Integre o AlienVault OTX com o Google SecOps
Este documento descreve como integrar o AlienVault Open Threat Exchange (OTX) com o Google Security Operations (Google SecOps).
Versão da integração: 12.0
Antes de começar
Para obter a chave da API, conclua os seguintes passos:
Inicie sessão na sua conta do AlienVault OTX.
Aceda a Nome de utilizador > Definições e copie a chave de API gerada.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Chave de API | String | N/A | Sim | Chave da API gerada na consola da AlienVault. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Enriquece entidades
Enriqueça IPs externos, anfitriões, URLs e hashes com informações da AlienVault Threat Intelligence (TI).
Parâmetros
N/A
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Filehash
- URL
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| análise | Devolve se existir no resultado JSON |
| geral | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_enriched | Verdadeiro ou falso | is_enriched:False |
Resultado JSON
[
{
"EntityResult": {
"analysis": {
"analysis": {
"hash": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"info": {
"results": {
"file_class": "None",
"file_type": "ASCII text, with no line terminators",
"md5": "55d88612fea8a8f36de82e1278abb02f",
"sha1": "1235856ce81f2b7382dee72602f798b642f14123",
"ssdeep": " ",
"filesize": "68",
"sha256": "37dhr21bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf65hdgsu"
}},
"_id": "52b1200214ad667e85105707",
"metadata": {
"tlp": "WHITE"
},
"datetime_int": "2013 - 12 - 18T04: 09: 37",
"plugins": {
"exiftool": {
"process_time": "0.083348989486694336",
"results": {
"Error": "Unknown file type"
}},
"avg": {
"process_time": "0.92721199989318848",
"results": {
"detection": "EICAR_Test",
"alerts": [" Malware infection"]
}},
"clamav": {
"process_time": "0.00052618980407714844",
"results": {
"detection": "Eicar - Test - Signature",
"alerts": ["Malware detected"]
}}}},
"malware": {},
"page_type": "None"
},
"general": {
"type_title": " FileHash - SHA256",
"sections": ["general", "analysis"],
"indicator": "555a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd55",
"base_indicator": {
"title": " ",
"access_type": "public",
"description": " ",
"content": " ",
"indicator": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"access_reason": " ",
"type": "FileHash - SHA256",
"id": 22822
},
"type": "sha256",
"pulse_info": {
"count": 11,
"pulses": [{
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 568,
"modified_text": "95 days ago",
"is_subscribing": "None",
"votes_count": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"author": {
"username": "Metadefender",
"is_subscribed": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"is_following": 0,
"id": "32153"
},
"cloned_from": "None",
"comment_count": 0,
"follower_count": 0,
"public": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"TLP": "green",
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"in_group": "False",
"is_modified": "False",
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"threat_hunter_scannable": "True",
"is_author": "False",
"adversary": " ",
"name": "Production malware on Metadefender.com",
"locked": 0,
"observation": {
"pulse_source": "api",
"references": ["https://metadefender.opswat.com/threat-intelligence-feeds"],
"subscriber_count": 2,
"is_subscribed": 0,
"author_name": "Metadefender",
"is_subscribing": "None",
"is_following": 0,
"vote": 0,
"id": "5bbf59f5d47a1b46ca035bde",
"industries": [],
"cloned_from": "None",
"comment_count": 0,
"avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user/resized/80/avatar.png",
"follower_count": 0,
"public": 1,
"revision": 1,
"indicator_type_counts": {
"FileHash-SHA1": 1000,
"FileHash-MD5": 1000,
"FileHash-SHA256": 1000
},
"description": "Production malware has shown the following behaviors: injector,trojan,adware,sms,backdoor",
"tags": ["html", "win32", "js"],
"upvotes_count": 0,
"targeted_countries": [],
"groups": [],
"validator_count": 0,
"adversary": " ",
"tlp": "green",
"locked": 0,
"name": "Production malware on Metadefender.com",
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"extract_source": [],
"votes_count": 0,
"author_id": 32153,
"user_subscriber_count": 566
},
"created": "2018-10-11T14:11:01.432000",
"downvotes_count": 0,
"modified": "2018-10-11T14:11:01.432000",
"export_count": 3,
"indicator_count": 3000,
"is_following": 0
}],
"references": ["https: //metadefender.opswat.com/results?utm_medium=reference&"]
}}},
"Entity": "123a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fasd"
}
]
Tchim-tchim
Teste a conetividade.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.