Diese Seite wurde von der Cloud Translation API übersetzt.

Anomali ThreatStream in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Anomali ThreatStream in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 11.0

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Webstamm	String	https://siemplify.threatstream.com	Ja	Webstammverzeichnis der Anomali ThreatStream-Instanz. Dieser Parameter wird verwendet, um Berichtslinks für Integrationsartikel zu erstellen.
API-Stamm	String	https://api.threatstream.com	Ja	API-Stammverzeichnis der Anomali ThreatStream-Instanz.
E-Mail-Adresse	String	–	Ja	E-Mail-Adresse des Anomali ThreatStream-Kontos.
API-Schlüssel	Passwort	–	Ja	API-Schlüssel des Anomali ThreatStream-Kontos.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Anomali ThreatStream-Server gültig ist.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Entitäten Tags hinzufügen

Fügen Sie Entitäten in Anomali ThreatStream Tags hinzu.

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Tags	CSV	–	Ja	Geben Sie eine durch Kommas getrennte Liste von Tags an, die Entitäten in Anomali ThreatStream hinzugefügt werden müssen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true) : „Successfully added tags to the following entities in Anomali ThreatStream:\n{0}“.format(entity.identifier list) Wenn bestimmte Entitäten nicht gefunden wurden (is_success=true): „Die folgenden Entitäten wurden in Anomali ThreatStream nicht gefunden:\n{0}“.format([entity.identifier]) Wenn nicht alle Entitäten gefunden wurden (is_success=false): „None of the provided entities were found.“ (Keine der angegebenen Entitäten wurde gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags zu Einheiten hinzufügen‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true) : „Successfully added tags to the following entities in Anomali ThreatStream:\n{0}“.format(entity.identifier list)

Wenn bestimmte Entitäten nicht gefunden wurden (is_success=true): „Die folgenden Entitäten wurden in Anomali ThreatStream nicht gefunden:\n{0}“.format([entity.identifier])

Wenn nicht alle Entitäten gefunden wurden (is_success=false): „None of the provided entities were found.“ (Keine der angegebenen Entitäten wurde gefunden.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags zu Einheiten hinzufügen‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Entitäten anreichern

Informationen zu IPs, URLs, Hashes und E-Mail-Adressen aus Anomali ThreatStream abrufen.

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Schwellenwert für Schweregrad	DDL	Niedrig Mögliche Werte: Sehr hoch Hoch Mittel Niedrig	Ja	Geben Sie den Schweregradschwellenwert für die Entität an, damit sie als verdächtig markiert wird. Wenn mehrere Datensätze für dieselbe Einheit gefunden werden, wird die Maßnahme mit dem höchsten Schweregrad aus allen verfügbaren Datensätzen ergriffen.
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie an, welcher Konfidenzwert für die Entität festgelegt werden soll, damit sie als verdächtig markiert wird. Hinweis: Der Höchstwert ist 100. Wenn mehrere Datensätze für die Entität gefunden werden, wird der Durchschnittswert verwendet. Aktive Einträge haben Priorität.
Status „Falsch positiv“ ignorieren	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird der Status „Falsch positiv“ bei der Aktion ignoriert und die Einheit wird basierend auf dem Schweregrad- und dem Konfidenzschwellenwert als verdächtig markiert. Wenn diese Option deaktiviert ist, werden falsch positive Entitäten niemals als verdächtig gekennzeichnet, unabhängig davon, ob sie die Bedingungen für „Schweregrad-Schwellenwert“ und „Vertrauenswürdigkeitsschwellenwert“ erfüllen.
Bedrohungstyp dem Fall hinzufügen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden dem Fall Bedrohungstypen der Entität aus allen Datensätzen als Tags hinzugefügt. Beispiel: apt
Nur Informationen zu verdächtigen Entitäten	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, werden Statistiken nur für Entitäten erstellt, die den Schweregrad- und den Konfidenzschwellenwert überschritten haben.
Insight erstellen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird für jede verarbeitete Einheit eine Statistik hinzugefügt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
id	Wenn in JSON verfügbar
Status	Wenn in JSON verfügbar
itype	Wenn in JSON verfügbar
expiration_time	Wenn in JSON verfügbar
ip	Wenn in JSON verfügbar
feed_id	Wenn in JSON verfügbar
Konfidenz	Wenn in JSON verfügbar
uuid	Wenn in JSON verfügbar
retina_confidence	Wenn in JSON verfügbar
trusted_circle_ids	Wenn in JSON verfügbar
source	Wenn in JSON verfügbar
latitude	Wenn in JSON verfügbar
Typ	Wenn in JSON verfügbar
Beschreibung	Wenn in JSON verfügbar
Tags	Wenn in JSON verfügbar
threat_score	Wenn in JSON verfügbar
source_confidence	Wenn in JSON verfügbar
modification_time	Wenn in JSON verfügbar
org_name	Wenn in JSON verfügbar
asn	Wenn in JSON verfügbar
creation_time	Wenn in JSON verfügbar
tlp	Wenn in JSON verfügbar
country	Wenn in JSON verfügbar
longitude	Wenn in JSON verfügbar
die Ausprägung	Wenn in JSON verfügbar
Untertyp	Wenn in JSON verfügbar
Bericht	Wenn in JSON verfügbar

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine der bereitgestellten Einheiten angereichert wurde (is_success=true): „Die folgenden Einheiten wurden mit Anomali ThreatStream angereichert: \n {0}“.format(entity.identifier list) Wenn bestimmte Entitäten nicht angereichert werden konnten (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht mit Anomali ThreatStream anreichern:\n{0}“.format([entity.identifier]) Wenn alle Entitäten nicht angereichert werden konnten (is_success=false): „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“	Allgemein
Tabelle „Fall-Repository“	Tabellenname:Links zu ähnlichen Analysen: {entity_identifier} Tabellenspalten: Name Link	Allgemein
Tabelle „Fall-Repository“	Schlüssel basierend auf der Anreicherungstabelle	Entität

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der bereitgestellten Einheiten angereichert wurde (is_success=true): „Die folgenden Einheiten wurden mit Anomali ThreatStream angereichert: \n {0}“.format(entity.identifier list)

Wenn bestimmte Entitäten nicht angereichert werden konnten (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht mit Anomali ThreatStream anreichern:\n{0}“.format([entity.identifier])

Wenn alle Entitäten nicht angereichert werden konnten (is_success=false): „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“

Allgemein

Tabelle „Fall-Repository“

Tabellenname:Links zu ähnlichen Analysen: {entity_identifier}

Tabellenspalten:

Name
Link

Allgemein

Tabelle „Fall-Repository“

Schlüssel basierend auf der Anreicherungstabelle

Entität

Zugehörige Verknüpfungen abrufen

Rufen Sie entitätsbezogene Zuordnungen aus Anomali ThreatStream ab.

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Rückgabekampagnen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Kampagnen und Details dazu abgerufen.
Bedrohungsbulletins zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Threat Bulletins und Details dazu abgerufen.
Rückgabe von Schauspielern	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Akteure und Details zu ihnen abgerufen.
Angriffsmuster zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Angriffsmuster und Details dazu abgerufen.
Return Courses Of Action	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Maßnahmen und Details dazu abgerufen.
Identitäten zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Identitäten und Details dazu abgerufen.
Vorfälle zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Vorfälle und Details dazu abgerufen.
Infrastruktur zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit dem Vorgang die zugehörige Infrastruktur und Details dazu abgerufen.
Einbruchserkennung zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Intrusion Sets und Details dazu abgerufen.
Malware zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Malware und Details dazu abgerufen.
Rückgabesignaturen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, ruft die Aktion zugehörige Signaturen und Details dazu ab.
Rückgabe-Tools	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit dem Vorgang zugehörige Tools und Details dazu abgerufen.
TTPs zurückgeben	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige TTPs und Details dazu abgerufen.
Rückgabe von Sicherheitslücken	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Sicherheitslücken und Details dazu abgerufen.
Kampagnenentität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Kampagnenverknüpfungen erstellt.
Entität „Schauspieler“ erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Akteurzuordnungen erstellt.
Signatur-Entität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Signaturzuordnungen erstellt.
Sicherheitslückenentität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Zuordnungen für Sicherheitslücken erstellt.
Insight erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird auf Grundlage der Ergebnisse eine Statistik erstellt.
Tag für Anfragen erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden auf Grundlage der Ergebnisse Fall-Tags erstellt.
Maximale Anzahl zurückzugebender Verknüpfungen	Ganzzahl	5	Nein	Geben Sie an, wie viele Zuordnungen pro Typ zurückgegeben werden sollen. Standard: 5
Maximale Anzahl zurückzugebender Statistiken	Ganzzahl	3	Nein	Geben Sie an, wie viele Top-Statistikergebnisse zu IOCs zurückgegeben werden sollen. Hinweis: Bei der Aktion werden maximal 1.000 IOCs im Zusammenhang mit der Zuordnung verarbeitet. Wenn Sie `0` angeben, versucht die Aktion nicht, Statistikinformationen abzurufen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

JSON-Ergebnis

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine Verknüpfung zwischen Entitäten gefunden wird (is_success=true): „Successfully retrieved related associations from Anomali ThreatStream“ (Zugehörige Verknüpfungen wurden erfolgreich von Anomali ThreatStream abgerufen) Wenn keine Verknüpfungen gefunden werden (is_success=false): „Es wurden keine zugehörigen Verknüpfungen gefunden.“ Asynchrone Nachricht: „Warten auf das Abrufen aller Verknüpfungsdetails“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related Association‘. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Tabellenname: „Zugehörige Verknüpfungen“ Tabellenspalten: ID Name Typ Status

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine Verknüpfung zwischen Entitäten gefunden wird (is_success=true): „Successfully retrieved related associations from Anomali ThreatStream“ (Zugehörige Verknüpfungen wurden erfolgreich von Anomali ThreatStream abgerufen)

Wenn keine Verknüpfungen gefunden werden (is_success=false): „Es wurden keine zugehörigen Verknüpfungen gefunden.“

Asynchrone Nachricht: „Warten auf das Abrufen aller Verknüpfungsdetails“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related Association‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Tabellenname: „Zugehörige Verknüpfungen“

Tabellenspalten:

ID
Name
Typ
Status

Zugehörige Entitäten abrufen

Rufen Sie zugehörige Entitäten basierend auf den Zuordnungen in Anomali ThreatStream ab.

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Der Höchstwert beträgt 100.
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins nach der Aktion gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion auf Schauspieler beschränkt.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, sucht die Aktion nach Angriffsmustern.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in Suchkampagnen ausgeführt.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche nach Aktionen auch in den Handlungsalternativen gesucht.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Identitäten gesucht.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in Infrastrukturen gesucht.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche nach Aktionen auch in Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche nach Aktionen auch in ttps gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn aktiviert, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender Entitäten	Ganzzahl	50	Nein	Geben Sie an, wie viele Entitäten pro Entitätstyp zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail-Adresse (Nutzerentität, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt)
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

JSON-Ergebnis

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related hashes from Anomali ThreatStream“ (Zugehörige Hashes wurden erfolgreich von Anomali ThreatStream abgerufen) Wenn keine Hashes gefunden werden (is_success=false): „No related hashes were found.“ (Es wurden keine zugehörigen Hashes gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related Hashes‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“	Allgemein

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related hashes from Anomali ThreatStream“ (Zugehörige Hashes wurden erfolgreich von Anomali ThreatStream abgerufen)

Wenn keine Hashes gefunden werden (is_success=false): „No related hashes were found.“ (Es wurden keine zugehörigen Hashes gefunden.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“

Allgemein

Ping

Testen Sie die Verbindung zu Anomali ThreatStream.

Parameter

–

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Anomali ThreatStream server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Anomali ThreatStream-Server hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Anomali ThreatStream-Server fehlgeschlagen! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Anomali ThreatStream server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Anomali ThreatStream-Server hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn das nicht funktioniert: „Verbindung zum Anomali ThreatStream-Server fehlgeschlagen! Fehler: {0}".format(exception.stacktrace)

Allgemein

Tags aus Entitäten entfernen

Tags aus Entitäten in Anomali ThreatStream entfernen Unterstützte Entitäten: Hash, URL, IP-Adresse, E-Mail-Adresse (Nutzerentität, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt).

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Tags	CSV	–	Ja	Geben Sie eine durch Kommas getrennte Liste von Tags an, die aus Entitäten in Anomali ThreatStream entfernt werden müssen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Tag aus einer Entität entfernt wird (is_success=true): „Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags) Wenn ein Tag für eine Entität nicht gefunden wird (is_success=true): „Die folgenden Tags waren bereits nicht Teil der Entität {entity.identifier} in Anomali ThreatStream:\n{0}“.format(tags) Wenn nicht alle Tags für eine Entität gefunden werden (is_success=true): „None of the provided tags were part of "{entity.identifier}" entity in Anomali ThreatStream.“ (Keines der angegebenen Tags war Teil der Entität „{entity.identifier}“ in Anomali ThreatStream.) Wenn eine Entität nicht gefunden wird (is_success=true): „Die folgenden Entitäten wurden in Anomali ThreatStream nicht gefunden:\n{0}“.format([entity.identifier]) Wenn nicht alle Entitäten gefunden werden (is_success=false): „None of the provided entities were found.“ (Keine der angegebenen Entitäten wurde gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags aus Einheiten entfernen‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Tag aus einer Entität entfernt wird (is_success=true): „Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags)

Wenn ein Tag für eine Entität nicht gefunden wird (is_success=true): „Die folgenden Tags waren bereits nicht Teil der Entität {entity.identifier} in Anomali ThreatStream:\n{0}“.format(tags)

Wenn nicht alle Tags für eine Entität gefunden werden (is_success=true): „None of the provided tags were part of "{entity.identifier}" entity in Anomali ThreatStream.“ (Keines der angegebenen Tags war Teil der Entität „{entity.identifier}“ in Anomali ThreatStream.)

Wenn eine Entität nicht gefunden wird (is_success=true): „Die folgenden Entitäten wurden in Anomali ThreatStream nicht gefunden:\n{0}“.format([entity.identifier])

Wenn nicht alle Entitäten gefunden werden (is_success=false): „None of the provided entities were found.“ (Keine der angegebenen Entitäten wurde gefunden.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags aus Einheiten entfernen‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Als falsch positiv melden

Melden Sie Entitäten in Anomali ThreatStream als falsch positiv. Unterstützte Entitäten: Hash, URL, IP-Adresse, E-Mail-Adresse (Nutzerentität, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt).

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Grund	String	–	Ja	Geben Sie den Grund an, warum Sie Entitäten als falsch positive Ergebnisse kennzeichnen möchten.
Kommentar	String	–	Ja	Geben Sie zusätzliche Informationen zu Ihrer Entscheidung an, die Einheit als falsch positiv zu kennzeichnen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E‑Mail-Adresse (Nutzerentität, die dem regulären Ausdruck für E‑Mail-Adressen entspricht)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

Fall-Repository

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Die folgenden Entitäten wurden erfolgreich als Falschmeldungen in Anomali ThreatStream gemeldet:\n{0}“.format(entity.identifier list) Wenn bestimmte Entitäten nicht als Falsch positiv markiert werden können (is_success=true): „Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}“.format([entity.identifier]) Wenn alle Entitäten nicht angereichert werden können (is_success=false): „Es wurden keine Entitäten als falsch positiv gemeldet.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Als Falschmeldung melden‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Die folgenden Entitäten wurden erfolgreich als Falschmeldungen in Anomali ThreatStream gemeldet:\n{0}“.format(entity.identifier list)

Wenn bestimmte Entitäten nicht als Falsch positiv markiert werden können (is_success=true): „Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}“.format([entity.identifier])

Wenn alle Entitäten nicht angereichert werden können (is_success=false): „Es wurden keine Entitäten als falsch positiv gemeldet.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Als Falschmeldung melden‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Observables einreichen

Senden Sie ein Observable an Anomali ThreatStream basierend auf IP-, URL-, Hash- und E-Mail-Entitäten. Unterstützte Entitäten: Hash, URL, IP-Adresse, E-Mail-Adresse (Nutzerentität, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmt).

Wo finde ich die IDs von vertrauenswürdigen Kreisen?

Suchen Sie den vertrauenswürdigen Kreis in Anomali ThreatStream und klicken Sie auf seinen Namen, um die ID zu finden. Die in der Adressleiste angezeigte URL enthält die ID, z. B. https://siemplify.threatstream.com/search?trustedcircles=13..

Parameter

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Klassifizierung	DDL	Privat Mögliche Werte: Öffentlich Privat	Ja	Geben Sie die Klassifizierung des beobachtbaren Elements an.
Bedrohungstyp	DDL	APT Mögliche Werte APT Adware Ungewöhnlich Anonymisierung Bot Brute C2 Gehackt Kryptowährungen Datenleck DDOS Dynamisches DNS Exfil Exploit Betrug Hacking-Tool I2P Informationell Malware P2P Geparkt Phish Scannen Sinkhole Soziale Netzwerke Spam Unterdrücken Verdächtig TOR VPS	Ja	Geben Sie den Bedrohungstyp für die Observables an.
Quelle	String	Siemplify	Nein	Geben Sie die Intelligence-Quelle für das Observable an.
Ablaufdatum	Ganzzahl	–	Nein	Geben Sie das Ablaufdatum für das Observable in Tagen an. Wenn hier nichts angegeben ist, wird durch die Aktion ein Observable erstellt, das nie abläuft.
IDs vertrauenswürdiger Kreise	CSV	–	Nein	Geben Sie die durch Kommas getrennte Liste der vertrauenswürdigen Kreis-IDs an. Die beobachtbaren Ereignisse werden mit diesen vertrauenswürdigen Kreisen geteilt.
TLP	DDL	Wählen Sie eine Option aus. Mögliche Werte: Wählen Sie eine Option aus. Rot Grün Bernsteingelb Weiß	Nein	Geben Sie die TLP für Ihre Observables an.
Zuverlässigkeit	Ganzzahl	–	Nein	Geben Sie an, wie hoch die Konfidenz für die Beobachtung sein soll. Hinweis: Dieser Parameter funktioniert nur, wenn Sie Observables in Ihrer Organisation erstellen. Außerdem muss „System Confidence überschreiben“ aktiviert sein.
System-Konfidenz überschreiben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, haben erstellte Observables die im Parameter „Confidence“ angegebene Konfidenz. Hinweis: Wenn dieser Parameter aktiviert ist, können Sie keine Beobachtungen in vertrauenswürdigen Kreisen und öffentlich teilen.
Anonyme Einsendung	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion anonym ausgeführt.
Tags	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Tags an, die Sie dem beobachtbaren Element hinzufügen möchten.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
E-Mail

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	True oder False	is_success:False

JSON-Ergebnis

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Fall-Repository

Ergebnistyp Beschreibung Typ

Ausgabemeldung*

Ergebnistyp	Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird(is_success=true): „Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}“.format(entity.identifier list) Wenn einige Entitäten nicht angereichert werden können (abgelehnte Entitäten) (is_success=true): „Die Aktion konnte die folgenden Entitäten in Anomali ThreatStream nicht erfolgreich einreichen und genehmigen: {0}“.format([entity.identifier]) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „Es wurden keine Entitäten erfolgreich an Anomali ThreatStream gesendet.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Submit Observables‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Submit Observables‘. Grund: {0}''.format(message)	Allgemein
	Link: `https://siemplify.threatstream.com/import/review/{jobid}`	Entität

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird(is_success=true): „Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}“.format(entity.identifier list)

Wenn einige Entitäten nicht angereichert werden können (abgelehnte Entitäten) (is_success=true): „Die Aktion konnte die folgenden Entitäten in Anomali ThreatStream nicht erfolgreich einreichen und genehmigen: {0}“.format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „Es wurden keine Entitäten erfolgreich an Anomali ThreatStream gesendet.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Submit Observables‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Submit Observables‘. Grund: {0}''.format(message)

Allgemein

Link:

https://siemplify.threatstream.com/import/review/{jobid}

Entität

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Anomali ThreatStream – Observables Connector

Beobachtbare Elemente aus Anomali ThreatStream abrufen

Quellnamen werden in der dynamischen Liste verwendet.

Suchen Sie den vertrauenswürdigen Kreis in Anomali ThreatStream und klicken Sie auf seinen Namen, um die ID zu finden. Die URL in der Adressleiste enthält die ID, z. B. https://siemplify.threatstream.com/search?trustedcircles=13.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist `Product Name`.
Name des Ereignisfelds	String	Typ	Ja	Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.
Name des Umgebungsfelds	String	""	Nein	Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.
`Environment Regex Pattern`	String	.*	Nein	Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	300	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	https://api.threatstream.com	Ja	API-Stammverzeichnis der Anomali ThreatStream-Instanz.
E-Mail-Adresse	String	–	Ja	E-Mail-Adresse des Anomali ThreatStream-Kontos.
API-Schlüssel	Passwort	–	Ja	API-Schlüssel des Anomali ThreatStream-Kontos.
Niedrigster abzurufender Schweregrad	String	Hoch	Ja	Niedrigster Schweregrad, der zum Abrufen von Observables verwendet wird. Mögliche Werte: Niedrig Mittel Hoch Sehr hoch
Niedrigste Konfidenz zum Abrufen	Ganzzahl	50	Ja	Niedrigste Zuverlässigkeit, die zum Abrufen von Observables verwendet wird. Es sind höchstens `100` zulässig.
Quellfeedfilter	CSV	–	Nein	Durch Kommas getrennte Liste von Feed-IDs, die zum Erfassen von Observables verwendet werden sollen, z. B. `515,4129`.
Filter für beobachtbare Typen	CSV	URL, Domain, E-Mail, Hash, IP, IPv6	Nein	Durch Kommas getrennte Liste der zu erfassenden beobachtbaren Typen, z. B. `URL, domain`. Mögliche Werte: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filter für Observable-Status	CSV	Aktiv	Nein	Durch Kommas getrennte Liste der beobachtbaren Status, die zum Erfassen neuer Daten verwendet werden sollen, z. B. `active,inactive` Mögliche Werte: `active`, `inactive`, `falsepos` .
Filter für Bedrohungstyp	CSV	–	Nein	Eine durch Kommas getrennte Liste von Bedrohungstypen, die zum Erfassen von Observables verwendet werden sollen, z. B. `adware,anomalous,anonymization,apt`. Mögliche Werte: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filter für vertrauenswürdige Kreise	CSV	–	Nein	Durch Kommas getrennte Liste der IDs vertrauenswürdiger Kreise, die zum Erfassen von Observables verwendet werden sollen, z. B. `146,147`.
Filter für Tag-Namen	CSV	–	Nein	Durch Kommas getrennte Liste von Tag-Namen, die mit Observables verknüpft sind, die bei der Aufnahme verwendet werden sollen, z. B. `Microsoft Credentials, Phishing`.
Quellfeed-Gruppierung	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden beobachtbare Elemente aus derselben Quelle im selben Google SecOps-Hinweis gruppiert.
Maximale Anzahl der Tage für den Rückwärtsabruf	Ganzzahl	1	Nein	Die Anzahl der Tage vor dem heutigen Tag, für die die beobachtbaren Ereignisse abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten.
Maximale Anzahl von Beobachtungen pro Benachrichtigung	Ganzzahl	100	Nein	Die Anzahl der Observables, die in eine Google SecOps-Benachrichtigung aufgenommen werden sollen. Der maximal zulässige Wert beträgt 200.
`Use whitelist as a blacklist`	Kästchen	Deaktiviert	Ja	Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Anomali ThreatStream-Server validiert.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten