Diese Seite wurde von der Cloud Translation API übersetzt.

ThreatConnect-IOC-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert IOC-Daten aus ThreatConnect-JSON-Logs und wandelt sie in das UDM-Format um. Es werden verschiedene IOC-Typen wie Host, Adresse, Datei und URL verarbeitet. Felder wie Vertrauenswürdigkeitswerte, Beschreibungen und Entitätsdetails werden den entsprechenden UDM-Entsprechungen zugeordnet. Außerdem werden Bedrohungen anhand von Schlüsselwörtern in den Logdaten kategorisiert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google Security Operations-Instanz.
Privilegierter Zugriff auf ThreatConnect

API-Nutzer in ThreatConnect konfigurieren

Melden Sie sich in ThreatConnect an.
Rufen Sie die Organisationseinstellungen auf > Einstellungen.
Rufen Sie in den Organisationseinstellungen den Tab Mitgliedschaft auf.
Klicken Sie auf API-Nutzer erstellen.
Füllen Sie die Felder im Fenster „API User Administration“ (API-Nutzerverwaltung) aus:
- Vorname: Geben Sie den Vornamen des API-Nutzers ein.
- Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
- Systemrolle: Wählen Sie die Systemrolle API-Nutzer oder Exchange-Administrator aus.
Hinweis: Die verfügbaren Systemrollen für API-Nutzer sind:
API-Nutzer: API-Nutzer mit dieser Rolle können alle ThreatConnect v2- und v3-API-Endpunkte verwenden, mit Ausnahme der v3-API-Administrationsendpunkte für TC Exchange™.
Exchange-Administrator: API-Nutzer mit dieser Rolle können alle ThreatConnect v2- und v3-API-Endpunkte verwenden, einschließlich der v3-AP.
- Organisationsrolle: Wählen Sie die Organisationsrolle des API-Nutzers aus.
- In Beobachtungen und Falsch-Positiv-Meldungen einbeziehen: Aktivieren Sie das Kästchen, damit die vom API-Nutzer bereitgestellten Daten in die Anzahl der Beobachtungen und Falsch-Positiv-Meldungen einbezogen werden.
- Deaktiviert: Klicken Sie das Kästchen an, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte.
- Kopieren und speichern Sie die Zugriffs-ID und den geheimen Schlüssel.
Klicken Sie auf Speichern.

Feeds einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ThreatConnect-Logs.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie ThreatConnect als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Geben Sie die ThreatConnect-Zugriffs-ID für die Authentifizierung ein.
- Secret: Geben Sie den ThreatConnect-Secret Key für den angegebenen Nutzer ein.
- API-Hostname: Vollständig qualifizierter Domainname (Fully Qualified Domain Name, FQDN) Ihrer ThreatConnect-Instanz (z. B. <myinstance>.threatconnect.com).
- Inhaber: Alle Inhabernamen, wobei der Inhaber eine Sammlung von IOCs identifiziert.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten