Anomali ThreatStream을 Google SecOps와 통합

이 문서에서는 Anomali ThreatStream을 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 11.0

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 이름 유형 기본값 필수 항목 설명
웹 루트 문자열 https://siemplify.threatstream.com

Anomali ThreatStream 인스턴스의 웹 루트입니다.

이 매개변수는 통합 항목 전반에서 보고서 링크를 만드는 데 사용됩니다.
API 루트 문자열 https://api.threatstream.com Anomali ThreatStream 인스턴스의 API 루트입니다.
이메일 주소 문자열 해당 사항 없음 Anomali ThreatStream 계정의 이메일 주소입니다.
API 키 비밀번호 해당 사항 없음 Anomali ThreatStream 계정의 API 키입니다.
SSL 확인 체크박스 선택 사용 설정하면 Anomali ThreatStream 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답수동 작업 실행을 참고하세요.

엔티티에 태그 추가

Anomali ThreatStream의 항목에 태그를 추가합니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
태그 CSV 해당 사항 없음 Anomali ThreatStream의 엔티티에 추가해야 하는 태그의 쉼표로 구분된 목록을 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 간에 해시가 하나 이상 발견된 경우 (is_success=true): 'Anomali ThreatStream:\n{0}의 다음 항목에 태그를 추가했습니다.'.format(entity.identifier list)

특정 항목을 찾을 수 없는 경우 (is_success=true): 'Anomali ThreatStream에서 다음 항목을 찾을 수 없습니다.\n: {0}'.format([entity.identifier])

일부 항목을 찾을 수 없는 경우 (is_success=false): '제공된 항목을 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목에 태그 추가' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

 일반

항목 보강

Anomali ThreatStream에서 IP, URL, 해시, 이메일 주소에 관한 정보를 가져옵니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
심각도 기준점 DDL

낮음

가능한 값은 다음과 같습니다.

  • 매우 높음
  • 높음
  • 보통
  • 낮음
 엔티티를 의심스러운 것으로 표시하기 위한 심각도 기준점을 지정합니다. 동일한 항목에 대해 여러 레코드가 발견되면 사용 가능한 모든 레코드 중 가장 심각한 레코드에 따라 조치가 취해집니다.
신뢰도 기준점 정수 해당 사항 없음 엔티티를 의심스러운 것으로 표시하기 위한 신뢰도 임계값을 지정합니다. 참고: 최댓값은 100입니다. 엔티티에 대해 여러 레코드가 발견되면 작업에서 평균을 사용합니다. 활성 레코드가 우선순위를 갖습니다.
오탐 상태 무시 체크박스 선택 해제 아니요 사용 설정된 경우 작업은 거짓양성 상태를 무시하고 심각도 임곗값과 신뢰도 임곗값에 따라 항목을 의심스러운 것으로 표시합니다. 사용 중지된 경우 심각도 임계값 및 '신뢰도 임계값' 조건을 통과하는지 여부와 관계없이 작업에서 거짓양성 항목에 의심스러운 라벨을 지정하지 않습니다.
케이스에 위협 유형 추가 체크박스 선택 해제 아니요 사용 설정하면 작업에서 모든 레코드의 항목 위협 유형을 케이스에 태그로 추가합니다. 예: apt
의심스러운 항목 통계만 체크박스 선택 해제 사용 설정하면 작업에서 심각도 기준과 신뢰도 기준을 초과한 항목에 대해서만 통계를 만듭니다.
통계 만들기 체크박스 선택 해제 사용 설정하면 작업에서 처리된 항목당 통계를 추가합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
항목 보강
보강 필드 이름 로직 - 적용 시기
id JSON으로 제공되는 경우
상태 JSON으로 제공되는 경우
itype JSON으로 제공되는 경우
expiration_time JSON으로 제공되는 경우
ip JSON으로 제공되는 경우
feed_id JSON으로 제공되는 경우
신뢰도 JSON으로 제공되는 경우
uuid JSON으로 제공되는 경우
retina_confidence JSON으로 제공되는 경우
trusted_circle_ids JSON으로 제공되는 경우
source JSON으로 제공되는 경우
위도 JSON으로 제공되는 경우
유형 JSON으로 제공되는 경우
설명 JSON으로 제공되는 경우
tags JSON으로 제공되는 경우
threat_score JSON으로 제공되는 경우
source_confidence JSON으로 제공되는 경우
modification_time JSON으로 제공되는 경우
org_name JSON으로 제공되는 경우
asn JSON으로 제공되는 경우
creation_time JSON으로 제공되는 경우
tlp JSON으로 제공되는 경우
국가 JSON으로 제공되는 경우
longitude JSON으로 제공되는 경우
줄이는 것을 JSON으로 제공되는 경우
하위 유형 JSON으로 제공되는 경우
보고서 JSON으로 제공되는 경우
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 제공된 항목 중 하나 이상이 보강된 경우 (is_success=true): 'Anomali ThreatStream을 사용하여 다음 항목을 보강했습니다.\n {0}'.format(entity.identifier list)

특정 항목을 보강할 수 없는 경우 (is_success=true): '작업이 Anomali ThreatStream을 사용하여 다음 항목을 보강할 수 없습니다.\n: {0}'.format([entity.identifier])

모든 항목을 보강하지 못한 경우 (is_success=false): '보강된 항목이 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

'신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다.'

 일반
케이스 월 테이블

테이블 이름: 관련 분석 링크: {entity_identifier}

테이블 열:

  • 이름
  • 링크
 일반
케이스 월 테이블 강화 테이블을 기반으로 하는 키 항목

Anomali ThreatStream에서 항목 관련 연결을 가져옵니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
캠페인 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 캠페인과 세부정보를 가져옵니다.
위협 게시판 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 위협 게시판과 세부정보를 가져옵니다.
배우 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 행위자와 행위자에 관한 세부정보를 가져옵니다.
공격 패턴 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 공격 패턴과 세부정보를 가져옵니다.
조치 과정 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 조치 및 세부정보를 가져옵니다.
ID 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 ID와 세부정보를 가져옵니다.
침해 사고 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 인시던트와 세부정보를 가져옵니다.
인프라 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 인프라와 세부정보를 가져옵니다.
침입 세트 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 침입 세트와 세부정보를 가져옵니다.
멀웨어 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 멀웨어와 멀웨어에 관한 세부정보를 가져옵니다.
서명 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 서명과 서명에 관한 세부정보를 가져옵니다.
반품 도구 체크박스 선택 아니요 사용 설정하면 작업에서 관련 도구와 도구에 관한 세부정보를 가져옵니다.
TTP 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 TTP와 세부정보를 가져옵니다.
취약점 반환 체크박스 선택 아니요 사용 설정하면 작업에서 관련 취약점과 세부정보를 가져옵니다.
캠페인 항목 만들기 체크박스 선택 해제 아니요 사용 설정하면 작업에서 사용 가능한 캠페인 연결로 항목을 만듭니다.
배우 항목 만들기 체크박스 선택 해제 아니요 사용 설정하면 작업에서 사용 가능한 행위자 연결로 항목을 만듭니다.
서명 항목 만들기 체크박스 선택 해제 아니요 사용 설정하면 작업에서 사용 가능한 서명 연결로 항목을 만듭니다.
취약점 항목 만들기 체크박스 선택 해제 아니요 사용 설정하면 작업에서 사용 가능한 취약점 연결을 기반으로 항목을 만듭니다.
통계 만들기 체크박스 선택 아니요 사용 설정하면 작업에서 결과를 기반으로 통계를 만듭니다.
케이스 태그 만들기 체크박스 선택 해제 아니요 사용 설정하면 작업에서 결과를 기반으로 케이스 태그를 만듭니다.
반환할 최대 연결 수 정수 5 아니요 유형별로 반환할 연결 수를 지정합니다. 기본값: 5
반환할 최대 통계 수 정수 3 아니요 반환할 IOC 관련 상위 통계 결과 수를 지정합니다. 참고: 작업은 연결과 관련된 IOC를 최대 1,000개까지 처리합니다. 0를 제공하면 작업에서 통계 정보를 가져오려고 시도하지 않습니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
JSON 결과
{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 전반에서 연결이 하나 이상 발견된 경우 (is_success=true): 'Anomali ThreatStream에서 관련 연결을 가져왔습니다.'

연결을 찾을 수 없는 경우 (is_success=false): '관련 연결을 찾을 수 없습니다.'

비동기 메시지: '모든 연결 세부정보가 검색될 때까지 대기 중'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 연결 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

 일반
케이스 월 테이블

표 이름: '관련 연결'

테이블 열:

  • ID
  • 이름
  • 유형
  • 상태

Anomali ThreatStream의 연결을 기반으로 관련 항목을 가져옵니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
신뢰도 기준점 정수 해당 사항 없음 신뢰도 임계값을 지정합니다. 최대는 100입니다.
위협 게시판 검색 체크박스 선택 아니요 사용 설정하면 작업에서 위협 게시판을 검색합니다.
액터 검색 체크박스 선택 아니요 사용 설정하면 작업에서 배우자를 검색합니다.
공격 패턴 검색 체크박스 선택 아니요 사용 설정하면 작업에서 공격 패턴을 검색합니다.
검색 캠페인 체크박스 선택 아니요 사용 설정하면 작업에서 캠페인을 검색합니다.
조치 과정 검색 체크박스 선택 아니요 사용 설정하면 작업이 조치 중에서 검색합니다.
ID 검색 체크박스 선택 아니요 사용 설정하면 작업에서 ID를 검색합니다.
Search Incidents(이슈 검색) 체크박스 선택 아니요 사용 설정하면 작업에서 인시던트를 검색합니다.
인프라 검색 체크박스 선택 아니요 사용 설정하면 작업에서 인프라를 검색합니다.
침입 세트 검색 체크박스 선택 아니요 사용 설정하면 작업에서 침입 세트 중에서 검색합니다.
멀웨어 검색 체크박스 선택 아니요 사용 설정하면 작업이 멀웨어 중에서 검색합니다.
서명 검색 체크박스 선택 아니요 사용 설정하면 작업에서 서명 중에서 검색합니다.
검색 도구 체크박스 선택 아니요 사용 설정하면 작업이 도구 중에서 검색합니다.
TTP 검색 체크박스 선택 아니요 사용 설정하면 작업이 ttps 중에서 검색합니다.
취약점 검색 체크박스 선택 아니요 사용 설정하면 작업에서 취약점 중에서 검색합니다.
반환할 최대 항목 수 정수 50 아니요 항목 유형별로 반환할 항목 수를 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일 (이메일 정규식과 일치하는 사용자 엔티티)
  • 위협 행위자
  • CVE

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
JSON 결과
{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 간에 해시가 하나 이상 발견된 경우 (is_success=true): 'Anomali ThreatStream에서 관련 해시를 가져왔습니다.'

해시가 없는 경우 (is_success=false): '관련 해시가 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 해시 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

'신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다.'

 일반

Anomali ThreatStream에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 Anomali ThreatStream 서버에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

성공하지 못한 경우: 'Anomali ThreatStream 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

 일반

항목에서 태그 삭제

Anomali ThreatStream의 항목에서 태그를 삭제합니다. 지원되는 항목: 해시, URL, IP 주소, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
태그 CSV 해당 사항 없음 Anomali ThreatStream의 항목에서 삭제해야 하는 태그를 쉼표로 구분하여 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 하나에서 태그가 하나 이상 삭제된 경우 (is_success=true): 'Anomali ThreatStream의 '{entity.identifier}' 항목에서 다음 태그를 삭제했습니다.\n{0}'.format(tags)

항목 하나에 태그가 없는 경우 (is_success=true): '다음 태그는 이미 Anomali ThreatStream의 '{entity.identifier}' 항목에 포함되어 있지 않습니다.\n{0}'.format(tags)

하나의 항목에 대해 모든 태그를 찾을 수 없는 경우 (is_success=true): '제공된 태그 중 Anomali ThreatStream의 '{entity.identifier}' 항목에 속하는 태그가 없습니다.'

항목을 하나 찾을 수 없는 경우 (is_success=true): 'Anomali ThreatStream에서 다음 항목을 찾을 수 없습니다.\n: {0}'.format([entity.identifier])

모든 항목을 찾을 수 없는 경우 (is_success=false): '제공된 항목을 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목에서 태그 삭제' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

 일반

거짓양성으로 신고

Anomali ThreatStream의 항목을 거짓양성으로 신고합니다. 지원되는 항목: 해시, URL, IP 주소, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
이유 문자열 해당 사항 없음 항목을 오탐으로 표시하려는 이유를 지정합니다.
댓글 문자열 해당 사항 없음 항목을 거짓양성으로 표시하는 결정과 관련된 추가 정보를 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일 주소 (이메일 정규식과 일치하는 사용자 엔티티)

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 전반에서 해시가 하나 이상 발견된 경우 (is_success=true): 'Anomali ThreatStream에서 다음 항목을 거짓양성으로 신고했습니다.\n{0}'.format(entity.identifier list)

특정 항목을 표시하지 못한 경우 (is_success=true): '작업이 Anomali ThreatStream에서 다음 항목을 거짓양성으로 보고할 수 없습니다.\n: {0}'.format([entity.identifier])

모든 항목을 보강할 수 없는 경우 (is_success=false): '거짓양성으로 보고된 항목이 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''오탐으로 신고' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

 일반

관측치 제출

IP, URL, 해시, 이메일 항목을 기반으로 관찰 가능한 항목을 Anomali ThreatStream에 제출합니다. 지원되는 항목: 해시, URL, IP 주소, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)

신뢰할 수 있는 서클 ID를 찾을 수 있는 위치

신뢰할 수 있는 서클의 ID를 찾으려면 Anomali ThreatStream에서 신뢰할 수 있는 서클을 찾아 이름을 클릭합니다. 주소 표시줄에 표시된 URL에 https://siemplify.threatstream.com/search?trustedcircles=13.과 같은 ID가 표시됩니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
분류 DDL

비공개

가능한 값은 다음과 같습니다.

  • 공개
  • 비공개
 관찰 가능한 항목의 분류를 지정합니다.
위협 유형 DDL

APT

가능한 값

  • APT
  • 애드웨어
  • 비정상적인 첨부파일
  • 익명처리
  • Brute
  • C2
  • 보안 침해된 기기
  • 암호화폐
  • 데이터 유출
  • DDOS
  • 동적 DNS
  • 무단 반출
  • 취약점 공격
  • 사기
  • 해킹 도구
  • I2P
  • 정보 제공
  • 멀웨어
  • P2P
  • 파킹됨
  • Phish
  • 스캔
  • 싱크홀
  • 소셜
  • 스팸
  • Suppress
  • 의심스러움
  • TOR
  • VPS
 관측 가능 항목의 위협 유형을 지정합니다.
소스 문자열 Siemplify 아니요 관측 가능 항목의 인텔리전스 소스를 지정합니다.
만료일 정수 해당 사항 없음 아니요 관찰 대상의 만료일을 일 단위로 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 만료되지 않는 관찰 가능 항목을 만듭니다.
신뢰할 수 있는 서클 ID CSV 해당 사항 없음 아니요 신뢰할 수 있는 서클 ID의 쉼표로 구분된 목록을 지정합니다. 관측치는 신뢰할 수 있는 서클과 공유됩니다.
TLP DDL

다음 중 하나를 선택하세요.

가능한 값은 다음과 같습니다.

  • 다음 중 하나를 선택하세요.
  • 빨간색
  • 녹색
  • 호박색
  • 흰색
 아니요 관측 가능 항목의 TLP를 지정합니다.
신뢰도 정수 해당 사항 없음 아니요 관측 가능 항목의 신뢰도를 지정합니다. 참고: 이 매개변수는 조직에서 관측치를 생성하는 경우에만 작동하며 시스템 신뢰도 재정의를 사용 설정해야 합니다.
시스템 신뢰도 재정의 체크박스 선택 해제 아니요 사용 설정된 경우 생성된 관측 가능 항목에는 신뢰도 매개변수에 지정된 신뢰도가 적용됩니다. 참고: 이 매개변수를 사용 설정하면 신뢰할 수 있는 서클과 공개적으로 관측치를 공유할 수 없습니다.
익명 제출 체크박스 선택 해제 아니요 사용 설정된 경우 작업에서 익명 제출을 합니다.
태그 CSV 해당 사항 없음 아니요 관측 대상에 추가할 태그를 쉼표로 구분하여 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • 해시
  • IP 주소
  • URL
  • 이메일

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success True 또는 False is_success:False
JSON 결과
approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
케이스 월
결과 유형 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공하고 항목 간에 해시가 하나 이상 발견된 경우(is_success=true): 'Anomali ThreatStream에서 다음 항목을 제출하고 승인했습니다.\n{0}'.format(entity.identifier list)

일부 항목 (거부된 항목)을 보강하지 못한 경우(is_success=true): '작업이 Anomali ThreatStream에서 다음 항목을 제출하고 승인할 수 없습니다.\n: {0}'.format([entity.identifier])

모든 항목을 보강할 수 없는 경우 (is_success=false): 'Anomali ThreatStream에 제출된 항목이 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관측치 제출' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

400 상태 코드가 보고된 경우: ''관찰 결과 제출' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message)

 일반

링크:

https://siemplify.threatstream.com/import/review/{jobid}

 항목

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

Anomali ThreatStream - Observables Connector

Anomali ThreatStream에서 관측치를 가져옵니다.

소스 이름은 동적 목록에 사용됩니다.

신뢰할 수 있는 서클의 ID를 찾으려면 Anomali ThreatStream에서 신뢰할 수 있는 서클을 찾아 이름을 클릭합니다. 주소 표시줄에 표시된 URL에 https://siemplify.threatstream.com/search?trustedcircles=13과 같은 ID가 표시됩니다.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 이름 유형 기본값 필수 항목 설명
제품 필드 이름 문자열 제품 이름

제품 이름이 저장된 필드의 이름입니다.

제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다.

기본값은 Product Name입니다.
이벤트 필드 이름 문자열 유형

이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다.
환경 필드 이름 문자열 "" 아니요

환경 이름이 저장된 필드의 이름입니다.

환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다.
Environment Regex Pattern 문자열 .* 아니요

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초) 정수 300 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
API 루트 문자열 https://api.threatstream.com Anomali ThreatStream 인스턴스의 API 루트입니다.
이메일 주소 문자열 해당 사항 없음 Anomali ThreatStream 계정의 이메일 주소입니다.
API 키 비밀번호 해당 사항 없음 Anomali ThreatStream 계정의 API 키입니다.
가져올 가장 낮은 심각도 문자열 높음

관측치를 가져오는 데 사용할 가장 낮은 심각도입니다.

가능한 값은 다음과 같습니다.

  • 낮음
  • 중간
  • 높음
  • 매우 높음
가져올 가장 낮은 신뢰도 정수 50 관측치를 가져오는 데 사용할 가장 낮은 신뢰도입니다. 최댓값은 100입니다.
소스 피드 필터 CSV 해당 사항 없음 아니요 관측 가능 항목(예: 515,4129)을 수집하는 데 사용해야 하는 피드 ID의 쉼표로 구분된 목록입니다.
관찰 가능한 유형 필터 CSV URL, 도메인, 이메일, 해시, IP, IPv6 아니요

수집해야 하는 관찰 가능한 유형의 쉼표로 구분된 목록입니다(예: URL, domain).

가능한 값: URL, domain, email, hash, ip, ipv6
관측 가능 상태 필터 CSV 활성 아니요

새 데이터를 수집하는 데 사용해야 하는 관찰 가능한 상태의 쉼표로 구분된 목록입니다(예: active,inactive).

가능한 값: active, inactive, falsepos

.
위협 유형 필터 CSV 해당 사항 없음 아니요

관측치를 수집하는 데 사용해야 하는 위협 유형의 쉼표로 구분된 목록입니다(예: adware,anomalous,anonymization,apt).

가능한 값: adware, anomalous, anonymization, apt, bot, brute, c2, compromised, crypto, data_leakage, ddos, dyn_dns, exfil, exploit, fraud, hack_tool, i2p, informational, malware, p2p, parked, phish, scan, sinkhole, spam, suppress, suspicious, tor, vps
신뢰할 수 있는 서클 필터 CSV 해당 사항 없음 아니요

관측 가능 항목(예: 146,147)을 수집하는 데 사용해야 하는 신뢰할 수 있는 서클 ID의 쉼표로 구분된 목록입니다.
태그 이름 필터 CSV 해당 사항 없음 아니요 수집에 사용해야 하는 관찰 가능 항목과 연결된 태그 이름의 쉼표로 구분된 목록입니다(예: Microsoft Credentials, Phishing).
소스 피드 그룹화 체크박스 선택 해제 아니요 사용 설정된 경우 커넥터는 동일한 소스의 관측치를 동일한 Google SecOps 알림으로 그룹화합니다.
최대 일수를 뒤로 가져오기 정수 1 아니요

오늘 이전의 관측치를 가져올 일수입니다.

이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다.
알림당 최대 관측 가능 항목 정수 100 아니요 Google SecOps 알림에 포함할 관측 가능 항목의 수입니다. 허용되는 최댓값은 200입니다.
Use whitelist as a blacklist 체크박스 선택 해제

선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다.
SSL 확인 체크박스 선택 해제 선택하면 통합에서 Anomali ThreatStream 서버에 연결할 때 SSL 인증서를 검증합니다.
프록시 서버 주소 문자열 해당 사항 없음 아니요 사용할 프록시 서버의 주소입니다.
프록시 사용자 이름 문자열 해당 사항 없음 아니요 인증할 프록시 사용자 이름입니다.
프록시 비밀번호 비밀번호 해당 사항 없음 아니요 인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.