ThreatConnect

통합 버전: 11.0

Google Security Operations와 호환되도록 ThreatConnect 구성

조직 설정: 멤버십

API 액세스 ID와 보안 키를 획득하고 기본 API 조직을 설정하려면 먼저 조직에 API 사용자를 추가해야 합니다. 이러한 구성은 ThreatConnect 인터페이스의 설정 > 조직 설정에서 확인할 수 있습니다.

API 사용자 만들기

  1. 조직 설정 화면의 멤버십 탭에서 API 사용자 만들기 버튼을 클릭합니다.

  2. API 사용자 계정을 만들고 구성하려면 다음 필드를 입력하세요.

    • 이름: API 사용자의 이름을 입력합니다.
    • 성: API 사용자의 성을 입력합니다.
    • 관찰 및 거짓양성에 포함: API 사용자가 제공한 데이터를 관찰 및 거짓양성 수에 포함하려면 이 체크박스를 선택합니다. 자세한 내용은 거짓양성 보고를 참고하세요.
    • 사용 중지됨: API 사용자가 더 이상 ThreatConnect 액세스가 필요하지 않은 경우 관리자가 로그 무결성을 유지하려는 경우 체크박스를 클릭하여 API 사용자의 계정을 사용 중지합니다.

  3. 창을 닫은 후에는 보안 키에 액세스할 수 없으므로 보안 키를 기록합니다.

  4. 저장 버튼을 클릭하여 API 사용자 계정을 만듭니다.

Google SecOps에서 ThreatConnect 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

항목 보강

설명

ThreatConnect의 정보로 IP 주소, 호스트, URL, 해시를 보강합니다.

매개변수

매개변수 유형 기본값 설명
소유자 이름 문자열 해당 사항 없음 데이터를 가져올 소유자 이름입니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • Filehash
  • URL
  • 호스트 이름

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
securityLabels JSON 결과에 존재하는 경우에 반환
소유자 JSON 결과에 존재하는 경우에 반환
피해자 JSON 결과에 존재하는 경우에 반환
tags JSON 결과에 존재하는 경우에 반환
general JSON 결과에 존재하는 경우에 반환
관찰 JSON 결과에 존재하는 경우에 반환
groups JSON 결과에 존재하는 경우에 반환
지표 JSON 결과에 존재하는 경우에 반환
속성 JSON 결과에 존재하는 경우에 반환
observationCount JSON 결과에 존재하는 경우에 반환
victimAsset JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_enriched True/False is_enriched:False
JSON 결과
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.