Esta página se ha traducido con Cloud Translation API.

Integrar Anomali ThreatStream con Google SecOps

En este documento se describe cómo integrar Anomali ThreatStream con Google Security Operations (Google SecOps).

Versión de integración: 11.0

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz web	Cadena	https://siemplify.threatstream.com	Sí	Raíz web de la instancia de Anomali ThreatStream. Este parámetro se usa para crear enlaces de informes entre elementos de integración.
Raíz de la API	Cadena	https://api.threatstream.com	Sí	Raíz de la API de la instancia de Anomali ThreatStream.
Dirección de correo electrónico	Cadena	N/A	Sí	Dirección de correo de la cuenta de Anomali ThreatStream.
Clave de API	Contraseña	N/A	Sí	Clave de API de la cuenta de Anomali ThreatStream.
Verificar SSL	Casilla	Marcada	Sí	Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Anomali ThreatStream sea válido.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Añadir etiquetas a entidades

Añade etiquetas a las entidades de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Etiquetas	CSV	N/A	Sí	Especifica una lista de etiquetas separadas por comas que deban añadirse a las entidades de Anomali ThreatStream.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Se han añadido correctamente etiquetas a las siguientes entidades de Anomali ThreatStream:\n{0}".format(entity.identifier list) Si no se encuentran entidades específicas (is_success=true): "No se han encontrado las siguientes entidades en Anomali ThreatStream:\n {0}".format([entity.identifier]) Si no se encuentran todas las entidades (is_success=false): "None of the provided entities were found." ("No se ha encontrado ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir etiquetas a entidades". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Se han añadido correctamente etiquetas a las siguientes entidades de Anomali ThreatStream:\n{0}".format(entity.identifier list)

Si no se encuentran entidades específicas (is_success=true): "No se han encontrado las siguientes entidades en Anomali ThreatStream:\n {0}".format([entity.identifier])

Si no se encuentran todas las entidades (is_success=false): "None of the provided entities were found." ("No se ha encontrado ninguna de las entidades proporcionadas").

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir etiquetas a entidades". Motivo: {0}''.format(error.Stacktrace)

General

Enriquecer entidades

Obtiene información sobre IPs, URLs, hashes y direcciones de correo electrónico de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de gravedad	DDL	Bajo Posibles valores: Muy alta Alta Medio Bajo	Sí	Especifica el umbral de gravedad de la entidad para marcarla como sospechosa. Si se encuentran varios registros de la misma entidad, se tomará la medida de mayor gravedad de entre todos los registros disponibles.
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza de la entidad para marcarla como sospechosa. Nota: El valor máximo es 100. Si se encuentran varios registros de la entidad, se calculará la media. Los registros activos tienen prioridad.
Ignorar el estado de falso positivo	Casilla	Desmarcada	No	Si está habilitada, la acción ignorará el estado de falso positivo y marcará la entidad como sospechosa en función de los umbrales de gravedad y de confianza. Si está inhabilitada, la acción nunca etiquetará las entidades de falsos positivos como sospechosas, independientemente de si cumplen o no las condiciones de "Umbral de gravedad" y "Umbral de confianza".
Add Threat Type To Case	Casilla	Desmarcada	No	Si se habilita, la acción añadirá los tipos de amenazas de la entidad de todos los registros como etiquetas al caso. Ejemplo: apt
Solo estadísticas de entidades sospechosas	Casilla	Desmarcada	Sí	Si está habilitada, la acción solo creará estadísticas de las entidades que hayan superado los umbrales de gravedad y de confianza.
Crear estadística	Casilla	Desmarcada	Sí	Si se habilita, la acción añadirá una estadística por entidad procesada.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
id	Cuando esté disponible en JSON
status	Cuando esté disponible en JSON
itype	Cuando esté disponible en JSON
expiration_time	Cuando esté disponible en JSON
ip	Cuando esté disponible en JSON
feed_id	Cuando esté disponible en JSON
confianza	Cuando esté disponible en JSON
uuid	Cuando esté disponible en JSON
retina_confidence	Cuando esté disponible en JSON
trusted_circle_ids	Cuando esté disponible en JSON
fuente	Cuando esté disponible en JSON
latitude	Cuando esté disponible en JSON
tipo	Cuando esté disponible en JSON
description	Cuando esté disponible en JSON
etiquetas	Cuando esté disponible en JSON
threat_score	Cuando esté disponible en JSON
source_confidence	Cuando esté disponible en JSON
modification_time	Cuando esté disponible en JSON
org_name	Cuando esté disponible en JSON
asn	Cuando esté disponible en JSON
creation_time	Cuando esté disponible en JSON
tlp	Cuando esté disponible en JSON
país	Cuando esté disponible en JSON
longitude	Cuando esté disponible en JSON
gravedad	Cuando esté disponible en JSON
subtype	Cuando esté disponible en JSON
informe	Cuando esté disponible en JSON

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list) ("Se han enriquecido correctamente las siguientes entidades con Anomali ThreatStream: \n {0}".format(lista de identificadores de la entidad)) Si no se han podido enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se han podido enriquecer las siguientes entidades con Anomali ThreatStream\n: {0}".format([entity.identifier])) Si no se han podido enriquecer todas las entidades (is_success=false): "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General
Tabla del panel de casos	Nombre de la tabla: Enlaces de análisis relacionados: {entity_identifier} Columnas de tabla: Nombre Enlace	General
Tabla del panel de casos	Claves basadas en la tabla de enriquecimiento	Entidad

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list) ("Se han enriquecido correctamente las siguientes entidades con Anomali ThreatStream: \n {0}".format(lista de identificadores de la entidad))

Si no se han podido enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se han podido enriquecer las siguientes entidades con Anomali ThreatStream\n: {0}".format([entity.identifier]))

Si no se han podido enriquecer todas las entidades (is_success=false): "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Tabla del panel de casos

Nombre de la tabla: Enlaces de análisis relacionados: {entity_identifier}

Columnas de tabla:

Nombre
Enlace

General

Tabla del panel de casos

Claves basadas en la tabla de enriquecimiento

Entidad

Get Related Associations

Recupera asociaciones relacionadas con entidades de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Return Campaigns	Casilla	Marcada	No	Si se habilita, la acción obtendrá las campañas relacionadas y sus detalles.
Devuelve los boletines de amenazas	Casilla	Marcada	No	Si se habilita, la acción obtendrá los boletines de amenazas relacionados y sus detalles.
Actores de retorno	Casilla	Marcada	No	Si se habilita, la acción obtendrá los actores relacionados y detalles sobre ellos.
Devuelve los patrones de ataque	Casilla	Marcada	No	Si se habilita, la acción obtendrá patrones de ataque relacionados e información sobre ellos.
Return Courses Of Action	Casilla	Marcada	No	Si se habilita, la acción obtendrá los cursos de acción relacionados y sus detalles.
Return Identities	Casilla	Marcada	No	Si se habilita, la acción obtendrá las identidades relacionadas y los detalles sobre ellas.
Devolver incidentes	Casilla	Marcada	No	Si está habilitada, la acción obtendrá los incidentes relacionados y sus detalles.
Return Infrastructure	Casilla	Marcada	No	Si se habilita, la acción obtendrá la infraestructura relacionada y los detalles sobre ella.
Return Intrusion Sets	Casilla	Marcada	No	Si se habilita, la acción obtendrá los conjuntos de intrusiones relacionados y sus detalles.
Return Malware	Casilla	Marcada	No	Si se habilita, la acción obtendrá el malware relacionado y los detalles sobre él.
Return Signatures	Casilla	Marcada	No	Si se habilita, la acción obtendrá las firmas relacionadas y sus detalles.
Herramientas de devolución	Casilla	Marcada	No	Si se habilita, la acción obtendrá las herramientas relacionadas y los detalles sobre ellas.
Devolver TTPs	Casilla	Marcada	No	Si se habilita, la acción obtendrá las TTPs relacionadas y sus detalles.
Return Vulnerabilities	Casilla	Marcada	No	Si se habilita, la acción obtendrá las vulnerabilidades relacionadas y sus detalles.
Crear entidad de campaña	Casilla	Desmarcada	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de campaña disponibles.
Crear entidad Actors	Casilla	Desmarcada	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de Actor disponibles.
Crear entidad de firma	Casilla	Desmarcada	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de firma disponibles.
Crear entidad de vulnerabilidad	Casilla	Desmarcada	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de vulnerabilidades disponibles.
Crear estadística	Casilla	Marcada	No	Si se habilita, la acción creará una estadística basada en los resultados.
Crear etiqueta de caso	Casilla	Desmarcada	No	Si se habilita esta opción, se crearán etiquetas de caso en función de los resultados.
Número máximo de asociaciones que se devolverán	Entero	5	No	Especifica cuántas asociaciones se deben devolver por tipo. Valor predeterminado: 5
Número máximo de estadísticas que se devolverán	Entero	3	No	Especifica cuántos resultados de estadísticas principales sobre IOCs quieres que se devuelvan. Nota: La acción procesará un máximo de 1000 IOCs relacionados con la asociación. Si proporcionas `0`, la acción no intentará obtener información de estadísticas.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos una asociación entre entidades (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" ("Se han recuperado correctamente las asociaciones relacionadas de Anomali ThreatStream") Si no se encuentra ninguna asociación (is_success=false): "No se ha encontrado ninguna asociación relacionada". Mensaje asíncrono: "Esperando a que se recuperen todos los detalles de la asociación" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Get Related Association". Motivo: {0}''.format(error.Stacktrace)	General
Tabla del panel de casos	Nombre de la tabla: "Related Associations" Columnas de tabla: ID Nombre Tipo Estado

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos una asociación entre entidades (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" ("Se han recuperado correctamente las asociaciones relacionadas de Anomali ThreatStream")

Si no se encuentra ninguna asociación (is_success=false): "No se ha encontrado ninguna asociación relacionada".

Mensaje asíncrono: "Esperando a que se recuperen todos los detalles de la asociación"

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Get Related Association". Motivo: {0}''.format(error.Stacktrace)

General

Tabla del panel de casos

Nombre de la tabla: "Related Associations"

Columnas de tabla:

ID
Nombre
Tipo
Estado

Obtener entidades relacionadas

Recupera entidades relacionadas en función de las asociaciones de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica cuál debe ser el umbral de confianza. El máximo es 100.
Buscar boletines de amenazas	Casilla	Marcada	No	Si se habilita, la acción buscará entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción buscará entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si se habilita, la acción buscará entre los patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción buscará campañas de búsqueda.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la acción buscará entre las opciones.
Buscar identidades	Casilla	Marcada	No	Si se habilita, la acción buscará entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción buscará entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si se habilita, la acción buscará entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si se habilita, la acción buscará entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si se habilita, la acción buscará entre el malware.
Buscar firmas	Casilla	Marcada	No	Si se habilita, la acción buscará entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si se habilita, la acción buscará entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si se habilita, la acción buscará entre los ttps.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción buscará entre las vulnerabilidades.
Número máximo de entidades que se devolverán	Entero	50	No	Especifica cuántas entidades se devolverán por tipo de entidad.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico (entidad de usuario que coincide con la expresión regular de correo electrónico)
Atacante
CVE

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related hashes from Anomali ThreatStream" ("Se han recuperado correctamente los hashes relacionados de Anomali ThreatStream") Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ningún hash relacionado". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related hashes from Anomali ThreatStream" ("Se han recuperado correctamente los hashes relacionados de Anomali ThreatStream")

Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ningún hash relacionado".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Ping

Prueba la conectividad con Anomali ThreatStream.

Parámetros

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Anomali ThreatStream con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente:"No se ha podido conectar con el servidor de Anomali ThreatStream. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Anomali ThreatStream con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:

Si no se resuelve correctamente:"No se ha podido conectar con el servidor de Anomali ThreatStream. Error: {0}".format(exception.stacktrace)

General

Quitar etiquetas de entidades

Quitar etiquetas de entidades en Anomali ThreatStream. Entidades admitidas: hash, URL, dirección IP y dirección de correo electrónico (entidad de usuario que coincide con la expresión regular de correo electrónico).

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Etiquetas	CSV	N/A	Sí	Especifica una lista de etiquetas separadas por comas que deban eliminarse de las entidades de Anomali ThreatStream.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se quita al menos una etiqueta de una entidad (is_success=true): "Se han quitado correctamente las siguientes etiquetas de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags) Si no se encuentra una etiqueta de una entidad (is_success=true): "Las siguientes etiquetas ya no forman parte de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags) Si no se encuentran todas las etiquetas de una entidad (is_success=true): "None of the provided tags were part of "{entity.identifier}" entity in Anomali ThreatStream." ("Ninguna de las etiquetas proporcionadas formaba parte de la entidad "{entity.identifier}" en Anomali ThreatStream"). Si no se encuentra una entidad (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se han encontrado las siguientes entidades en Anomali ThreatStream:\n {0}".format([entity.identifier])) Si no se encuentra ninguna entidad (is_success=false): "None of the provided entities were found." ("No se ha encontrado ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Quitar etiquetas de entidades". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se quita al menos una etiqueta de una entidad (is_success=true): "Se han quitado correctamente las siguientes etiquetas de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags)

Si no se encuentra una etiqueta de una entidad (is_success=true): "Las siguientes etiquetas ya no forman parte de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags)

Si no se encuentran todas las etiquetas de una entidad (is_success=true): "None of the provided tags were part of "{entity.identifier}" entity in Anomali ThreatStream." ("Ninguna de las etiquetas proporcionadas formaba parte de la entidad "{entity.identifier}" en Anomali ThreatStream").

Si no se encuentra una entidad (is_success=true): "The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se han encontrado las siguientes entidades en Anomali ThreatStream:\n {0}".format([entity.identifier]))

Si no se encuentra ninguna entidad (is_success=false): "None of the provided entities were found." ("No se ha encontrado ninguna de las entidades proporcionadas").

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Quitar etiquetas de entidades". Motivo: {0}''.format(error.Stacktrace)

General

Informar de falso positivo

Informa de las entidades de Anomali ThreatStream como falsos positivos. Entidades admitidas: hash, URL, dirección IP y dirección de correo electrónico (entidad de usuario que coincide con la expresión regular de correo electrónico).

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Motivo	Cadena	N/A	Sí	Especifica el motivo por el que quieres marcar las entidades como falsos positivos.
Comentario	Cadena	N/A	Sí	Especifica información adicional relacionada con tu decisión de marcar la entidad como falso positivo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Dirección de correo electrónico (entidad de usuario que coincide con la expresión regular de correo electrónico)

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Se han notificado correctamente las siguientes entidades como falsos positivos en Anomali ThreatStream:\n{0}".format(entity.identifier list) Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se ha podido informar de las siguientes entidades como falsos positivos en Anomali ThreatStream\n: {0}".format([entity.identifier])) Si no se pueden enriquecer todas las entidades (is_success=false): "No se ha informado de ninguna entidad como falso positivo". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Informar de falso positivo". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Se han notificado correctamente las siguientes entidades como falsos positivos en Anomali ThreatStream:\n{0}".format(entity.identifier list)

Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se ha podido informar de las siguientes entidades como falsos positivos en Anomali ThreatStream\n: {0}".format([entity.identifier]))

Si no se pueden enriquecer todas las entidades (is_success=false): "No se ha informado de ninguna entidad como falso positivo".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Informar de falso positivo". Motivo: {0}''.format(error.Stacktrace)

General

Enviar observables

Envía un observable a Anomali ThreatStream basado en entidades de IP, URL, hash o correo electrónico. Entidades admitidas: hash, URL, dirección IP y dirección de correo electrónico (entidad de usuario que coincide con la expresión regular de correo electrónico).

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, localízalo en Anomali ThreatStream y haz clic en su nombre. La URL que se muestra en la barra de direcciones incluye el ID, como https://siemplify.threatstream.com/search?trustedcircles=13.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Clasificación	DDL	Privado Posibles valores: Público Privado	Sí	Especifica la clasificación del observable.
Tipo de amenaza	DDL	APT Valores posibles APT Adware Anómalos Anonimización Bot Brute C2 Vulnerado Crypto Fugas de datos DDOS DNS dinámico Exfil Exploits fraude Herramienta de hacking I2P Informativa Malware P2P Aparcado Phish Examinar Sumidero Redes sociales Spam Suprimir Sospechoso TOR VPS	Sí	Especifica el tipo de amenaza de los observables.
Fuente	Cadena	Siemplify	No	Especifica la fuente de información de la observable.
Fecha de caducidad	Entero	N/A	No	Especifica la fecha de vencimiento en días del observable. Si no se especifica nada, la acción creará un observable que nunca caducará.
IDs de círculos de confianza	CSV	N/A	No	Especifica la lista separada por comas de IDs de círculos de confianza. Los observables se compartirán con esos círculos de confianza.
TLP	DDL	Selecciona una opción. Valores posibles: Selecciona una opción. Rojo Verde Ámbar Blanca	No	Especifica el TLP de tus observables.
Confianza	Entero	N/A	No	Especifica la confianza del observable. Nota: Este parámetro solo funcionará si creas observables en tu organización y requiere que se habilite la opción Anular confianza del sistema.
Anular la confianza del sistema	Casilla	Desmarcada	No	Si se habilita, los observables creados tendrán la confianza especificada en el parámetro Confidence. Nota: Si este parámetro está habilitado, no puedes compartir observables en círculos de confianza ni públicamente.
Envío anónimo	Casilla	Desmarcada	No	Si se habilita, la acción enviará una solicitud anónima.
Etiquetas	CSV	N/A	No	Especifica una lista de etiquetas separada por comas que quieras añadir al observable.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Panel de casos

Tipo de resultado Descripción Tipo

Mensaje de salida*

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) ("Se han enviado y aprobado correctamente las siguientes entidades en Anomali ThreatStream:\n{0}".format(lista de identificadores de la entidad)) Si no se pueden enriquecer algunas entidades (entidades rechazadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se ha podido enviar y aprobar correctamente las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier])) Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enviado ninguna entidad a Anomali ThreatStream." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar observables". Motivo: {0}''.format(error.Stacktrace) Si se devuelve el código de estado 400: "Error al ejecutar la acción "Enviar observables". Motivo: {0}''.format(message)	General
	Enlace: `https://siemplify.threatstream.com/import/review/{jobid}`	Entidad

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) ("Se han enviado y aprobado correctamente las siguientes entidades en Anomali ThreatStream:\n{0}".format(lista de identificadores de la entidad))

Si no se pueden enriquecer algunas entidades (entidades rechazadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier]) ("No se ha podido enviar y aprobar correctamente las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier]))

Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enviado ninguna entidad a Anomali ThreatStream."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar observables". Motivo: {0}''.format(error.Stacktrace)

Si se devuelve el código de estado 400: "Error al ejecutar la acción "Enviar observables". Motivo: {0}''.format(message)

General

Enlace:

https://siemplify.threatstream.com/import/review/{jobid}

Entidad

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

Anomali ThreatStream - Observables Connector

Extrae observables de Anomali ThreatStream.

Los nombres de las fuentes se usan en la lista dinámica.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es `Product Name`.
Nombre del campo de evento	Cadena	tipo	Sí	Nombre del campo que determina el nombre del evento (subtipo).
Nombre del campo de entorno	Cadena	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado.
`Environment Regex Pattern`	Cadena	.*	No	Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	300	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	https://api.threatstream.com	Sí	Raíz de la API de la instancia de Anomali ThreatStream.
Dirección de correo electrónico	Cadena	N/A	Sí	Dirección de correo de la cuenta de Anomali ThreatStream.
Clave de API	Contraseña	N/A	Sí	Clave de API de la cuenta de Anomali ThreatStream.
Gravedad mínima que se va a obtener	Cadena	Alta	Sí	Gravedad mínima que se usará para obtener observables. Posibles valores: Bajo Medio Alta Muy alto
Confianza mínima para obtener	Entero	50	Sí	Confianza más baja que se usará para obtener observables. El máximo es `100`.
Filtro de feed de origen	CSV	N/A	No	Lista separada por comas de IDs de feeds que se deben usar para ingerir observables, como `515,4129`.
Filtro de tipo observable	CSV	URL, dominio, correo electrónico, hash, IP, IPv6	No	Lista separada por comas de tipos observables que se deben ingerir, como `URL, domain`. Valores posibles: `URL`, `domain`, `email`, `hash`, `ip` y `ipv6`
Filtro de estado observable	CSV	activa	No	Lista separada por comas de los estados observables que se deben usar para ingerir datos nuevos, como `active,inactive` Valores posibles: `active`, `inactive`, `falsepos` .
Filtro por tipo de amenaza	CSV	N/A	No	Lista separada por comas de los tipos de amenazas que se deben usar para ingerir observables, como `adware,anomalous,anonymization,apt`. Valores posibles: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor` y `vps`.
Filtro de círculo de confianza	CSV	N/A	No	Lista separada por comas de IDs de círculos de confianza que se deben usar para ingerir observables, como `146,147`.
Filtro de nombre de etiqueta	CSV	N/A	No	Lista separada por comas de nombres de etiquetas asociadas a observables que se deben usar con la ingestión, como `Microsoft Credentials, Phishing`.
Agrupación de feeds de origen	Casilla	Desmarcada	No	Si está habilitado, el conector agrupa los observables de la misma fuente en la misma alerta de Google SecOps.
Fetch Max Days Backwards	Entero	1	No	Número de días anteriores al actual para obtener los observables. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada.
Número máximo de observables por alerta	Entero	100	No	Número de observables que se incluirán en una alerta de Google SecOps. El valor máximo permitido es 200.
`Use whitelist as a blacklist`	Casilla	Desmarcada	Sí	Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo.
Verificar SSL	Casilla	Desmarcada	Sí	Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Anomali ThreatStream.
Dirección del servidor proxy	Cadena	N/A	No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena	N/A	No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña	N/A	No	La contraseña del proxy para autenticarte.

Reglas de conectores

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.