mais informações sobre a API REST v3 do ThreatConnect, consulte a documentação do ThreatConnect.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.