Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan Anomali ThreatStream dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Anomali ThreatStream dengan Google Security Operations (Google SecOps).

Versi integrasi: 11.0

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Root Web	String	https://siemplify.threatstream.com	Ya	Root Web instance Anomali ThreatStream. Parameter ini digunakan untuk membuat link laporan di seluruh item integrasi.
Root API	String	https://api.threatstream.com	Ya	Root API instance Anomali ThreatStream.
Alamat Email	String	T/A	Ya	Alamat email akun Anomali ThreatStream.
Kunci API	Sandi	T/A	Ya	Kunci API akun Anomali ThreatStream.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Anomali ThreatStream valid.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Menambahkan Tag ke Entitas

Menambahkan tag ke entitas di Anomali ThreatStream.

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Tag	CSV	T/A	Ya	Tentukan daftar tag yang dipisahkan koma yang perlu ditambahkan ke entitas di Anomali ThreatStream.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully added tags to the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) Jika tidak menemukan entitas tertentu (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier]) Jika tidak ditemukan semua entitas (is_success=false): "Tidak ada entitas yang diberikan yang ditemukan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Tag ke Entitas". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully added tags to the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Jika tidak menemukan entitas tertentu (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier])

Jika tidak ditemukan semua entitas (is_success=false): "Tidak ada entitas yang diberikan yang ditemukan."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Tag ke Entitas". Alasan: {0}''.format(error.Stacktrace)

Umum

Memperkaya entitas

Mengambil informasi tentang IP, URL, hash, alamat email dari Anomali ThreatStream.

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Ambang Batas Tingkat Keparahan	DDL	Rendah Nilai yang memungkinkan: Sangat Tinggi Tinggi Sedang Rendah	Ya	Tentukan ambang batas tingkat keparahan untuk entity, agar entity ditandai sebagai mencurigakan. Jika beberapa catatan ditemukan untuk entitas yang sama, tindakan akan mengambil tingkat keparahan tertinggi dari semua catatan yang tersedia.
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan berapa ambang batas keyakinan untuk entity, agar entity tersebut ditandai sebagai mencurigakan. Catatan: Nilai maksimum adalah 100. Jika beberapa data ditemukan untuk entitas, tindakan akan mengambil rata-rata. Catatan aktif memiliki prioritas.
Mengabaikan Status Positif Palsu	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengabaikan status positif palsu dan menandai entitas sebagai mencurigakan berdasarkan Threshold Tingkat Keparahan dan Threshold Tingkat Keyakinan. Jika dinonaktifkan, tindakan tidak akan pernah melabeli entitas positif palsu sebagai mencurigakan, terlepas dari apakah entitas tersebut memenuhi kondisi "Ambang Keparahan" dan "Ambang Keyakinan" atau tidak.
Menambahkan Jenis Ancaman ke Kasus	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan menambahkan jenis ancaman entitas dari semua catatan sebagai tag ke kasus. Contoh: apt
Hanya Insight Entitas Mencurigakan	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, tindakan akan membuat insight hanya untuk entitas yang melampaui Nilai Minimum Tingkat Keparahan dan Nilai Minimum Tingkat Keyakinan.
Buat Insight	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, tindakan akan menambahkan insight per entitas yang diproses.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pengayaan entitas

Nama kolom pengayaan	Logika - Kapan harus diterapkan
id	Jika tersedia dalam JSON
status	Jika tersedia dalam JSON
itype	Jika tersedia dalam JSON
expiration_time	Jika tersedia dalam JSON
ip	Jika tersedia dalam JSON
feed_id	Jika tersedia dalam JSON
keyakinan	Jika tersedia dalam JSON
uuid	Jika tersedia dalam JSON
retina_confidence	Jika tersedia dalam JSON
trusted_circle_ids	Jika tersedia dalam JSON
sumber	Jika tersedia dalam JSON
latitude	Jika tersedia dalam JSON
jenis	Jika tersedia dalam JSON
deskripsi	Jika tersedia dalam JSON
tags	Jika tersedia dalam JSON
threat_score	Jika tersedia dalam JSON
source_confidence	Jika tersedia dalam JSON
modification_time	Jika tersedia dalam JSON
org_name	Jika tersedia dalam JSON
asn	Jika tersedia dalam JSON
creation_time	Jika tersedia dalam JSON
tlp	Jika tersedia dalam JSON
country	Jika tersedia dalam JSON
longitude	Jika tersedia dalam JSON
tingkat keseriusan,	Jika tersedia dalam JSON
subjenis	Jika tersedia dalam JSON
report	Jika tersedia dalam JSON

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich (is_success=true): "Berhasil meng-enrich entitas berikut menggunakan Anomali ThreatStream: \n {0}".format(entity.identifier list) Jika gagal memperkaya entity tertentu (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum
Tabel Repositori Kasus	Nama Tabel: Link Analisis Terkait: {entity_identifier} Kolom Tabel: Nama Link	Umum
Tabel Repositori Kasus	Kunci berdasarkan tabel pengayaan	Entity

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich (is_success=true): "Berhasil meng-enrich entitas berikut menggunakan Anomali ThreatStream: \n {0}".format(entity.identifier list)

Jika gagal memperkaya entity tertentu (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang diperkaya."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Tabel Repositori Kasus

Nama Tabel: Link Analisis Terkait: {entity_identifier}

Kolom Tabel:

Nama
Link

Umum

Tabel Repositori Kasus

Kunci berdasarkan tabel pengayaan

Entity

Mendapatkan Asosiasi Terkait

Mengambil asosiasi terkait entity dari Anomali ThreatStream.

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Kampanye Pengembalian	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil kampanye terkait dan detailnya.
Buletin Ancaman Balik	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil buletin ancaman terkait dan detailnya.
Aktor yang Kembali	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil aktor terkait dan detail tentangnya.
Pola Serangan Kembali	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil pola serangan terkait dan detailnya.
Return Courses Of Action	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil tindakan terkait dan detailnya.
Mengembalikan Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil identitas terkait dan detail tentang identitas tersebut.
Insiden Pengembalian	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil insiden terkait dan detailnya.
Infrastruktur Pengembalian	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil infrastruktur terkait dan detailnya.
Mengembalikan Kumpulan Penyusupan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil set intrusi terkait dan detail tentangnya.
Mengembalikan Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil malware terkait dan detailnya.
Tanda Tangan yang Dikembalikan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil tanda tangan terkait dan detailnya.
Alat Pengembalian	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil alat terkait dan detailnya.
TTP yang Ditampilkan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil TTP terkait dan detailnya.
Mengembalikan Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil kerentanan terkait dan detailnya.
Buat Entitas Kampanye	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat entity dari asosiasi Kampanye yang tersedia.
Membuat Entity Aktor	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat entity dari asosiasi Aktor yang tersedia.
Membuat Entity Tanda Tangan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat entity dari asosiasi Signature yang tersedia.
Membuat Entity Kerentanan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat entity dari asosiasi Kerentanan yang tersedia.
Buat Insight	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan membuat insight berdasarkan hasil.
Membuat Tag Kasus	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat tag kasus berdasarkan hasil.
Jumlah Maksimum Asosiasi yang Akan Ditampilkan	Bilangan bulat	5	Tidak	Tentukan jumlah asosiasi yang akan ditampilkan per jenis. Default: 5
Jumlah Maksimum Statistik yang Akan Ditampilkan	Bilangan bulat	3	Tidak	Tentukan jumlah hasil statistik teratas terkait IOC yang akan ditampilkan. Catatan: Tindakan ini akan memproses maksimal 1.000 IOC yang terkait dengan asosiasi. Jika Anda memberikan `0`, tindakan tidak akan mencoba mengambil informasi statistik.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu pengaitan di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" (Berhasil mengambil pengaitan terkait dari Anomali ThreatStream) Jika tidak ada pengaitan yang ditemukan (is_success=false): "No related associations were found." (Tidak ada pengaitan terkait yang ditemukan). Pesan Asinkron: "Menunggu semua detail asosiasi diambil" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Association". Alasan: {0}''.format(error.Stacktrace)	Umum
Tabel Repositori Kasus	Nama Tabel: "Pengaitan Terkait" Kolom Tabel: ID Nama Jenis Status

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu pengaitan di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" (Berhasil mengambil pengaitan terkait dari Anomali ThreatStream)

Jika tidak ada pengaitan yang ditemukan (is_success=false): "No related associations were found." (Tidak ada pengaitan terkait yang ditemukan).

Pesan Asinkron: "Menunggu semua detail asosiasi diambil"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Association". Alasan: {0}''.format(error.Stacktrace)

Umum

Tabel Repositori Kasus

Nama Tabel: "Pengaitan Terkait"

Kolom Tabel:

ID
Nama
Jenis
Status

Mendapatkan Entity Terkait

Mengambil entity terkait berdasarkan asosiasi di Anomali ThreatStream.

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan yang harus digunakan. Maksimum adalah 100.
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara kemungkinan tindakan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara set intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara ttps.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Maksimum Entitas yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah entitas yang akan ditampilkan per jenis entitas.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email (entitas pengguna yang cocok dengan regex email)
Pelaku Ancaman
CVE

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Berhasil mengambil hash terkait dari Anomali ThreatStream" Jika tidak ada hash yang ditemukan (is_success=false): "Tidak ada hash terkait yang ditemukan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Hashes". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Berhasil mengambil hash terkait dari Anomali ThreatStream"

Jika tidak ada hash yang ditemukan (is_success=false): "Tidak ada hash terkait yang ditemukan."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Hashes". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Ping

Uji konektivitas ke Anomali ThreatStream.

Parameter

T/A

Dijalankan pada

Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!" (Berhasil terhubung ke server Anomali ThreatStream dengan parameter koneksi yang diberikan!) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil:"Gagal terhubung ke server Anomali ThreatStream. Error adalah {0}".format(exception.stacktrace)	Umum

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!" (Berhasil terhubung ke server Anomali ThreatStream dengan parameter koneksi yang diberikan!)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil:"Gagal terhubung ke server Anomali ThreatStream. Error adalah {0}".format(exception.stacktrace)

Umum

Menghapus Tag dari Entity

Menghapus tag dari entity di Anomali ThreatStream. Entitas yang didukung: Hash, URL, Alamat IP, Alamat Email (entitas pengguna yang cocok dengan regex email).

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Tag	CSV	T/A	Ya	Tentukan daftar tag yang dipisahkan koma yang perlu dihapus dari entitas di Anomali ThreatStream.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu tag dihapus dari satu entitas (is_success=true): "Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags) Jika satu tag tidak ditemukan untuk satu entitas (is_success=true): "Tag berikut sudah bukan bagian dari entitas "{entity.identifier}" di Anomali ThreatStream:\n{0}".format(tags) Jika semua tag tidak ditemukan untuk satu entitas (is_success=true): "Tidak ada tag yang diberikan merupakan bagian dari entitas "{entity.identifier}" di Anomali ThreatStream." Jika satu entitas tidak ditemukan (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier]) Jika semua entitas tidak ditemukan (is_success=false): "Tidak ada entitas yang diberikan yang ditemukan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Hapus Tag dari Entitas". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu tag dihapus dari satu entitas (is_success=true): "Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags)

Jika satu tag tidak ditemukan untuk satu entitas (is_success=true): "Tag berikut sudah bukan bagian dari entitas "{entity.identifier}" di Anomali ThreatStream:\n{0}".format(tags)

Jika semua tag tidak ditemukan untuk satu entitas (is_success=true): "Tidak ada tag yang diberikan merupakan bagian dari entitas "{entity.identifier}" di Anomali ThreatStream."

Jika satu entitas tidak ditemukan (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier])

Jika semua entitas tidak ditemukan (is_success=false): "Tidak ada entitas yang diberikan yang ditemukan."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Hapus Tag dari Entitas". Alasan: {0}''.format(error.Stacktrace)

Umum

Laporkan Sebagai Positif Palsu

Laporkan entitas di Anomali ThreatStream sebagai positif palsu. Entitas yang didukung: Hash, URL, Alamat IP, Alamat Email (entitas pengguna yang cocok dengan regex email).

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Alasan	String	T/A	Ya	Tentukan alasan Anda ingin menandai entity sebagai positif palsu.
Komentar	String	T/A	Ya	Tentukan informasi tambahan terkait keputusan Anda untuk menandai entity sebagai positif palsu.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Alamat Email (entitas pengguna yang cocok dengan regex email)

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Repositori kasus

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list) Jika gagal menandai entitas tertentu (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang dilaporkan sebagai positif palsu." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Laporkan Sebagai Positif Palsu". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis hasil

Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Jika gagal menandai entitas tertentu (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang dilaporkan sebagai positif palsu."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Laporkan Sebagai Positif Palsu". Alasan: {0}''.format(error.Stacktrace)

Umum

Mengirimkan Observasi

Kirimkan pengamatan ke Anomali ThreatStream berdasarkan entitas IP, URL, Hash, Email. Entitas yang didukung: Hash, URL, Alamat IP, Alamat Email (entitas pengguna yang cocok dengan regex email).

Tempat menemukan ID lingkaran tepercaya

Untuk menemukan ID lingkaran tepercaya, temukan lingkaran tepercaya di Anomali ThreatStream, lalu klik namanya. URL yang ditampilkan di kolom URL menunjukkan ID, seperti https://siemplify.threatstream.com/search?trustedcircles=13.

Parameter

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Klasifikasi	DDL	Pribadi Nilai yang memungkinkan: Publik Pribadi	Ya	Tentukan klasifikasi yang dapat diamati.
Jenis Ancaman	DDL	APT Nilai yang Mungkin Muncul APT Adware Tidak wajar Anonimisasi Bot Brute C2 Disusupi Kripto Kebocoran Data DDOS DNS Dinamis Pemindahan yang tidak sah Eksploit Penipuan Alat Peretasan I2P Informatif Malware P2P Terparkir Phish Pindai Dolin Sosial Spam Menyembunyikan Mencurigakan TOR VPS	Ya	Tentukan jenis ancaman untuk pengamatan.
Sumber	String	Siemplify	Tidak	Tentukan sumber informasi untuk pengamatan.
Tanggal Habis Masa Berlaku	Bilangan bulat	T/A	Tidak	Tentukan tanggal habis masa berlaku dalam hari untuk yang dapat diamati. Jika tidak ada yang ditentukan di sini, tindakan akan membuat observable yang tidak akan pernah berakhir.
ID Lingkaran Tepercaya	CSV	T/A	Tidak	Tentukan daftar ID lingkaran tepercaya yang dipisahkan koma. Dapat diamati akan dibagikan kepada lingkaran tepercaya tersebut.
TLP	DDL	Pilih Satu Nilai yang Mungkin: Pilih Satu Merah Hijau Oranye kekuningan Putih	Tidak	Tentukan TLP untuk pengamatan Anda.
Keyakinan	Bilangan bulat	T/A	Tidak	Tentukan keyakinan untuk yang dapat diamati. Catatan: Parameter ini hanya akan berfungsi jika Anda membuat data yang dapat diamati di organisasi Anda dan memerlukan pengaktifan Ganti Keyakinan Sistem.
Mengganti Keyakinan Sistem	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, pengamatan yang dibuat akan memiliki keyakinan yang ditentukan dalam parameter Keyakinan. Catatan: Anda tidak dapat membagikan data yang dapat diamati dalam lingkaran tepercaya dan secara publik, jika parameter ini diaktifkan.
Pengiriman Anonim	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat pengiriman anonim.
Tag	CSV	T/A	Tidak	Tentukan daftar tag yang dipisahkan koma yang ingin Anda tambahkan ke yang dapat diamati.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Email

Hasil tindakan

Hasil skrip

Nama hasil skrip	Opsi nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Repositori kasus

Jenis hasil Deskripsi Jenis

Pesan output*

Jenis hasil	Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) Jika gagal memperkaya beberapa entitas (entitas yang ditolak) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang berhasil dikirim ke Anomali ThreatStream." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Submit Observables". Alasan: {0}''.format(error.Stacktrace) Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Submit Observables". Alasan: {0}''.format(message)	Umum
	Link: `https://siemplify.threatstream.com/import/review/{jobid}`	Entity

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Jika gagal memperkaya beberapa entitas (entitas yang ditolak) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang berhasil dikirim ke Anomali ThreatStream."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Submit Observables". Alasan: {0}''.format(error.Stacktrace)

Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Submit Observables". Alasan: {0}''.format(message)

Umum

Link:

https://siemplify.threatstream.com/import/review/{jobid}

Entity

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Anomali ThreatStream - Observables Connector

Tarik objek yang dapat diamati dari Anomali ThreatStream.

Nama sumber digunakan dalam daftar dinamis.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter	Jenis	Nilai default	Wajib diisi	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah `Product Name`.
Nama Kolom Peristiwa	String	jenis	Ya	Nama kolom yang menentukan nama peristiwa (subjenis).
Nama Kolom Lingkungan	String	""	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default.
`Environment Regex Pattern`	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	300	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	https://api.threatstream.com	Ya	Root API instance Anomali ThreatStream.
Alamat Email	String	T/A	Ya	Alamat email akun Anomali ThreatStream.
Kunci API	Sandi	T/A	Ya	Kunci API akun Anomali ThreatStream.
Tingkat Keparahan Terendah yang Akan Diambil	String	Tinggi	Ya	Tingkat keparahan terendah yang akan digunakan untuk mengambil data yang dapat diamati. Nilai yang memungkinkan: Rendah Sedang Tinggi Sangat Tinggi
Keyakinan Terendah yang Akan Diambil	Bilangan bulat	50	Ya	Tingkat keyakinan terendah yang akan digunakan untuk mengambil pengamatan. Maksimumnya adalah `100`.
Filter Feed Sumber	CSV	T/A	Tidak	Daftar ID feed yang dipisahkan koma yang harus digunakan untuk menyerap data yang dapat diamati, seperti `515,4129`.
Filter Jenis yang Dapat Diamati	CSV	URL, domain, email, hash, ip, ipv6	Tidak	Daftar jenis yang dapat diamati yang dipisahkan koma yang harus diserap, seperti `URL, domain`. Nilai yang mungkin: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filter Status yang Dapat Diamati	CSV	aktif	Tidak	Daftar status yang dapat diamati yang dipisahkan koma yang harus digunakan untuk menyerap data baru, seperti `active,inactive` Nilai yang mungkin: `active`, `inactive`, `falsepos` .
Filter Jenis Ancaman	CSV	T/A	Tidak	Daftar jenis ancaman yang dipisahkan koma yang harus digunakan untuk menyerap objek yang dapat diamati, seperti `adware,anomalous,anonymization,apt`. Nilai yang mungkin: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filter Lingkaran Tepercaya	CSV	T/A	Tidak	Daftar ID lingkaran tepercaya yang dipisahkan koma yang harus digunakan untuk menyerap dapat diamati, seperti `146,147`.
Filter Nama Tag	CSV	T/A	Tidak	Daftar nama tag yang dipisahkan koma dan terkait dengan objek yang dapat diamati yang harus digunakan dengan penyerapan, seperti `Microsoft Credentials, Phishing`.
Pengelompokan Feed Sumber	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, konektor akan mengelompokkan objek yang dapat diamati dari sumber yang sama dalam notifikasi Google SecOps yang sama.
Ambil Jumlah Hari Maksimum ke Belakang	Bilangan bulat	1	Tidak	Jumlah hari sebelum hari ini untuk mengambil data yang dapat diamati. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.
Jumlah Maksimum Observasi Per Pemberitahuan	Bilangan bulat	100	Tidak	Jumlah pengamatan yang akan disertakan dalam pemberitahuan Google SecOps. Maksimum yang diizinkan adalah 200.
`Use whitelist as a blacklist`	Kotak centang	Tidak dicentang	Ya	Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.
Verifikasi SSL	Kotak centang	Tidak dicentang	Ya	Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Anomali ThreatStream.
Alamat Server Proxy	String	T/A	Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String	T/A	Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi	T/A	Tidak	Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.