Recolha registos de IOCs do ThreatConnect através da API v3

Suportado em:

O feed do ThreatConnect no Google Security Operations permite-lhe obter automaticamente indicadores de comprometimento (IOCs), como endereços IP, domínios, URLs e hashes de ficheiros, juntamente com o respetivo contexto (por exemplo, tipo de ameaça, pontuação de confiança, etiquetas) da sua conta do ThreatConnect. A ingestão destes IOCs enriquece os seus dados de segurança no Google Security Operations, melhorando as capacidades de deteção e investigação de ameaças.

Este documento descreve como configurar o Google SecOps para carregar IOCs da sua instância do ThreatConnect através do conetor da API ThreatConnect v3. Esta versão do conetor usa a API REST v3 do ThreatConnect e é uma versão atualizada do conetor existente que usa a API REST v2 do ThreatConnect.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do ThreatConnect ativa e uma conta de utilizador com autorizações suficientes para aceder aos indicadores necessários através da API v3. Normalmente, isto envolve autorizações para ler indicadores e os respetivos atributos
  • Uma instância do Google Security Operations
  • Autorizações de gestão de identidade e acesso suficientes no seu Google Cloud projeto para gerir feeds do Google SecOps

Passos de configuração

Siga estes passos para configurar o feed de IOCs do ThreatConnect:

Obtenha credenciais da API ThreatConnect v3

  1. Inicie sessão na sua instância do ThreatConnect.
  2. Aceda à secção Gestão de utilizadores da API para criar um novo utilizador da API ou usar um existente designado para a sua integração do Google SecOps.

  3. Para criar um novo utilizador da API:

    1. Aceda a Definições > Definições da organização.
    2. Aceda ao separador Subscrição na página Definições da organização.
    3. Clique em Criar utilizador da API.

    4. Preencha os campos na janela Administração de utilizadores da API:

      • Nome próprio: introduza o nome próprio do utilizador da API.
      • Apelido: introduza o apelido do utilizador da API.

      • Função do sistema: selecione a função do sistema Utilizador da API ou Administrador do Exchange.

      • Função da organização: selecione a função da organização do utilizador da API.

      • Incluir em observações e falsos positivos: selecione a caixa de verificação para permitir que os dados fornecidos pelo utilizador da API sejam incluídos nas contagens.

      • Desativado: clique na caixa de verificação para desativar a conta de um utilizador da API, caso o administrador queira manter a integridade dos registos.

  4. Copie e armazene em segurança o ID de acesso e a chave secreta.

  5. Clique em Guardar.

  6. Obtenha o ID de acesso e a chave secreta do utilizador da API relevante e avance para o passo seguinte.

Configure o feed do ThreatConnect no Google Security Operations

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, ThreatConnect Logs).
  5. Para Tipo de origem, selecione API de terceiros.
  6. Para Tipo de registo, selecione ThreatConnect IOC V3.
  7. Clicar em Seguinte.
  8. Introduza os seguintes detalhes para a API ThreatConnect v3:
    • ID de acesso: introduza o ID de acesso do ThreatConnect obtido no passo 1.
    • Chave secreta: introduza a chave secreta do ThreatConnect obtida no passo 1.
    • Nome do anfitrião da API: o FQDN da sua instância do ThreatConnect (por exemplo: <myinstance>.threatconnect.com).
    • Proprietários: especifique a organização, a comunidade ou a origem do ThreatConnect a partir da qual pretende extrair indicadores. Introduza um proprietário por linha. Para mais informações, consulte a Vista geral dos proprietários.
    • TQL: a consulta TQL necessária para obter IoCs com base nos seus requisitos de carregamento (consulte o artigo Como escrever consultas TQL).
    • Campos: nomes de campos adicionais a obter, que não são obtidos por predefinição. Introduza um campo por linha (consulte a lista de campos predefinidos e adicionais).
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Valide o carregamento

  1. Após o envio da configuração, aguarde algum tempo para a obtenção inicial de dados.
  2. Verifique o estado do feed na lista Feeds. O estado deve ser apresentado como Concluído ou Ativo.
  3. Verifique se os dados estão a ser carregados consultando os registos na página de pesquisa do Google Security Operations:
    • Use a consulta: log_type = "THREATCONNECT_IOC_V3"
  4. Examine os registos carregados para garantir que os campos são analisados conforme esperado.

Como escrever consultas TQL

No ThreatConnect, pode criar consultas estruturadas com uma linguagem de consulta semelhante a SQL denominada ThreatConnect Query Language (TQL) para realizar pesquisas altamente segmentadas dos seus dados. Uma consulta TQL inclui um nome de parâmetro, um operador e um valor ou uma lista de valores, e pode combinar várias consultas com parênteses e lógica AND/OR.

  • A seguinte consulta TQL de exemplo pesquisa indicadores de rede de alta confiança (IPs, anfitriões, URLs) adicionados nos últimos 30 dias que estão associados a Cobalt Strike, APTs ou phishing. Também filtra explicitamente falsos positivos conhecidos e dados de testes internos.

    typeName IN ("Address", "Host", "URL")
AND confidence > 75
AND dateAdded > "NOW() - 30 DAYS"
AND (summary CONTAINS "cobalt" OR tag STARTSWITH "APT" OR tag ENDSWITH "Phish")
AND NOT tag = "False_Positive"
AND source != "Internal_Testing"

Para mais informações sobre a TQL, consulte a documentação da TQL do ThreatConnect.

Lista de campos predefinidos e adicionais

Esta secção detalha os pontos de dados específicos obtidos da API ThreatConnect, categorizados consoante estejam incluídos por predefinição ou exijam configuração manual.

Campos predefinidos

Os seguintes campos predefinidos são obtidos pela API por predefinição e não requerem qualquer configuração adicional:

# Campo Descrição Tipo Exemplos de valores
1 active Indica se o indicador está ativo Booleano true, false
2 activeLocked Indica se o estado do indicador ativo está bloqueado Booleano true, false
3 confidence Classificação de confiança do indicador Número inteiro 1, 2, 3, ... 100
4 dateAdded A data e a hora em que o indicador foi criado externamente DateTime "2023-10-04T12:34:56Z"
5 id O ID do indicador Número inteiro 1, 2, 3, ... 100
6 ip O endereço IP associado ao indicador de morada String "107.180.48.66"
7 lastModified A data e a hora em que o indicador foi modificado externamente pela última vez DateTime "2023-10-04T12:34:56Z"
8 legacyLink URL antigo (protegido) para aceder aos detalhes sobre o indicador na app ThreatConnect URL "https://app.threatconnect.com/auth/indicators/..."
9 ownerId O ID do proprietário ao qual o indicador pertence Número inteiro 1, 2, 3, ... 100
10 ownerName O nome do proprietário ao qual o indicador pertence String "Demo Community"
11 privateFlag Indica se o indicador é privado Booleano true, false
12 rating A classificação de ameaça do indicador Big Decimal 1.0, 2.0, 3.0, 4.0 e 5.0
13 summary O valor do indicador com base no tipo de indicador "type": "Host","summary": "zayla.co" ; "type": "Address","summary": "107.180.48.66"
14 type O tipo de indicador que está a ser criado String "Address", "Host", "Registry Key" (lista de valores aceites)
15 webLink URL (protegido) para aceder aos detalhes sobre o indicador na app ThreatConnect URL "https://app.threatconnect.com/#/details/indicators/10/overview"

Campos adicionais

Ao obter dados, pode usar o campo de entrada Campos para incluir campos adicionais que não estão incluídos na lista de campos predefinidos.

Para incluir um ou mais campos adicionais na resposta da API, preencha o valor do campo em linhas separadas na caixa de entrada Campo durante a configuração do feed. Por exemplo, para incluir dados de grupos e etiquetas associados numa resposta da API, escreva associatedGroups na linha 1, prima Enter e, de seguida, introduza tags na linha 2.

Para mais informações sobre os atributos de indicadores, consulte o artigo Vista geral dos indicadores. Para mais informações sobre os campos adicionais, consulte o artigo Inclua campos adicionais nas respostas da API.

Resolva problemas comuns

  • Falha na autenticação: verifique novamente o anfitrião da API, o ID de acesso e a chave secreta. Certifique-se de que o utilizador da API tem as autorizações corretas para a API v3 e que não está bloqueado. Verifique se não existem firewalls de rede a bloquear o acesso do Google SecOps ao seu anfitrião da API ThreatConnect.
  • Nenhum dado carregado:
    • Confirme se os filtros que definiu (por exemplo, confiança, etiquetas, tipos) correspondem aos indicadores disponíveis na sua instância do ThreatConnect.
    • Verifique as autorizações do utilizador da API ThreatConnect.
    • Verifique o estado mais recente do feed na IU do Google SecOps para ver mensagens de erro.
  • Limites de taxa da API: o ThreatConnect pode aplicar limites de taxa da API. O conetor deve processar os limites de taxa padrão, mas a obtenção excessiva pode causar atrasos. Consulte a documentação da API ThreatConnect para ver detalhes dos limites.
  • Problemas de análise de dados: se os registos forem carregados, mas não forem analisados corretamente, compare o registo não processado do Google SecOps com a saída JSON esperada da API ThreatConnect v3 para indicadores. Contacte o Google Cloud apoio técnico se suspeitar de um problema do analisador.

Migre do conetor v2

Se estava a usar o feed do ThreatConnect anterior com base na API v2, considere o seguinte:

  • Principais diferenças: a API v3 pode ter uma estrutura de dados diferente, parâmetros de filtragem diferentes ou novas capacidades. Reveja a documentação da API ThreatConnect v3 para compreender as alterações relevantes para os indicadores que está a carregar.
  • Configure o feed v3: configure o novo feed (conforme descrito acima) com as suas credenciais da API v3. Pode executar os feeds v2 e v3 em simultâneo durante um período de transição.
  • Validar dados: compare os dados carregados pelo feed v3 com os dados do feed v2 antigo para garantir a integridade e a correção. Tome nota de quaisquer alterações ou melhorias nos campos.
  • Desative o feed antigo: quando tiver a certeza de que o feed v3 está a funcionar como esperado, pode desativar ou eliminar a configuração do feed antigo que usa a API v2 para evitar dados duplicados e reduzir as chamadas da API.

Saiba mais

Para mais informações sobre a API REST v3 do ThreatConnect, consulte a documentação do ThreatConnect.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.