Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de IOC de ThreatConnect con la API v3

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

El feed de ThreatConnect en Google Security Operations te permite recuperar automáticamente indicadores de compromiso (IOC), como direcciones IP, dominios, URLs y hashes de archivos, junto con su contexto (por ejemplo, tipo de amenaza, puntuación de confianza, etiquetas) de tu cuenta de ThreatConnect. La transferencia de estos IOC enriquece tus datos de seguridad en Google Security Operations, lo que mejora las capacidades de detección e investigación de amenazas.

En este documento, se describe cómo configurar Google SecOps para que ingiera IOC desde tu instancia de ThreatConnect con el conector de la API de ThreatConnect v3. Esta versión del conector utiliza la API de REST v3 de ThreatConnect y es una versión actualizada del conector existente que usa la API de REST v2 de ThreatConnect.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de ThreatConnect activa y una cuenta de usuario con permisos suficientes para acceder a los indicadores requeridos con la API v3 Por lo general, esto implica permisos para leer indicadores y sus atributos.
Una instancia de Google Security Operations
Permisos suficientes de Identity and Access Management en tu proyecto de Google Cloud para administrar los feeds de Google SecOps

Pasos de configuración

Sigue estos pasos para configurar el feed de IOC de ThreatConnect:

Obtén credenciales de la API de ThreatConnect v3

Accede a tu instancia de ThreatConnect.
Ve a la sección Administración de usuarios de la API para crear un usuario de la API nuevo o usar uno existente designado para tu integración de Google SecOps.
Para crear un usuario de la API nuevo, sigue estos pasos:
1. Ve a Configuración > Configuración de la organización.
2. Ve a la pestaña Membresía en la página Configuración de la organización.
3. Haz clic en Crear usuario de API.
4. Completa los campos de la ventana Administración de usuarios de la API:
  - First Name: Ingresa el nombre del usuario de la API.
  - Apellido: Ingresa el apellido del usuario de la API.
  - Rol del sistema: Selecciona el rol del sistema Usuario de API o Administrador de Exchange.
    
    Nota: Los usuarios de la API con el rol de Usuario de la API pueden usar todos los extremos de la API de ThreatConnect v2 y v3, excepto los extremos de administración de la API de TC Exchange™ v3, mientras que el rol de Administrador de Exchange otorga acceso a todos los extremos de la v2 y la v3.
  - Organization Role: Selecciona el rol de la organización del usuario de la API.
  - Include in Observations and False Positives: Selecciona la casilla de verificación para permitir que los datos proporcionados por el usuario de la API se incluyan en los recuentos.
  - Inhabilitado: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador quiera conservar la integridad del registro.
Copia y almacena de forma segura el ID de acceso y la clave secreta.
Haz clic en Guardar.
Recupera el ID de acceso y la clave secreta del usuario de la API correspondiente y continúa con el siguiente paso.

Configura el feed de ThreatConnect en Google Security Operations

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, ThreatConnect Logs).
En Tipo de fuente, selecciona API de terceros.
En Log Type, selecciona ThreatConnect IOC V3.
Haz clic en Siguiente.
Ingresa los siguientes detalles para la API de ThreatConnect v3:
- ID de acceso: Ingresa el ID de acceso de ThreatConnect que obtuviste en el paso 1.
- Clave secreta: Ingresa la clave secreta de ThreatConnect que obtuviste en el paso 1.
- Nombre de host de la API: Es el FQDN de tu instancia de ThreatConnect (por ejemplo, <myinstance>.threatconnect.com).
- Propietarios: Especifica la organización, la comunidad o la fuente de ThreatConnect desde la que se extraerán los indicadores. Ingresa un propietario por línea. Para obtener más información, consulta la Descripción general de los propietarios.
- TQL: Es la consulta de TQL obligatoria para recuperar los IoC según tus requisitos de transferencia (consulta Cómo escribir consultas de TQL).
- Campos: Nombres de los campos adicionales que se recuperarán y que no se recuperan de forma predeterminada. Ingresa un campo por línea (consulta la Lista de campos predeterminados y adicionales).
Haz clic en Siguiente.
Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Valida la transferencia

Después de enviar la configuración, espera un tiempo para que se extraigan los datos iniciales.
Verifica el estado del feed en la lista Feeds. El estado debería mostrarse como Completado o Activo.
Verifica que se estén transfiriendo datos a través de consultas en los registros de la página de búsqueda de Google Security Operations:
- Usa la consulta: log_type = "THREATCONNECT_IOC_V3"
Examina los registros transferidos para asegurarte de que los campos se analicen según lo previsto.

Cómo escribir consultas en TQL

En ThreatConnect, puedes crear consultas estructuradas con un lenguaje de consulta similar a SQL llamado ThreatConnect Query Language (TQL) para realizar búsquedas muy específicas en tus datos. Una búsqueda en TQL incluye un nombre de parámetro, un operador y un valor o una lista de valores. Puedes combinar varias búsquedas con paréntesis y lógica AND/OR.

La siguiente consulta de ejemplo en TQL busca indicadores de red con un alto nivel de confianza (IP, hosts y URLs) agregados en los últimos 30 días que estén asociados con Cobalt Strike, APT o phishing. También filtra explícitamente los falsos positivos conocidos y los datos de prueba internos.
```
typeName IN ("Address", "Host", "URL")
AND confidence > 75
AND dateAdded > "NOW() - 30 DAYS"
AND (summary CONTAINS "cobalt" OR tag STARTSWITH "APT" OR tag ENDSWITH "Phish")
AND NOT tag = "False_Positive"
AND source != "Internal_Testing"
```

Para obtener más información sobre TQL, consulta la documentación de TQL de ThreatConnect.

Lista de campos predeterminados y adicionales

En esta sección, se detallan los puntos de datos específicos que se recuperan de la API de ThreatConnect, categorizados según si se incluyen de forma predeterminada o si requieren configuración manual.

Campos predeterminados

La API recupera los siguientes campos predeterminados de forma predeterminada y no requieren ninguna configuración adicional:

#	Campo	Descripción	Tipo	Valores de ejemplo
1	`active`	Indica si el indicador está activo.	Booleano	`true`, `false`
2	`activeLocked`	Indica si el estado del indicador activo está bloqueado.	Booleano	`true`, `false`
3	`confidence`	Calificación de confianza del indicador	Número entero	`1`, `2`, `3`, … `100`
4	`dateAdded`	Fecha y hora en que se creó el indicador de forma externa	DateTime	`"2023-10-04T12:34:56Z"`
5	`id`	ID del indicador	Número entero	`1`, `2`, `3`, … `100`
6	`ip`	La dirección IP asociada con el indicador de dirección	String	`"107.180.48.66"`
7	`lastModified`	Fecha y hora en que se modificó el indicador por última vez de forma externa	DateTime	`"2023-10-04T12:34:56Z"`
8	`legacyLink`	URL heredada (restringida) para acceder a los detalles sobre el indicador en la app de ThreatConnect	URL	`"https://app.threatconnect.com/auth/indicators/..."`
9	`ownerId`	Es el ID del propietario al que pertenece el indicador.	Número entero	`1`, `2`, `3`, … `100`
10	`ownerName`	Nombre del propietario al que pertenece el indicador	String	`"Demo Community"`
11	`privateFlag`	Indica si el indicador es privado.	Booleano	`true`, `false`
12	`rating`	Clasificación de amenaza del indicador	Decimal grande	`1.0`, `2.0`, `3.0`, `4.0`, `5.0`
13	`summary`	El valor del indicador	según el tipo de indicador	`"type": "Host","summary": "zayla.co" ; "type": "Address","summary": "107.180.48.66"`
14	`type`	Es el tipo de indicador que se crea.	String	`"Address"`, `"Host"`, `"Registry Key"` (lista de valores aceptados)
15	`webLink`	URL (restringida) para acceder a los detalles sobre el indicador en la app de ThreatConnect	URL	`"https://app.threatconnect.com/#/details/indicators/10/overview"`

Campos adicionales

Cuando recuperes datos, puedes usar el campo de entrada Fields para incluir campos adicionales que no se incluyan en la lista de campos predeterminados.

Para incluir uno o más campos adicionales en la respuesta de la API, completa el valor del campo en líneas separadas en el cuadro de entrada Campo mientras configuras tu feed. Por ejemplo, para incluir datos de los grupos y las etiquetas asociados en una respuesta de la API, escribe associatedGroups en la línea 1, presiona Enter y, luego, ingresa tags en la línea 2.

Para obtener más información sobre los atributos de indicadores, consulta Descripción general de los indicadores. Para obtener más información sobre los campos adicionales, consulta Cómo incluir campos adicionales en las respuestas de la API.

Soluciona los problemas habituales

Authentication Failed: Vuelve a verificar el host de la API, el ID de acceso y la clave secreta. Asegúrate de que el usuario de la API tenga los permisos correctos para la API v3 y no esté bloqueado. Verifica que no haya firewalls de red que bloqueen el acceso de Google SecOps al host de la API de ThreatConnect.
No se transfirieron datos:
- Confirma que los filtros que estableciste (p.ej., confianza, etiquetas, tipos) coincidan con los indicadores disponibles en tu instancia de ThreatConnect.
- Verifica los permisos del usuario de la API de ThreatConnect.
- Verifica el estado del feed más reciente en la IU de Google SecOps para ver los mensajes de error.
Límites de frecuencia de la API: ThreatConnect puede aplicar límites de frecuencia de la API. El conector debe controlar los límites de frecuencia estándar, pero la recuperación excesiva podría causar demoras. Consulta la documentación de la API de ThreatConnect para obtener detalles sobre los límites.
Problemas de análisis de datos: Si los registros se transfieren, pero no se analizan correctamente, compara el registro sin procesar de Google SecOps con el resultado JSON esperado de la API de ThreatConnect v3 para los indicadores. Comunícate con el equipo de asistencia de Google Cloud si sospechas que hay un problema con el analizador.

Migra desde el conector v2

Si usabas el feed anterior de ThreatConnect basado en la API v2, ten en cuenta lo siguiente:

Diferencias clave: La API v3 podría tener una estructura de datos diferente, parámetros de filtrado distintos o nuevas capacidades. Revisa la documentación de la API de ThreatConnect v3 para comprender los cambios pertinentes para los indicadores que ingieres.
Configura el feed de la versión 3: Configura el nuevo feed (como se describió anteriormente) con tus credenciales de la API de la versión 3. Puedes ejecutar los feeds de la versión 2 y la versión 3 de forma simultánea durante un período de transición.
Valida los datos: Compara los datos que se incorporaron en el feed de la versión 3 con los datos del feed anterior de la versión 2 para garantizar que estén completos y sean correctos. Toma nota de cualquier cambio o mejora en los campos.
Inhabilita el feed anterior: Una vez que te asegures de que el feed de la versión 3 funciona según lo esperado, puedes inhabilitar o borrar la configuración del feed anterior que usa la API de la versión 2 para evitar datos duplicados y reducir las llamadas a la API.

Más información

Para obtener más información sobre la API de REST de ThreatConnect v3, consulta la documentación de ThreatConnect.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.