AlienVault OTX を Google SecOps と統合する
このドキュメントでは、AlienVault Open Threat Exchange(OTX)を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 12.0
始める前に
API キーを取得する手順は次のとおりです。
AlienVault OTX アカウントにログインします。
[Username] > [Settings] に移動し、生成された API キーをコピーします。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API キー | 文字列 | なし | はい | AlienVault のコンソールで生成された API キー。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティを拡充する
AlienVault Threat Intelligence(TI)の情報を使用して、外部 IP、ホスト、URL、ハッシュをエンリッチします。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- Filehash
- URL
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 分析 | JSON の結果に存在する場合に返す |
| 全般 | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_enriched | 正誤問題 | is_enriched:False |
JSON の結果
[
{
"EntityResult": {
"analysis": {
"analysis": {
"hash": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"info": {
"results": {
"file_class": "None",
"file_type": "ASCII text, with no line terminators",
"md5": "55d88612fea8a8f36de82e1278abb02f",
"sha1": "1235856ce81f2b7382dee72602f798b642f14123",
"ssdeep": " ",
"filesize": "68",
"sha256": "37dhr21bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf65hdgsu"
}},
"_id": "52b1200214ad667e85105707",
"metadata": {
"tlp": "WHITE"
},
"datetime_int": "2013 - 12 - 18T04: 09: 37",
"plugins": {
"exiftool": {
"process_time": "0.083348989486694336",
"results": {
"Error": "Unknown file type"
}},
"avg": {
"process_time": "0.92721199989318848",
"results": {
"detection": "EICAR_Test",
"alerts": [" Malware infection"]
}},
"clamav": {
"process_time": "0.00052618980407714844",
"results": {
"detection": "Eicar - Test - Signature",
"alerts": ["Malware detected"]
}}}},
"malware": {},
"page_type": "None"
},
"general": {
"type_title": " FileHash - SHA256",
"sections": ["general", "analysis"],
"indicator": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"base_indicator": {
"title": " ",
"access_type": "public",
"description": " ",
"content": " ",
"indicator": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"access_reason": " ",
"type": "FileHash - SHA256",
"id": 22822
},
"type": "sha256",
"pulse_info": {
"count": 11,
"pulses": [{
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 568,
"modified_text": "95 days ago",
"is_subscribing": "None",
"votes_count": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"author": {
"username": "Metadefender",
"is_subscribed": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"is_following": 0,
"id": "32153"
},
"cloned_from": "None",
"comment_count": 0,
"follower_count": 0,
"public": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"TLP": "green",
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"in_group": "False",
"is_modified": "False",
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"threat_hunter_scannable": "True",
"is_author": "False",
"adversary": " ",
"name": "Production malware on Metadefender.com",
"locked": 0,
"observation": {
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 2,
"is_subscribed": 0,
"author_name": "Metadefender",
"is_subscribing": "None",
"is_following": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"cloned_from": "None",
"comment_count": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"follower_count": 0,
"public": 1,
"revision": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"adversary": " ",
"tlp": "green",
"locked": 0,
"name": "Production malware on Metadefender.com",
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"extract_source": [],
"votes_count": 0,
"author_id": 32153,
"user_subscriber_count": 566
},
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"indicator_count": 3000,
"is_following": 0
}],
"references": ["https: //metadefender.opswat.com/results?utm_medium=reference&"]
}}},
"Entity": "123a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fasd"
}
]
Ping
接続をテストする。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。