AlienVault OTX in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie AlienVault Open Threat Exchange (OTX) in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 12.0
Hinweise
So erhalten Sie einen API-Schlüssel:
Melden Sie sich in Ihrem AlienVault OTX-Konto an.
Rufen Sie Nutzername > Einstellungen auf und kopieren Sie den generierten API-Schlüssel.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Schlüssel | String | – | Ja | API-Schlüssel, der in der Konsole von AlienVault generiert wurde. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Entitäten anreichern
Externe IP-Adressen, Hosts, URLs und Hashes mit Informationen aus AlienVault Threat Intelligence (TI) anreichern.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Filehash
- URL
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Analyse | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Allgemein | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_enriched | True oder False | is_enriched:False |
JSON-Ergebnis
[
{
"EntityResult": {
"analysis": {
"analysis": {
"hash": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"info": {
"results": {
"file_class": "None",
"file_type": "ASCII text, with no line terminators",
"md5": "55d88612fea8a8f36de82e1278abb02f",
"sha1": "1235856ce81f2b7382dee72602f798b642f14123",
"ssdeep": " ",
"filesize": "68",
"sha256": "37dhr21bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf65hdgsu"
}},
"_id": "52b1200214ad667e85105707",
"metadata": {
"tlp": "WHITE"
},
"datetime_int": "2013 - 12 - 18T04: 09: 37",
"plugins": {
"exiftool": {
"process_time": "0.083348989486694336",
"results": {
"Error": "Unknown file type"
}},
"avg": {
"process_time": "0.92721199989318848",
"results": {
"detection": "EICAR_Test",
"alerts": [" Malware infection"]
}},
"clamav": {
"process_time": "0.00052618980407714844",
"results": {
"detection": "Eicar - Test - Signature",
"alerts": ["Malware detected"]
}}}},
"malware": {},
"page_type": "None"
},
"general": {
"type_title": " FileHash - SHA256",
"sections": ["general", "analysis"],
"indicator": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"base_indicator": {
"title": " ",
"access_type": "public",
"description": " ",
"content": " ",
"indicator": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"access_reason": " ",
"type": "FileHash - SHA256",
"id": 22822
},
"type": "sha256",
"pulse_info": {
"count": 11,
"pulses": [{
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 568,
"modified_text": "95 days ago",
"is_subscribing": "None",
"votes_count": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"author": {
"username": "Metadefender",
"is_subscribed": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"is_following": 0,
"id": "32153"
},
"cloned_from": "None",
"comment_count": 0,
"follower_count": 0,
"public": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"TLP": "green",
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"in_group": "False",
"is_modified": "False",
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"threat_hunter_scannable": "True",
"is_author": "False",
"adversary": " ",
"name": "Production malware on Metadefender.com",
"locked": 0,
"observation": {
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 2,
"is_subscribed": 0,
"author_name": "Metadefender",
"is_subscribing": "None",
"is_following": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"cloned_from": "None",
"comment_count": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"follower_count": 0,
"public": 1,
"revision": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"adversary": " ",
"tlp": "green",
"locked": 0,
"name": "Production malware on Metadefender.com",
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"extract_source": [],
"votes_count": 0,
"author_id": 32153,
"user_subscriber_count": 566
},
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"indicator_count": 3000,
"is_following": 0
}],
"references": ["https: //metadefender.opswat.com/results?utm_medium=reference&"]
}}},
"Entity": "123a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fasd"
}
]
Ping
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten