Integra AlienVault OTX con Google SecOps
En este documento, se describe cómo integrar AlienVault Open Threat Exchange (OTX) con Google Security Operations (Google SecOps).
Versión de integración: 12.0
Antes de comenzar
Para obtener la clave de API, completa los siguientes pasos:
Accede a tu cuenta de AlienVault OTX.
Ve a Nombre de usuario > Configuración y copia la clave de API generada.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Clave de API | String | N/A | Sí | Es la clave de API generada en la consola de AlienVault. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Enriquece entidades
Enriquece las IPs, los hosts, las URLs y los hashes externos con información de AlienVault Threat Intelligence (TI).
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Filehash
- URL
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| de datos | Devuelve si existe en el resultado JSON. |
| General | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_enriched | Verdadero o falso | is_enriched:False |
Resultado de JSON
[
{
"EntityResult": {
"analysis": {
"analysis": {
"hash": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"info": {
"results": {
"file_class": "None",
"file_type": "ASCII text, with no line terminators",
"md5": "55d88612fea8a8f36de82e1278abb02f",
"sha1": "1235856ce81f2b7382dee72602f798b642f14123",
"ssdeep": " ",
"filesize": "68",
"sha256": "37dhr21bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf65hdgsu"
}},
"_id": "52b1200214ad667e85105707",
"metadata": {
"tlp": "WHITE"
},
"datetime_int": "2013 - 12 - 18T04: 09: 37",
"plugins": {
"exiftool": {
"process_time": "0.083348989486694336",
"results": {
"Error": "Unknown file type"
}},
"avg": {
"process_time": "0.92721199989318848",
"results": {
"detection": "EICAR_Test",
"alerts": [" Malware infection"]
}},
"clamav": {
"process_time": "0.00052618980407714844",
"results": {
"detection": "Eicar - Test - Signature",
"alerts": ["Malware detected"]
}}}},
"malware": {},
"page_type": "None"
},
"general": {
"type_title": " FileHash - SHA256",
"sections": ["general", "analysis"],
"indicator": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"base_indicator": {
"title": " ",
"access_type": "public",
"description": " ",
"content": " ",
"indicator": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"access_reason": " ",
"type": "FileHash - SHA256",
"id": 22822
},
"type": "sha256",
"pulse_info": {
"count": 11,
"pulses": [{
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 568,
"modified_text": "95 days ago",
"is_subscribing": "None",
"votes_count": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"author": {
"username": "Metadefender",
"is_subscribed": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"is_following": 0,
"id": "32153"
},
"cloned_from": "None",
"comment_count": 0,
"follower_count": 0,
"public": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"TLP": "green",
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"in_group": "False",
"is_modified": "False",
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"threat_hunter_scannable": "True",
"is_author": "False",
"adversary": " ",
"name": "Production malware on Metadefender.com",
"locked": 0,
"observation": {
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 2,
"is_subscribed": 0,
"author_name": "Metadefender",
"is_subscribing": "None",
"is_following": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"cloned_from": "None",
"comment_count": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"follower_count": 0,
"public": 1,
"revision": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"adversary": " ",
"tlp": "green",
"locked": 0,
"name": "Production malware on Metadefender.com",
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"extract_source": [],
"votes_count": 0,
"author_id": 32153,
"user_subscriber_count": 566
},
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"indicator_count": 3000,
"is_following": 0
}],
"references": ["https: //metadefender.opswat.com/results?utm_medium=reference&"]
}}},
"Entity": "123a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fasd"
}
]
Ping
Probar la conectividad
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.