Cette page a été traduite par l'API Cloud Translation.

Intégrer Anomali ThreatStream à Google SecOps

Ce document explique comment intégrer Anomali ThreatStream à Google Security Operations (Google SecOps).

Version de l'intégration : 11.0

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine Web	Chaîne	https://siemplify.threatstream.com	Oui	Racine Web de l'instance Anomali ThreatStream. Ce paramètre permet de créer des liens vers des rapports pour les éléments d'intégration.
Racine de l'API	Chaîne	https://api.threatstream.com	Oui	Racine de l'API de l'instance Anomali ThreatStream.
Adresse e-mail	Chaîne	N/A	Oui	Adresse e-mail du compte Anomali ThreatStream.
Clé API	Mot de passe	N/A	Oui	Clé API du compte Anomali ThreatStream.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Anomali ThreatStream est valide.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ajouter des tags aux entités

Ajoutez des tags aux entités dans Anomali ThreatStream.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Tags	CSV	N/A	Oui	Spécifiez une liste de tags séparés par une virgule qui doivent être ajoutés aux entités dans Anomali ThreatStream.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
E-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Tags ajoutés aux entités suivantes dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité) Si aucune entité spécifique n'a été trouvée (is_success=true) : "Les entités suivantes n'ont pas été trouvées dans Anomali ThreatStream\n: {0}".format([entity.identifier]) Si aucune entité n'est trouvée (is_success=false) : "Aucune des entités fournies n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter des tags aux entités". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Tags ajoutés aux entités suivantes dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité)

Si aucune entité spécifique n'a été trouvée (is_success=true) : "Les entités suivantes n'ont pas été trouvées dans Anomali ThreatStream\n: {0}".format([entity.identifier])

Si aucune entité n'est trouvée (is_success=false) : "Aucune des entités fournies n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter des tags aux entités". Raison : {0}''.format(error.Stacktrace)

Général

Enrichir les entités

Récupérez des informations sur les adresses IP, les URL, les hachages et les adresses e-mail à partir d'Anomali ThreatStream.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de gravité	LDD	Faible Valeurs possibles : Très élevé Élevée Moyen Faible	Oui	Spécifiez le seuil de gravité pour l'entité afin de la marquer comme suspecte. Si plusieurs enregistrements sont trouvés pour la même entité, l'action prendra la gravité la plus élevée parmi tous les enregistrements disponibles.
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance de l'entité pour la marquer comme suspecte. Remarque : Le nombre maximal est de 100. Si plusieurs enregistrements sont trouvés pour l'entité, l'action prendra la moyenne. Les enregistrements actifs sont prioritaires.
Ignorer l'état de faux positif	Case à cocher	Décochée	Non	Si cette option est activée, l'action ignore l'état de faux positif et marque l'entité comme suspecte en fonction des seuils de gravité et de confiance. Si cette option est désactivée, l'action ne marquera jamais les entités faussement positives comme suspectes, qu'elles remplissent ou non les conditions de seuil de gravité et de seuil de confiance.
Ajouter un type de menace à une demande	Case à cocher	Décochée	Non	Si cette option est activée, l'action ajoutera les types de menaces de l'entité à partir de tous les enregistrements en tant que tags à la demande. Exemple : apt
Insight "Entité suspecte" uniquement	Case à cocher	Décochée	Oui	Si cette option est activée, l'action ne créera des insights que pour les entités qui ont dépassé les seuils de gravité et de confiance.
Créer un insight	Case à cocher	Décochée	Oui	Si cette option est activée, l'action ajoutera un insight par entité traitée.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
E-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
id	Lorsqu'il est disponible au format JSON
état	Lorsqu'il est disponible au format JSON
itype	Lorsqu'il est disponible au format JSON
expiration_time	Lorsqu'il est disponible au format JSON
ip	Lorsqu'il est disponible au format JSON
feed_id	Lorsqu'il est disponible au format JSON
confiance	Lorsqu'il est disponible au format JSON
uuid	Lorsqu'il est disponible au format JSON
retina_confidence	Lorsqu'il est disponible au format JSON
trusted_circle_ids	Lorsqu'il est disponible au format JSON
source	Lorsqu'il est disponible au format JSON
latitude	Lorsqu'il est disponible au format JSON
type	Lorsqu'il est disponible au format JSON
description	Lorsqu'il est disponible au format JSON
tags	Lorsqu'il est disponible au format JSON
threat_score	Lorsqu'il est disponible au format JSON
source_confidence	Lorsqu'il est disponible au format JSON
modification_time	Lorsqu'il est disponible au format JSON
org_name	Lorsqu'il est disponible au format JSON
asn	Lorsqu'il est disponible au format JSON
creation_time	Lorsqu'il est disponible au format JSON
tlp	Lorsqu'il est disponible au format JSON
pays	Lorsqu'il est disponible au format JSON
longitude	Lorsqu'il est disponible au format JSON
de gravité,	Lorsqu'il est disponible au format JSON
subtype	Lorsqu'il est disponible au format JSON
rapport	Lorsqu'il est disponible au format JSON

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une des entités fournies est enrichie (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide d'Anomali ThreatStream : \n {0}".format(liste des identifiants d'entité) Si l'enrichissement de certaines entités a échoué (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide d'Anomali ThreatStream : {0}".format([entity.identifier]) Si l'enrichissement de toutes les entités a échoué (is_success=false) : "Aucune entité n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général
Tableau du mur des cas	Nom de la table : liens vers les analyses associées : {entity_identifier} Colonnes du tableau : Nom Lien	Général
Tableau du mur des cas	Clés basées sur la table d'enrichissement	Entité

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une des entités fournies est enrichie (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide d'Anomali ThreatStream : \n {0}".format(liste des identifiants d'entité)

Si l'enrichissement de certaines entités a échoué (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide d'Anomali ThreatStream : {0}".format([entity.identifier])

Si l'enrichissement de toutes les entités a échoué (is_success=false) : "Aucune entité n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Tableau du mur des cas

Nom de la table : liens vers les analyses associées : {entity_identifier}

Colonnes du tableau :

Nom
Lien

Général

Tableau du mur des cas

Clés basées sur la table d'enrichissement

Entité

Obtenir les associations associées

Récupérez les associations liées aux entités à partir d'Anomali ThreatStream.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Campagnes de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les campagnes associées et des informations les concernant.
Retourner les bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les bulletins de menace associés et des informations les concernant.
Acteurs de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les acteurs associés et des informations les concernant.
Schémas d'attaque de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les schémas d'attaque associés et des informations les concernant.
Renvoyer les plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les cours d'action associés et des informations les concernant.
Identités de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les identités associées et des informations les concernant.
Retourner les incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les incidents associés et des informations les concernant.
Infrastructure de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère l'infrastructure associée et des informations la concernant.
Retourner les ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les ensembles d'intrusion associés et des informations les concernant.
Renvoyer un logiciel malveillant	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les logiciels malveillants associés et des informations les concernant.
Signatures de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les signatures associées et des informations les concernant.
Outils de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les outils associés et des informations les concernant.
Tactiques, techniques et procédures de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les TTP associés et des informations les concernant.
Retourner les failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les failles associées et des informations les concernant.
Créer une entité de campagne	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations de campagne disponibles.
Créer une entité "Acteurs"	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations d'acteurs disponibles.
Créer une entité de signature	Case à cocher	Décochée	Non	Si cette option est activée, l'action créera une entité à partir des associations de signatures disponibles.
Créer une entité de failles	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations de failles disponibles.
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, une action créera un insight basé sur les résultats.
Créer un tag de demande	Case à cocher	Décochée	Non	Si cette option est activée, l'action créera des tags d'assistance en fonction des résultats.
Nombre maximal d'associations à renvoyer	Integer	5	Non	Spécifiez le nombre d'associations à renvoyer par type. Valeur par défaut : 5
Nombre maximal de statistiques à renvoyer	Integer	3	Non	Spécifiez le nombre de résultats statistiques les plus pertinents concernant les IOC à renvoyer. Remarque : L'action traitera au maximum 1 000 IOC associés à l'association. Si vous fournissez `0`, l'action ne tente pas de récupérer les informations statistiques.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
E-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Résultat JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une association entre les entités est trouvée (is_success=true) : "Associations associées récupérées avec succès depuis Anomali ThreatStream" Si aucune association n'est trouvée (is_success=false) : "Aucune association connexe n'a été trouvée." Message asynchrone : "En attente de la récupération de tous les détails de l'association" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Obtenir l'association associée". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom de la table : "Associations associées" Colonnes du tableau : ID Nom Type État

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une association entre les entités est trouvée (is_success=true) : "Associations associées récupérées avec succès depuis Anomali ThreatStream"

Si aucune association n'est trouvée (is_success=false) : "Aucune association connexe n'a été trouvée."

Message asynchrone : "En attente de la récupération de tous les détails de l'association"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Obtenir l'association associée". Raison : {0}''.format(error.Stacktrace)

Général

Tableau du mur des cas

Nom de la table : "Associations associées"

Colonnes du tableau :

ID
Nom
Type
État

Obtenir les entités associées

Récupérez les entités associées en fonction des associations dans Anomali ThreatStream.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. La valeur maximale est de 100.
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche dans les bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherchera les campagnes sur le Réseau de Recherche.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherchera des plans d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherchera les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherchera les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectuera une recherche parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherchera les failles.
Nombre maximal d'entités à renvoyer	Integer	50	Non	Indiquez le nombre d'entités à renvoyer par type d'entité.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Adresse e-mail (entité utilisateur correspondant à l'expression régulière d'adresse e-mail)
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Résultat JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related hashes from Anomali ThreatStream" (Hachages associés récupérés avec succès depuis Anomali ThreatStream) Si aucun hachage n'est trouvé (is_success=false) : "Aucun hachage associé n'a été trouvé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les hachages associés". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related hashes from Anomali ThreatStream" (Hachages associés récupérés avec succès depuis Anomali ThreatStream)

Si aucun hachage n'est trouvé (is_success=false) : "Aucun hachage associé n'a été trouvé."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les hachages associés". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Ping

Testez la connectivité à Anomali ThreatStream.

Paramètres

N/A

Date d'exécution

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Anomali ThreatStream établie avec les paramètres de connexion fournis" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Anomali ThreatStream ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Anomali ThreatStream établie avec les paramètres de connexion fournis"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Anomali ThreatStream ! Error is {0}".format(exception.stacktrace)

Général

Supprimer des tags d'entités

Supprimez les tags des entités dans Anomali ThreatStream. Entités acceptées : hachage, URL, adresse IP, adresse e-mail (entité utilisateur correspondant à l'expression régulière d'adresse e-mail).

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Tags	CSV	N/A	Oui	Spécifiez une liste de tags séparés par une virgule qui doivent être supprimés des entités dans Anomali ThreatStream.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
E-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un tag est supprimé d'une entité (is_success=true) : "Les tags suivants ont bien été supprimés de l'entité "{entity.identifier}" dans Anomali ThreatStream :\n{0}".format(tags) Si une balise est introuvable pour une entité (is_success=true) : "Les balises suivantes ne faisaient déjà pas partie de l'entité "{entity.identifier}" dans Anomali ThreatStream :\n{0}".format(tags) Si tous les tags ne sont pas trouvés pour une entité (is_success=true) : "Aucun des tags fournis ne faisait partie de l'entité "{entity.identifier}" dans Anomali ThreatStream." Si une entité est introuvable (is_success=true) : "Les entités suivantes sont introuvables dans Anomali ThreatStream : {0}".format([entity.identifier]) Si toutes les entités sont introuvables (is_success=false) : "Aucune des entités fournies n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Supprimer les tags des entités". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un tag est supprimé d'une entité (is_success=true) : "Les tags suivants ont bien été supprimés de l'entité "{entity.identifier}" dans Anomali ThreatStream :\n{0}".format(tags)

Si une balise est introuvable pour une entité (is_success=true) : "Les balises suivantes ne faisaient déjà pas partie de l'entité "{entity.identifier}" dans Anomali ThreatStream :\n{0}".format(tags)

Si tous les tags ne sont pas trouvés pour une entité (is_success=true) : "Aucun des tags fournis ne faisait partie de l'entité "{entity.identifier}" dans Anomali ThreatStream."

Si une entité est introuvable (is_success=true) : "Les entités suivantes sont introuvables dans Anomali ThreatStream : {0}".format([entity.identifier])

Si toutes les entités sont introuvables (is_success=false) : "Aucune des entités fournies n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Supprimer les tags des entités". Raison : {0}''.format(error.Stacktrace)

Général

Signaler comme faux positif

Signalez les entités dans Anomali ThreatStream comme faux positifs. Entités acceptées : hachage, URL, adresse IP, adresse e-mail (entité utilisateur correspondant à l'expression régulière d'adresse e-mail).

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Motif	Chaîne	N/A	Oui	Indiquez la raison pour laquelle vous souhaitez marquer des entités comme faux positifs.
Commentaire	Chaîne	N/A	Oui	Spécifiez des informations supplémentaires concernant votre décision de marquer l'entité comme faux positif.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Adresse e-mail (entité utilisateur correspondant à l'expression régulière d'adresse e-mail)

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Mur des cas

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Les entités suivantes ont bien été signalées comme faux positifs dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité) Si le marquage d'entités spécifiques échoue (is_success=true) : "L'action n'a pas pu signaler les entités suivantes comme faux positifs dans Anomali ThreatStream\n: {0}".format([entity.identifier]) Si l'enrichissement de toutes les entités échoue (is_success=false) : "Aucune entité n'a été signalée comme faux positif." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Signaler comme faux positif". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Les entités suivantes ont bien été signalées comme faux positifs dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité)

Si le marquage d'entités spécifiques échoue (is_success=true) : "L'action n'a pas pu signaler les entités suivantes comme faux positifs dans Anomali ThreatStream\n: {0}".format([entity.identifier])

Si l'enrichissement de toutes les entités échoue (is_success=false) : "Aucune entité n'a été signalée comme faux positif."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Signaler comme faux positif". Raison : {0}''.format(error.Stacktrace)

Général

Envoyer des observables

Envoyez un observable à Anomali ThreatStream en fonction des entités IP, URL, hachage et adresse e-mail. Entités acceptées : hachage, URL, adresse IP, adresse e-mail (entité utilisateur correspondant à l'expression régulière d'adresse e-mail).

Où trouver les ID des cercles de confiance

Pour trouver l'ID d'un cercle de confiance, recherchez-le dans Anomali ThreatStream, puis cliquez sur son nom. L'URL affichée dans la barre d'adresse indique l'ID, par exemple https://siemplify.threatstream.com/search?trustedcircles=13..

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Classification	LDD	Privé Valeurs possibles : Public Privé	Oui	Spécifiez la classification de l'observable.
Type de menace	LDD	APT Valeurs possibles APT Logiciel publicitaire Anomalies Anonymisation Bot Brute C2 Compromis Cryptomonnaies Fuite de données DDOS DNS dynamique Exfiltration Code d'exploitation Fraude Outil de piratage I2P Information Logiciels malveillants P2P Véhicule à l'arrêt Phish Analyse Gouffre Social Spam Supprimer Suspect TOR VPS	Oui	Spécifiez le type de menace pour les observables.
Source	Chaîne	Siemplify	Non	Spécifiez la source d'intelligence pour l'observable.
Date d'expiration	Integer	N/A	Non	Spécifiez la date d'expiration en jours pour l'observable. Si rien n'est spécifié ici, l'action créera un observable qui n'expirera jamais.
ID du cercle de confiance	CSV	N/A	Non	Spécifiez la liste des ID de cercles de confiance séparés par une virgule. Les observables seront partagés avec ces cercles de confiance.
TLP	LDD	Sélectionnez une réponse Valeurs possibles : Sélectionnez une réponse Rouge Vert Ambre Blanc	Non	Spécifiez le TLP pour vos observables.
Confiance	Integer	N/A	Non	Spécifiez le degré de confiance de l'observable. Remarque : Ce paramètre ne fonctionnera que si vous créez des observables dans votre organisation et que l'option "Remplacer la confiance du système" est activée.
Remplacer la confiance du système	Case à cocher	Décochée	Non	Si cette option est activée, les observables créés auront le niveau de confiance spécifié dans le paramètre "Confiance". Remarque : Lorsque ce paramètre est activé, vous ne pouvez pas partager d'observables dans des cercles de confiance ni publiquement.
Envoi anonyme	Case à cocher	Décochée	Non	Si cette option est activée, l'action enverra une requête anonyme.
Tags	CSV	N/A	Non	Spécifiez une liste de tags séparés par une virgule que vous souhaitez ajouter à l'observable.

Date d'exécution

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
E-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Résultat JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Mur des cas

Type de résultat Description Type

Message de sortie*

Type de résultat	Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités(is_success=true) : "Les entités suivantes ont été envoyées et approuvées dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité) Si l'enrichissement de certaines entités (entités refusées) échoue (is_success=true) : "L'action n'a pas pu envoyer et approuver les entités suivantes dans Anomali ThreatStream : {0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été envoyée à Anomali ThreatStream." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer les observables". Raison : {0}''.format(error.Stacktrace) Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Envoyer les observables". Motif : {0}''.format(message)	Général
	Lien : `https://siemplify.threatstream.com/import/review/{jobid}`	Entité

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités(is_success=true) : "Les entités suivantes ont été envoyées et approuvées dans Anomali ThreatStream :\n{0}".format(liste des identifiants d'entité)

Si l'enrichissement de certaines entités (entités refusées) échoue (is_success=true) : "L'action n'a pas pu envoyer et approuver les entités suivantes dans Anomali ThreatStream : {0}".format([entity.identifier])

Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été envoyée à Anomali ThreatStream."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer les observables". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Envoyer les observables". Motif : {0}''.format(message)

Général

Lien :

https://siemplify.threatstream.com/import/review/{jobid}

Entité

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Observables Anomali ThreatStream

Extrayez les observables d'Anomali ThreatStream.

Les noms de sources sont utilisés dans la liste dynamique.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est `Product Name`.
Nom du champ d'événement	Chaîne	type	Oui	Nom du champ qui détermine le nom (sous-type) de l'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut.
`Environment Regex Pattern`	Chaîne	.*	Non	Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Délai avant expiration du script (en secondes)	Integer	300	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://api.threatstream.com	Oui	Racine de l'API de l'instance Anomali ThreatStream.
Adresse e-mail	Chaîne	N/A	Oui	Adresse e-mail du compte Anomali ThreatStream.
Clé API	Mot de passe	N/A	Oui	Clé API du compte Anomali ThreatStream.
Gravité la plus faible à récupérer	Chaîne	Élevée	Oui	Niveau de gravité le plus bas qui sera utilisé pour récupérer les observables. Valeurs possibles : Faible Moyen Élevée Très élevé
Niveau de confiance le plus faible à récupérer	Integer	50	Oui	Niveau de confiance le plus bas utilisé pour récupérer les observables. Le maximum est de `100`.
Filtre de flux source	CSV	N/A	Non	Liste d'ID de flux séparés par une virgule qui doivent être utilisés pour ingérer des observables, tels que `515,4129`.
Filtre de type observable	CSV	URL, domaine, adresse e-mail, hachage, adresse IP, IPv6	Non	Liste de types observables à ingérer, tels que `URL, domain`, séparés par une virgule. Valeurs possibles : `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filtre d'état observable	CSV	actif	Non	Liste d'états observables séparés par une virgule qui doivent être utilisés pour ingérer de nouvelles données, comme `active,inactive`. Valeurs possibles : `active`, `inactive`, `falsepos` .
Filtre par type de menace	CSV	N/A	Non	Liste de types de menaces séparés par une virgule à utiliser pour ingérer des observables, comme `adware,anomalous,anonymization,apt`. Valeurs possibles : `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filtre "Cercle de confiance"	CSV	N/A	Non	Liste d'ID de cercles de confiance séparés par une virgule qui doivent être utilisés pour ingérer des observables, comme `146,147`.
Filtre de nom de balise	CSV	N/A	Non	Liste de noms de tags associés aux observables qui doivent être utilisés lors de l'ingestion, comme `Microsoft Credentials, Phishing`.
Regroupement des flux sources	Case à cocher	Décochée	Non	Si cette option est activée, le connecteur regroupe les observables de la même source sous la même alerte Google SecOps.
Nombre maximal de jours en arrière pour la récupération	Integer	1	Non	Nombre de jours avant aujourd'hui pour récupérer les observables. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré.
Nombre maximal d'observables par alerte	Integer	100	Non	Nombre d'observables à inclure dans une alerte Google SecOps. Le nombre maximal autorisé est de 200.
`Use whitelist as a blacklist`	Case à cocher	Décochée	Oui	Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Anomali ThreatStream.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec les proxys.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.