Integrar o Anomali ThreatStream ao Google SecOps

Neste documento, descrevemos como integrar o Anomali ThreatStream ao Google Security Operations (Google SecOps).

Versão da integração: 11.0

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Raiz da Web	String	https://siemplify.threatstream.com	Sim	Raiz da Web da instância do Anomali ThreatStream. Esse parâmetro é usado para criar links de relatórios em itens de integração.
Raiz da API	String	https://api.threatstream.com	Sim	Raiz da API da instância do Anomali ThreatStream.
Endereço de e-mail	String	N/A	Sim	Endereço de e-mail da conta do Anomali ThreatStream.
Chave de API	Senha	N/A	Sim	Chave de API da conta do Anomali ThreatStream.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativada, verifica se o certificado SSL da conexão com o servidor do Anomali ThreatStream é válido.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Adicionar tags a entidades

Adicione tags a entidades no Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Tags	CSV	N/A	Sim	Especifique uma lista separada por vírgulas de tags que precisam ser adicionadas a entidades no Anomali ThreatStream.

Executar em

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e pelo menos um hash entre entidades for encontrado (is_success=true): "Tags adicionadas às seguintes entidades no Anomali ThreatStream:\n{0}".format(lista de entity.identifier) Se não forem encontradas entidades específicas (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se nem todas as entidades forem encontradas (is_success=false): "Nenhuma das entidades fornecidas foi encontrada." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Adicionar tags a entidades". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido e pelo menos um hash entre entidades for encontrado (is_success=true): "Tags adicionadas às seguintes entidades no Anomali ThreatStream:\n{0}".format(lista de entity.identifier)

Se não forem encontradas entidades específicas (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se nem todas as entidades forem encontradas (is_success=false): "Nenhuma das entidades fornecidas foi encontrada."

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Adicionar tags a entidades". Motivo: {0}''.format(error.Stacktrace)

Geral

Enriquecer entidades

Recupera informações sobre IPs, URLs, hashes e endereços de e-mail do Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Limite de gravidade	DDL	Baixo Valores possíveis: Muito alta Alta Médio Baixo	Sim	Especifique qual deve ser o limite de gravidade para a entidade, a fim de marcá-la como suspeita. Se vários registros forem encontrados para a mesma entidade, a ação vai considerar a gravidade mais alta entre todos os registros disponíveis.
Limite de confiança	Número inteiro	N/A	Sim	Especifique qual deve ser o limite de confiança para a entidade, a fim de marcá-la como suspeita. Observação: o máximo é 100. Se vários registros forem encontrados para a entidade, a ação vai usar a média. Os registros ativos têm prioridade.
Ignorar status de falso positivo	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai ignorar o status de falso positivo e marcar a entidade como suspeita com base nos limites de gravidade e confiança. Se desativada, a ação nunca vai rotular entidades de falso positivo como suspeitas, mesmo que elas atendam ou não às condições de "Limite de gravidade" e "Limite de confiança".
Adicionar tipo de ameaça ao caso	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai adicionar os tipos de ameaça da entidade de todos os registros como tags ao caso. Exemplo: apt
Somente insights de entidade suspeita	Caixa de seleção	Desmarcado	Sim	Se ativada, a ação vai criar insights apenas para entidades que excederam os limites de gravidade e de confiança.
Criar insight	Caixa de seleção	Desmarcado	Sim	Se ativada, a ação vai adicionar um insight por entidade processada.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Enriquecimento de entidades

Nome do campo de enriquecimento	Lógica: quando aplicar
ID	Quando disponível em JSON
status	Quando disponível em JSON
itype	Quando disponível em JSON
expiration_time	Quando disponível em JSON
ip	Quando disponível em JSON
feed_id	Quando disponível em JSON
confiança	Quando disponível em JSON
uuid	Quando disponível em JSON
retina_confidence	Quando disponível em JSON
trusted_circle_ids	Quando disponível em JSON
source	Quando disponível em JSON
latitude	Quando disponível em JSON
tipo	Quando disponível em JSON
descrição	Quando disponível em JSON
tags	Quando disponível em JSON
threat_score	Quando disponível em JSON
source_confidence	Quando disponível em JSON
modification_time	Quando disponível em JSON
org_name	Quando disponível em JSON
asn	Quando disponível em JSON
creation_time	Quando disponível em JSON
tlp	Quando disponível em JSON
país	Quando disponível em JSON
longitude	Quando disponível em JSON
gravidade,	Quando disponível em JSON
subtype	Quando disponível em JSON
relatório	Quando disponível em JSON

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida (is_success=true): "As seguintes entidades foram enriquecidas com sucesso usando o Anomali ThreatStream: \n {0}".format(lista de identificadores de entidade) Se não for possível enriquecer entidades específicas (is_success=true): "Não foi possível enriquecer as seguintes entidades usando o Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100".	Geral
Tabela do painel de casos	Nome da tabela:links de análise relacionados: {entity_identifier} Colunas da tabela: Nome Link	Geral
Tabela do painel de casos	Chaves com base na tabela de enriquecimento	Entidade

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida (is_success=true): "As seguintes entidades foram enriquecidas com sucesso usando o Anomali ThreatStream: \n {0}".format(lista de identificadores de entidade)

Se não for possível enriquecer entidades específicas (is_success=true): "Não foi possível enriquecer as seguintes entidades usando o Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100".

Geral

Tabela do painel de casos

Nome da tabela:links de análise relacionados: {entity_identifier}

Colunas da tabela:

Nome
Link

Geral

Tabela do painel de casos

Chaves com base na tabela de enriquecimento

Entidade

Receber associações relacionadas

Recupera associações relacionadas a entidades do Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Campanhas de devolução	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar campanhas relacionadas e detalhes sobre elas.
Retornar boletins de ameaças	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar boletins de ameaças relacionados e detalhes sobre eles.
Retornar atores	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar atores relacionados e detalhes sobre eles.
Retornar padrões de ataque	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar padrões de ataque relacionados e detalhes sobre eles.
Retornar cursos de ação	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar cursos de ação relacionados e detalhes sobre eles.
Retornar identidades	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar identidades relacionadas e detalhes sobre elas.
Retornar incidentes	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar incidentes relacionados e detalhes sobre eles.
Infraestrutura de retorno	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar a infraestrutura relacionada e detalhes sobre ela.
Retornar conjuntos de intrusão	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar conjuntos de invasão relacionados e detalhes sobre eles.
Retornar malware	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar malware relacionado e detalhes sobre ele.
Retornar assinaturas	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar assinaturas relacionadas e detalhes sobre elas.
Ferramentas de devolução	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar ferramentas relacionadas e detalhes sobre elas.
Retornar TTPs	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar TTPs relacionados e detalhes sobre eles.
Retornar vulnerabilidades	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai buscar vulnerabilidades relacionadas e detalhes sobre elas.
Criar entidade de campanha	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai criar uma entidade com base nas associações de campanha disponíveis.
Criar entidade de atores	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai criar uma entidade com base nas associações de ator disponíveis.
Criar entidade de assinatura	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai criar uma entidade com base nas associações de assinatura disponíveis.
Criar entidade de vulnerabilidade	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai criar uma entidade com base nas associações de vulnerabilidade disponíveis.
Criar insight	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai criar um insight com base nos resultados.
Criar tag de caso	Caixa de seleção	Desmarcado	Não	Se ativada, a ação vai criar tags de caso com base nos resultados.
Número máximo de associações a serem retornadas	Número inteiro	5	Não	Especifique quantas associações retornar por tipo. Padrão: 5
Número máximo de estatísticas a serem retornadas	Número inteiro	3	Não	Especifique quantos resultados das principais estatísticas sobre IOCs retornar. Observação: a ação processará, no máximo, 1.000 IOCs relacionados à associação. Se você fornecer `0`, a ação não vai tentar buscar informações de estatísticas.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Resultado JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e pelo menos uma associação entre entidades for encontrada (is_success=true): "Associações relacionadas do Anomali ThreatStream recuperadas com sucesso" Se nenhuma associação for encontrada (is_success=false): "Nenhuma associação relacionada foi encontrada". Mensagem assíncrona: "Aguardando a recuperação de todos os detalhes da associação" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela do painel de casos	Nome da tabela: "Associações relacionadas" Colunas da tabela: ID Nome Tipo Status

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido e pelo menos uma associação entre entidades for encontrada (is_success=true): "Associações relacionadas do Anomali ThreatStream recuperadas com sucesso"

Se nenhuma associação for encontrada (is_success=false): "Nenhuma associação relacionada foi encontrada".

Mensagem assíncrona: "Aguardando a recuperação de todos os detalhes da associação"

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela do painel de casos

Nome da tabela: "Associações relacionadas"

Colunas da tabela:

ID
Nome
Tipo
Status

Acessar entidades relacionadas

Recupere entidades relacionadas com base nas associações no Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. O máximo é 100.
Pesquisar boletins de ameaças	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre os boletins de ameaças.
Pesquisar atores	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre os atores.
Pesquisar padrões de ataque	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre padrões de ataque.
Campanhas de pesquisa	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar campanhas de pesquisa.
Pesquisar cursos de ação	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre os cursos de ação.
Pesquisar identidades	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre as identidades.
Pesquisar incidentes	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre os incidentes.
Pesquisar infraestruturas	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre as infraestruturas.
Pesquisar conjuntos de invasão	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre conjuntos de intrusão.
Pesquisar malware	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre malwares.
Pesquisar assinaturas	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre as assinaturas.
Ferramentas de pesquisa	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre as ferramentas.
Pesquisar TTPs	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre ttps.
Pesquisar vulnerabilidades	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai pesquisar entre as vulnerabilidades.
Número máximo de entidades a serem retornadas	Número inteiro	50	Não	Especifique quantas entidades retornar por tipo de entidade.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail (entidade de usuário que corresponde à regex de e-mail)
Ator de ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Resultado JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (is_success=true): "Hashes relacionados recuperados com sucesso do Anomali ThreatStream" Se nenhum hash for encontrado (is_success=false): "Nenhum hash relacionado foi encontrado". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber hashes relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100".	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (is_success=true): "Hashes relacionados recuperados com sucesso do Anomali ThreatStream"

Se nenhum hash for encontrado (is_success=false): "Nenhum hash relacionado foi encontrado".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber hashes relacionados". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100".

Geral

Ping

Teste a conectividade com o Anomali ThreatStream.

Parâmetros

N/A

Data de execução

Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "Conexão bem-sucedida com o servidor Anomali ThreatStream usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se não for possível:"Não foi possível se conectar ao servidor do Anomali ThreatStream. Erro: {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido: "Conexão bem-sucedida com o servidor Anomali ThreatStream usando os parâmetros de conexão fornecidos!"

A ação precisa falhar e interromper a execução de um playbook:

Se não for possível:"Não foi possível se conectar ao servidor do Anomali ThreatStream. Erro: {0}".format(exception.stacktrace)

Geral

Remover tags de entidades

Remova tags de entidades no Anomali ThreatStream. Entidades compatíveis: hash, URL, endereço IP, endereço de e-mail (entidade de usuário que corresponde à expressão regular de e-mail).

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Tags	CSV	N/A	Sim	Especifique uma lista separada por vírgulas de tags que precisam ser removidas de entidades no Anomali ThreatStream.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma tag for removida de uma entidade (is_success=true): "As seguintes tags foram removidas da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags) Se uma tag não for encontrada para uma entidade (is_success=true): "As seguintes tags já não faziam parte da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags) Se todas as tags não forem encontradas para uma entidade (is_success=true): "Nenhuma das tags fornecidas fazia parte da entidade "{entity.identifier}" no Anomali ThreatStream." Se uma entidade não for encontrada (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se todas as entidades não forem encontradas (is_success=false): "Nenhuma das entidades fornecidas foi encontrada." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Remover tags de entidades". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a operação for bem-sucedida e pelo menos uma tag for removida de uma entidade (is_success=true): "As seguintes tags foram removidas da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags)

Se uma tag não for encontrada para uma entidade (is_success=true): "As seguintes tags já não faziam parte da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags)

Se todas as tags não forem encontradas para uma entidade (is_success=true): "Nenhuma das tags fornecidas fazia parte da entidade "{entity.identifier}" no Anomali ThreatStream."

Se uma entidade não for encontrada (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se todas as entidades não forem encontradas (is_success=false): "Nenhuma das entidades fornecidas foi encontrada."

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Remover tags de entidades". Motivo: {0}''.format(error.Stacktrace)

Geral

Denunciar como falso positivo

Denuncie entidades no Anomali ThreatStream como falso positivo. Entidades compatíveis: hash, URL, endereço IP, endereço de e-mail (entidade de usuário que corresponde à expressão regular de e-mail).

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Motivo	String	N/A	Sim	Especifique o motivo de querer marcar entidades como falsos positivos.
Comentário	String	N/A	Sim	Especifique outras informações relacionadas à sua decisão de marcar a entidade como falso positivo.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Endereço de e-mail (entidade de usuário que corresponde ao regex de e-mail)

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e pelo menos um hash entre entidades for encontrado (is_success=true): "As seguintes entidades foram denunciadas como falso positivo no Anomali ThreatStream:\n{0}".format(entity.identifier list) Se não for possível marcar entidades específicas (is_success=true): "Não foi possível informar as seguintes entidades como falso positivo no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi denunciada como falso positivo". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Denunciar como falso positivo". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido e pelo menos um hash entre entidades for encontrado (is_success=true): "As seguintes entidades foram denunciadas como falso positivo no Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se não for possível marcar entidades específicas (is_success=true): "Não foi possível informar as seguintes entidades como falso positivo no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi denunciada como falso positivo".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Denunciar como falso positivo". Motivo: {0}''.format(error.Stacktrace)

Geral

Enviar observáveis

Envie um indicador para o Anomali ThreatStream com base em entidades de IP, URL, hash e e-mail. Entidades compatíveis: hash, URL, endereço IP, endereço de e-mail (entidade de usuário que corresponde à regex de e-mail).

Onde encontrar IDs de círculos de confiança

Para encontrar o ID de um círculo de confiança, localize o círculo no Anomali ThreatStream e clique no nome dele. O URL exibido na barra de endereço mostra o ID, como https://siemplify.threatstream.com/search?trustedcircles=13.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Classificação	DDL	Particular Valores possíveis: Público Particular	Sim	Especifique a classificação do elemento observável.
Tipo de ameaça	DDL	APT Valores possíveis APT Adware Anômalo Anonimização Bot Brute C2 Comprometido Criptomoedas Vazamento de dados DDOS DNS dinâmico Exfiltração Exploit Fraude Ferramenta de invasão I2P Informativa Malware P2P Estacionado Phish Verificar Sumidouro Dados sociais Spam Suprimir Suspeito TOR VPS	Sim	Especifique o tipo de ameaça para os observáveis.
Origem	String	Siemplify	Não	Especifique a origem de inteligência para o observável.
Data de validade	Número inteiro	N/A	Não	Especifique a data de validade em dias do observável. Se nada for especificado aqui, a ação vai criar um observable que nunca expira.
IDs de círculos de confiança	CSV	N/A	Não	Especifique a lista separada por vírgulas de IDs de círculos de confiança. Os indicadores serão compartilhados com esses círculos de confiança.
TLP	DDL	Selecione uma opção. Valores possíveis: Selecione uma opção. Vermelho Verde Âmbar Branco	Não	Especifique o TLP dos seus observáveis.
Confiança	Número inteiro	N/A	Não	Especifique o nível de confiança do observável. Observação: esse parâmetro só vai funcionar se você criar observáveis na sua organização e exigir que a substituição da confiança do sistema esteja ativada.
Substituir a confiança do sistema	Caixa de seleção	Desmarcado	Não	Se ativada, as variáveis observáveis criadas terão a confiança especificada no parâmetro "Confiança". Observação: não é possível compartilhar indicadores em círculos de confiança e publicamente quando esse parâmetro está ativado.
Envio anônimo	Caixa de seleção	Desmarcado	Não	Se ativada, a ação fará um envio anônimo.
Tags	CSV	N/A	Não	Especifique uma lista separada por vírgulas de tags que você quer adicionar ao observável.

Data de execução

Essa ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
E-mail

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Resultado JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Painel de casos

Tipo de resultado Descrição Tipo

Mensagem de saída*

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado(is_success=true): "As seguintes entidades foram enviadas e aprovadas no Anomali ThreatStream:\n{0}".format(entity.identifier list) Se não for possível enriquecer algumas entidades (entidades rejeitadas) (is_success=true): "Não foi possível enviar e aprovar as seguintes entidades no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada ao Anomali ThreatStream." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(error.Stacktrace) Se o código de status 400 for informado: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(message)	Geral
	Link: `https://siemplify.threatstream.com/import/review/{jobid}`	Entidade

A ação não pode falhar nem interromper a execução de um playbook:

Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado(is_success=true): "As seguintes entidades foram enviadas e aprovadas no Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se não for possível enriquecer algumas entidades (entidades rejeitadas) (is_success=true): "Não foi possível enviar e aprovar as seguintes entidades no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada ao Anomali ThreatStream."

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(error.Stacktrace)

Se o código de status 400 for informado: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(message)

Geral

Link:

https://siemplify.threatstream.com/import/review/{jobid}

Entidade

Conectores

Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Anomali ThreatStream: conector de observáveis

Extrai indicadores do Anomali ThreatStream.

Os nomes de origem são usados na lista dinâmica.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é `Product Name`.
Nome do campo de evento	String	tipo	Sim	O nome do campo que determina o nome do evento (subtipo).
Nome do campo de ambiente	String	""	Não	O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão.
`Environment Regex Pattern`	String	.*	Não	Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos)	Número inteiro	300	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://api.threatstream.com	Sim	Raiz da API da instância do Anomali ThreatStream.
Endereço de e-mail	String	N/A	Sim	Endereço de e-mail da conta do Anomali ThreatStream.
Chave de API	Senha	N/A	Sim	Chave de API da conta do Anomali ThreatStream.
Menor gravidade a ser buscada	String	Alta	Sim	A menor gravidade que será usada para buscar observáveis. Valores possíveis: Baixo Médio Alta Muito alto
Menor nível de confiança para buscar	Número inteiro	50	Sim	O nível de confiança mais baixo que será usado para buscar observáveis. O limite máximo é de `100`.
Filtro de feed de origem	CSV	N/A	Não	Lista separada por vírgulas de IDs de feed que devem ser usados para ingerir observáveis, como `515,4129`.
Filtro por tipo de observável	CSV	URL, domínio, e-mail, hash, ip, ipv6	Não	Lista separada por vírgulas de tipos de observáveis que devem ser ingeridos, como `URL, domain`. Valores possíveis: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filtro de status observável	CSV	ativo	Não	Lista separada por vírgulas de status observáveis que devem ser usados para ingerir novos dados, como `active,inactive` Valores possíveis: `active`, `inactive`, `falsepos` .
Filtro de tipo de ameaça	CSV	N/A	Não	Lista separada por vírgulas de tipos de ameaças que devem ser usadas para ingerir observáveis, como `adware,anomalous,anonymization,apt`. Valores possíveis: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filtro do círculo de confiança	CSV	N/A	Não	Lista separada por vírgulas de IDs de círculos confiáveis que devem ser usados para ingerir observáveis, como `146,147`.
Filtro de nome da tag	CSV	N/A	Não	Lista separada por vírgulas de nomes de tags associados a observáveis que devem ser usados com a ingestão, como `Microsoft Credentials, Phishing`.
Agrupamento de feed de origem	Caixa de seleção	Desmarcado	Não	Se ativado, o conector agrupa observáveis da mesma origem em um único alerta do Google SecOps.
Buscar o número máximo de dias para trás	Número inteiro	1	Não	O número de dias antes de hoje para recuperar os observáveis. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.
Máximo de observáveis por alerta	Número inteiro	100	Não	O número de observáveis a serem incluídos em um alerta do Google SecOps. O máximo permitido é 200.
`Use whitelist as a blacklist`	Caixa de seleção	Desmarcado	Sim	Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio.
Verificar SSL	Caixa de seleção	Desmarcado	Sim	Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Anomali ThreatStream.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a ser usado.
Nome de usuário do proxy	String	N/A	Não	O nome de usuário do proxy para autenticação.
Senha do proxy	Senha	N/A	Não	A senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.