Mengumpulkan log IOC ThreatConnect menggunakan API v3

Didukung di:

Feed ThreatConnect di Google Security Operations memungkinkan Anda mengambil Indikator Penyusupan (IOC) secara otomatis seperti alamat IP, domain, URL, dan hash file, beserta konteksnya (misalnya, jenis ancaman, skor keyakinan, tag) dari akun ThreatConnect Anda. Dengan menyerap IOC ini, data keamanan Anda di Google Security Operations akan diperkaya, sehingga meningkatkan kemampuan deteksi dan investigasi ancaman.

Dokumen ini menjelaskan cara mengonfigurasi Google SecOps untuk memproses IOC dari instance ThreatConnect Anda menggunakan konektor ThreatConnect v3 API. Versi konektor ini menggunakan ThreatConnect v3 REST API, dan merupakan versi terbaru dari konektor yang ada yang menggunakan ThreatConnect v2 REST API.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance ThreatConnect dan akun pengguna yang aktif dengan izin yang memadai untuk mengakses indikator yang diperlukan menggunakan v3 API. Hal ini biasanya melibatkan izin untuk membaca indikator dan atributnya
  • Instance Google Security Operations
  • Izin Identity and Access Management yang memadai di Google Cloud project Anda untuk mengelola feed Google SecOps

Langkah-Langkah Konfigurasi

Ikuti langkah-langkah berikut untuk menyiapkan feed IOC ThreatConnect:

Mendapatkan Kredensial ThreatConnect v3 API

  1. Login ke instance ThreatConnect Anda.
  2. Buka bagian Pengelolaan pengguna API untuk membuat pengguna API baru atau menggunakan pengguna API yang sudah ada yang ditetapkan untuk integrasi Google SecOps Anda.

  3. Untuk membuat pengguna API baru:

    1. Buka Setelan > Setelan Org.
    2. Buka tab Langganan di halaman Setelan Organisasi.
    3. Klik Create API User.

    4. Isi kolom di jendela Administrasi Pengguna API:

      • Nama Depan: masukkan nama depan pengguna API.
      • Nama Belakang: masukkan nama belakang pengguna API.

      • Peran Sistem: pilih peran Sistem Pengguna API atau Admin Exchange.

      • Peran Organisasi: pilih peran Organisasi pengguna API.

      • Sertakan dalam Pengamatan dan Positif Palsu: centang kotak untuk mengizinkan data yang disediakan oleh pengguna API disertakan dalam jumlah.

      • Dinonaktifkan: klik kotak centang untuk menonaktifkan akun pengguna API jika Administrator ingin mempertahankan integritas log.

  4. Salin dan simpan ID Akses dan Kunci Rahasia dengan aman.

  5. Klik Simpan.

  6. Ambil ID Akses dan Kunci Rahasia untuk pengguna API yang relevan, lalu lanjutkan ke langkah berikutnya.

Mengonfigurasi feed ThreatConnect di Google Security Operations

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, ThreatConnect Logs).
  5. Untuk Jenis Sumber, pilih API Pihak Ketiga.
  6. Untuk Log Type, pilih ThreatConnect IOC V3.
  7. Klik Berikutnya.
  8. Masukkan detail berikut untuk ThreatConnect v3 API:
    • Access ID: masukkan ID Akses ThreatConnect yang diperoleh pada Langkah 1.
    • Secret Key: masukkan Secret Key ThreatConnect yang diperoleh pada Langkah 1.
    • Nama Host API: FQDN instance ThreatConnect Anda (misalnya: <myinstance>.threatconnect.com).
    • Pemilik: Tentukan Organisasi, Komunitas, atau Sumber ThreatConnect untuk menarik indikator. Masukkan satu pemilik per baris. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Pemilik.
    • TQL: Kueri TQL yang diperlukan untuk mengambil IoC berdasarkan persyaratan penyerapan Anda (lihat Cara menulis Kueri TQL).
    • Fields: Nama kolom tambahan yang akan diambil, yang tidak diambil secara default. Masukkan satu kolom per baris (lihat Daftar kolom default dan tambahan).
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Memvalidasi penyerapan

  1. Setelah mengirimkan konfigurasi, tunggu beberapa saat hingga penarikan data awal selesai.
  2. Periksa status feed di daftar Feed. Status pada akhirnya akan ditampilkan sebagai Selesai atau Aktif.
  3. Pastikan data sedang di-ingest dengan membuat kueri log di halaman penelusuran Google Security Operations:
    • Gunakan kueri: log_type = "THREATCONNECT_IOC_V3"
  4. Periksa log yang di-ingest untuk memastikan kolom diuraikan seperti yang diharapkan.

Cara Menulis Kueri TQL

Di ThreatConnect, Anda dapat membuat kueri terstruktur dengan bahasa kueri seperti SQL yang disebut ThreatConnect Query Language (TQL) untuk melakukan penelusuran data yang sangat bertarget. Kueri TQL mencakup nama parameter, operator, dan nilai atau daftar nilai, dan Anda dapat menggabungkan beberapa kueri dengan tanda kurung dan logika AND/OR.

  • Contoh kueri TQL berikut menelusuri indikator jaringan dengan tingkat keyakinan tinggi (IP, Host, URL) yang ditambahkan dalam 30 hari terakhir yang terkait dengan Cobalt Strike, APT, atau Phishing. Filter ini juga secara eksplisit mengecualikan positif palsu yang diketahui dan data pengujian internal.

    typeName IN ("Address", "Host", "URL")
AND confidence > 75
AND dateAdded > "NOW() - 30 DAYS"
AND (summary CONTAINS "cobalt" OR tag STARTSWITH "APT" OR tag ENDSWITH "Phish")
AND NOT tag = "False_Positive"
AND source != "Internal_Testing"

Untuk mengetahui informasi selengkapnya tentang TQL, lihat dokumentasi TQL ThreatConnect.

Daftar kolom default dan tambahan

Bagian ini menjelaskan titik data spesifik yang diambil dari ThreatConnect API, yang dikategorikan berdasarkan apakah titik data tersebut disertakan secara default atau memerlukan konfigurasi manual.

Kolom default

Kolom default berikut diambil oleh API secara default dan tidak memerlukan konfigurasi tambahan:

# Kolom Deskripsi Jenis Nilai Contoh
1 active Menunjukkan apakah Indikator aktif Boolean true, false
2 activeLocked Menunjukkan apakah Status Indikator aktif dikunci Boolean true, false
3 confidence Rating Keyakinan Indikator Bilangan bulat 1, 2, 3, ... 100
4 dateAdded Tanggal dan waktu saat Indikator dibuat secara eksternal DateTime "2023-10-04T12:34:56Z"
5 id ID Indikator Bilangan bulat 1, 2, 3, ... 100
6 ip Alamat IP yang terkait dengan Indikator Alamat String "107.180.48.66"
7 lastModified Tanggal dan waktu saat Indikator terakhir diubah secara eksternal DateTime "2023-10-04T12:34:56Z"
8 legacyLink URL lama (berpagar) untuk mengakses detail tentang Indikator di aplikasi ThreatConnect URL "https://app.threatconnect.com/auth/indicators/..."
9 ownerId ID pemilik yang memiliki Indikator Bilangan bulat 1, 2, 3, ... 100
10 ownerName Nama pemilik yang memiliki Indikator String "Demo Community"
11 privateFlag Menunjukkan apakah Indikator bersifat pribadi Boolean true, false
12 rating Rating Ancaman Indikator Big Decimal 1.0, 2.0, 3.0, 4.0, 5.0
13 summary Nilai Indikator berdasarkan Jenis Indikator "type": "Host","summary": "zayla.co" ; "type": "Address","summary": "107.180.48.66"
14 type Jenis Indikator yang sedang dibuat String "Address", "Host", "Registry Key" (daftar nilai yang diterima)
15 webLink URL (berpagar) untuk mengakses detail tentang Indikator di aplikasi ThreatConnect URL "https://app.threatconnect.com/#/details/indicators/10/overview"

Kolom tambahan

Saat mengambil data, Anda dapat menggunakan kolom input Kolom untuk menyertakan kolom tambahan yang tidak disertakan dalam daftar Kolom Default.

Untuk menyertakan satu atau beberapa kolom tambahan dalam respons API, isi nilai kolom di baris terpisah dalam kotak input Kolom saat menyiapkan feed. Misalnya, untuk menyertakan data untuk Grup dan Tag terkait dalam respons API, ketik associatedGroups di baris 1, tekan Enter, lalu masukkan tags di baris 2.

Untuk mengetahui informasi selengkapnya tentang Atribut Indikator, lihat Ringkasan Indikator. Untuk mengetahui informasi selengkapnya tentang Kolom Tambahan, lihat artikel Menyertakan Kolom Tambahan dalam Respons API.

Memecahkan masalah umum

  • Autentikasi Gagal: Periksa kembali Host API, ID Akses, dan Kunci Rahasia. Pastikan pengguna API memiliki izin yang benar untuk API v3 dan tidak dikunci. Pastikan tidak ada firewall jaringan yang memblokir akses Google SecOps ke host API ThreatConnect Anda.
  • Tidak Ada Data yang Diserap:
    • Pastikan filter yang Anda tetapkan (misalnya, tingkat keyakinan, tag, jenis) cocok dengan indikator yang tersedia di instance ThreatConnect Anda.
    • Periksa izin pengguna API ThreatConnect.
    • Periksa status feed terbaru di UI Google SecOps untuk melihat pesan error.
  • Batas Kapasitas API: ThreatConnect dapat menerapkan batas kapasitas API. Konektor harus menangani batas frekuensi standar, tetapi pengambilan yang berlebihan dapat menyebabkan penundaan. Periksa dokumentasi ThreatConnect API untuk mengetahui detail batas.
  • Masalah Parsing Data: Jika log dimasukkan tetapi tidak di-parsing dengan benar, bandingkan log mentah dari Google SecOps dengan output JSON yang diharapkan dari ThreatConnect v3 API untuk indikator. Hubungi Google Cloud dukungan jika Anda mencurigai masalah parser.

Bermigrasi dari Connector v2

Jika Anda menggunakan feed ThreatConnect sebelumnya berdasarkan v2 API, pertimbangkan hal berikut:

  • Perbedaan utama: API v3 mungkin memiliki struktur data yang berbeda, parameter pemfilteran yang berbeda, atau kemampuan baru. Tinjau dokumentasi ThreatConnect v3 API untuk memahami perubahan yang relevan dengan indikator yang Anda masukkan.
  • Siapkan feed v3: Konfigurasi feed baru (seperti yang dijelaskan di atas) menggunakan kredensial API v3 Anda. Anda dapat menjalankan feed v2 dan v3 secara bersamaan selama periode transisi.
  • Validasi data: Bandingkan data yang diserap oleh feed v3 dengan data dari feed v2 lama untuk memastikan kelengkapan dan kebenaran. Catat setiap perubahan atau peningkatan kolom.
  • Nonaktifkan feed lama: Setelah yakin bahwa feed v3 berfungsi seperti yang diharapkan, Anda dapat menonaktifkan atau menghapus konfigurasi feed lama yang menggunakan API v2 untuk menghindari duplikasi data dan mengurangi panggilan API.

Pelajari Lebih Lanjut

Untuk mengetahui informasi selengkapnya tentang ThreatConnect v3 REST API, lihat dokumentasi ThreatConnect.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.