Esta página foi traduzida pela API Cloud Translation.

Recolha registos de IOCs do ThreatConnect

Suportado em:

Google secops SIEM

Este analisador extrai dados de IOCs de registos JSON do ThreatConnect e transforma-os no formato UDM. Processa vários tipos de IOCs, como anfitrião, endereço, ficheiro e URL, mapeando campos como classificações de confiança, descrições e detalhes de entidades para os respetivos equivalentes da UDM, e categoriza as ameaças com base em palavras-chave nos dados de registo.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Instância do Google Security Operations.
Acesso privilegiado ao ThreatConnect.

Configure o utilizador da API no ThreatConnect

Inicie sessão no ThreatConnect.
Aceda a Definições > Definições da organização.
Aceda ao separador Subscrição nas Definições da organização.
Clique em Criar utilizador da API.
Preencha os campos na janela de administração de utilizadores da API:
- Nome próprio: introduza o nome próprio do utilizador da API.
- Apelido: introduza o apelido do utilizador da API
- Função do sistema: selecione a função do sistema Utilizador da API ou Administrador do Exchange.
Nota: as funções do sistema disponíveis para utilizadores da API incluem o seguinte:
Utilizador da API: os utilizadores da API com esta função podem usar todos os pontos finais da API ThreatConnect v2 e v3, com exceção dos pontos finais de administração da API v3 TC Exchange™.
Administrador da troca: os utilizadores da API com esta função podem usar todos os pontos finais da API ThreatConnect v2 e v3, incluindo a API v3.
- Função da organização: selecione a função da organização do utilizador da API.
- Incluir em observações e falsos positivos: selecione a caixa de verificação para permitir que os dados fornecidos pelo utilizador da API sejam incluídos nas contagens de observações e falsos positivos.
- Desativado: clique na caixa de verificação para desativar a conta de um utilizador da API caso o administrador queira manter a integridade do registo.
- Copie e guarde o ID de acesso e a chave secreta.
Clique em Guardar.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do ThreatConnect.
Selecione API de terceiros como o Tipo de origem.
Selecione ThreatConnect como o tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- Nome de utilizador: introduza o ID de acesso do ThreatConnect para autenticar.
- Segredo: introduza a chave secreta do ThreatConnect para o utilizador especificado.
- Nome do anfitrião da API: nome do domínio totalmente qualificado (FQDN) da sua instância do ThreatConnect (por exemplo, <myinstance>.threatconnect.com).
- Proprietários: todos os nomes dos proprietários, em que o proprietário identifica uma coleção de IOCs.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.