将 Anomali ThreatStream 与 Google SecOps 集成

本文档介绍了如何将 Anomali ThreatStream 与 Google Security Operations (Google SecOps) 集成。

集成版本:11.0

集成参数

使用以下参数配置集成:

参数名称 类型 默认值 为必需参数 说明
Web Root 字符串 https://siemplify.threatstream.com

Anomali ThreatStream 实例的 Web 根目录。

此参数用于在集成项之间创建报告链接。
API 根 字符串 https://api.threatstream.com Anomali ThreatStream 实例的 API 根。
电子邮件地址 字符串 不适用 Anomali ThreatStream 账号的电子邮件地址。
API 密钥 密码 不适用 Anomali ThreatStream 账号的 API 密钥。
验证 SSL 复选框 勾选 如果启用,则验证与 Anomali ThreatStream 服务器的连接的 SSL 证书是否有效。

如需了解如何在 Google SecOps 中配置集成,请参阅配置集成

如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例

操作

如需详细了解操作,请参阅 在工作台页面中处理待处理的操作执行手动操作

向实体添加标记

向 Anomali ThreatStream 中的实体添加标记。

参数

参数名称 类型 默认值 为必需参数 说明
标记 CSV 不适用 指定需要添加到 Anomali ThreatStream 中实体的标记的英文逗号分隔列表。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少找到一个实体哈希值 (is_success=true): “已成功将标记添加到 Anomali ThreatStream 中的以下实体:\n{0}”。format(entity.identifier list)

如果未找到特定实体(is_success=true):“以下实体未在 Anomali ThreatStream 中找到:{0}”。format([entity.identifier])

如果未找到所有实体 (is_success=false):“未找到任何提供的实体。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Add Tags To Entities". 原因:{0}''.format(error.Stacktrace)

 常规

丰富实体

从 Anomali ThreatStream 检索有关 IP、网址、哈希值、电子邮件地址的信息。

参数

参数名称 类型 默认值 为必需参数 说明
严重程度阈值 DDL

可能的值:

  • 很高
 指定实体的严重程度阈值,以便将其标记为可疑。如果针对同一实体找到多条记录,系统将根据所有可用记录中严重程度最高的记录采取相应措施。
置信度阈值 整数 不适用 指定实体的置信度阈值,以便将其标记为可疑。注意:最大值为 100。如果为实体找到多条记录,操作将取平均值。有效记录具有优先权。
忽略“假正例”状态 复选框 尚未核查 如果启用,操作将忽略假正例状态,并根据严重程度阈值和置信度阈值将实体标记为可疑。如果停用,无论操作是否通过严重程度阈值和“置信度阈值”条件,都不会将假正例实体标记为可疑。
向支持请求添加威胁类型 复选框 尚未核查 如果启用,此操作会将相应实体在所有记录中的威胁类型作为标记添加到支持请求中。示例:apt
仅限可疑实体数据分析 复选框 尚未核查 如果启用,操作将仅针对超出严重程度阈值和置信度阈值的实体创建数据洞见。
创建分析数据 复选框 尚未核查 如果启用,操作将为每个已处理的实体添加数据洞见。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
实体丰富化
扩充项字段名称 逻辑 - 应用场景
id 以 JSON 格式提供时
状态 以 JSON 格式提供时
itype 以 JSON 格式提供时
expiration_time 以 JSON 格式提供时
ip 以 JSON 格式提供时
feed_id 以 JSON 格式提供时
置信度 以 JSON 格式提供时
uuid 以 JSON 格式提供时
retina_confidence 以 JSON 格式提供时
trusted_circle_ids 以 JSON 格式提供时
来源 以 JSON 格式提供时
纬度 以 JSON 格式提供时
类型 以 JSON 格式提供时
说明 以 JSON 格式提供时
标签 以 JSON 格式提供时
threat_score 以 JSON 格式提供时
source_confidence 以 JSON 格式提供时
modification_time 以 JSON 格式提供时
org_name 以 JSON 格式提供时
asn 以 JSON 格式提供时
creation_time 以 JSON 格式提供时
tlp 以 JSON 格式提供时
国家/地区 以 JSON 格式提供时
longitude 以 JSON 格式提供时
和程度上减少 以 JSON 格式提供时
子类型 以 JSON 格式提供时
报告 以 JSON 格式提供时
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的实体已得到丰富 (is_success=true):“已使用 Anomali ThreatStream 成功丰富以下实体:\n {0}”。format(entity.identifier list)

如果未能丰富特定实体 (is_success=true):“Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier])

如果未能丰富所有实体(is_success=false):“未丰富任何实体。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace)

如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。”

 常规
“案例墙”表格

表格名称:相关分析链接:{entity_identifier}

表格列

  • 名称
  • 链接
 常规
“案例墙”表格 基于富集表的键 实体

从 Anomali ThreatStream 检索实体相关联的关联。

参数

参数名称 类型 默认值 为必需参数 说明
退回广告系列 复选框 勾选 如果启用,操作将提取相关广告系列及其详细信息。
返回威胁公告 复选框 勾选 如果启用,操作将提取相关的威胁公告及其详细信息。
返回演员 复选框 勾选 如果启用,操作将提取相关演员及其详细信息。
返回攻击模式 复选框 勾选 如果启用,操作将提取相关的攻击模式及其详细信息。
返回行动方案 复选框 勾选 如果启用,操作将提取相关行动方案及其详细信息。
返回身份 复选框 勾选 如果启用,操作将提取相关身份及其详细信息。
返回突发事件 复选框 勾选 如果启用,操作将提取相关突发事件及其详细信息。
返回基础设施 复选框 勾选 如果启用,操作将提取相关基础架构及其详细信息。
返回入侵集 复选框 勾选 如果启用,操作将提取相关的入侵集及其详细信息。
返回恶意软件 复选框 勾选 如果启用,操作将提取相关恶意软件及其详细信息。
返回签名 复选框 勾选 如果启用,操作将提取相关签名及其详细信息。
返回工具 复选框 勾选 如果启用,操作将提取相关工具及其详细信息。
返回 TTP 复选框 勾选 如果启用,该操作将提取相关的 TTP 及其详细信息。
返回漏洞 复选框 勾选 如果启用,操作将提取相关漏洞及其详细信息。
创建广告系列实体 复选框 尚未核查 如果启用,操作将根据可用的广告系列关联创建实体。
创建演员实体 复选框 尚未核查 如果启用,操作将根据可用的 Actor 关联创建实体。
创建签名实体 复选框 尚未核查 如果启用,操作将根据可用的签名关联创建实体。
创建漏洞实体 复选框 尚未核查 如果启用,操作将根据可用的漏洞关联创建实体。
创建分析数据 复选框 勾选 如果启用,操作将根据结果创建数据洞见。
创建支持请求标记 复选框 尚未核查 如果启用,此操作将根据结果创建支持请求标记。
要返回的关联数量上限 整数 5 指定每种类型的关联数量。默认值:5
要返回的统计信息数量上限 整数 3 指定要返回多少个与 IOC 相关的热门统计结果。注意:此操作最多会处理 1000 个与关联相关的 IOC。如果您提供 0,操作不会尝试提取统计信息。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
JSON 结果
{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少找到一个跨实体的关联 (is_success=true):“Successfully retrieved related associations from Anomali ThreatStream”(已成功从 Anomali ThreatStream 检索到相关关联)

如果未找到任何关联 (is_success=false):“未找到任何相关联。”

异步消息:“正在等待检索所有关联详情”

操作应失败并停止 playbook 执行

如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Get Related Association". 原因:{0}''.format(error.Stacktrace)

 常规
“案例墙”表格

表格名称:“相关联的关联对象”

表格列

  • ID
  • 名称
  • 类型
  • 状态

根据 Anomali ThreatStream 中的关联检索相关实体。

参数

参数名称 类型 默认值 为必需参数 说明
置信度阈值 整数 不适用 指定置信度阈值应是多少。最大值为 100。
搜索威胁公告 复选框 勾选 如果启用,操作将搜索威胁公告。
搜索演员 复选框 勾选 如果启用,操作将在演员中进行搜索。
搜索攻击模式 复选框 勾选 如果启用,操作将搜索攻击模式。
搜索广告系列 复选框 勾选 如果启用,则操作将搜索广告系列。
搜索行动方案 复选框 勾选 如果启用,操作将搜索行动方案。
搜索身份 复选框 勾选 如果启用,操作将在身份中进行搜索。
搜索突发事件 复选框 勾选 如果启用,操作将搜索突发事件。
搜索基础架构 复选框 勾选 如果启用,操作将在基础设施中进行搜索。
搜索入侵集 复选框 勾选 如果启用,操作将在入侵集中搜索。
搜索恶意软件 复选框 勾选 如果启用,操作将搜索恶意软件。
搜索签名 复选框 勾选 如果启用,操作将在签名中进行搜索。
搜索工具 复选框 勾选 如果启用,操作将会在工具中进行搜索。
搜索 TTP 复选框 勾选 如果启用,操作将会在 ttps 中进行搜索。
搜索漏洞 复选框 勾选 如果启用,操作将搜索漏洞。
要返回的实体数量上限 整数 50 指定每种实体类型要返回的实体数量。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件地址(与电子邮件地址正则表达式匹配的用户实体)
  • 威胁行为者
  • CVE

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
JSON 结果
{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且在实体中找到至少一个哈希值 (is_success=true):“Successfully retrieved related hashes from Anomali ThreatStream”(已成功从 Anomali ThreatStream 检索到相关哈希值)

如果未找到任何哈希值(is_success=false):“未找到任何相关哈希值。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Get Related Hashes".”原因:{0}''.format(error.Stacktrace)

如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。”

 常规

Ping

测试与 Anomali ThreatStream 的连接。

参数

不适用

运行于

此操作不会在实体上运行,也没有强制性输入参数。

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功:“已使用提供的连接参数成功连接到 Anomali ThreatStream 服务器!”

操作应失败并停止 playbook 执行

如果不成功:“Failed to connect to the Anomali ThreatStream server! 错误为 {0}".format(exception.stacktrace)

 常规

从实体中移除标记

从 Anomali ThreatStream 中的实体移除标记。支持的实体:哈希、网址、IP 地址、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数名称 类型 默认值 为必需参数 说明
标记 CSV 不适用 指定要从 Anomali ThreatStream 中的实体移除的标记的英文逗号分隔列表。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少从一个实体中移除了一个标记 (is_success=true):“已成功从 Anomali ThreatStream 中的实体 "{entity.identifier}" 中移除以下标记:\n{0}”。format(tags)

如果未找到某个实体的某个标记 (is_success=true):“以下标记已不在 Anomali ThreatStream 中的实体 "{entity.identifier}" 中:\n{0}".format(tags)

如果未找到一个实体的所有标记 (is_success=true):“提供的标记中没有一个是 Anomali ThreatStream 中‘{entity.identifier}’实体的标记。”

如果找不到一个实体 (is_success=true):“The following entities were not found in Anomali ThreatStream\n: {0}".format([entity.identifier])

如果未找到所有实体 (is_success=false):“未找到任何提供的实体。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Remove Tags From Entities". 原因:{0}''.format(error.Stacktrace)

 常规

报告为假正例

将 Anomali ThreatStream 中的实体报告为误报。支持的实体:哈希、网址、IP 地址、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数名称 类型 默认值 为必需参数 说明
原因 字符串 不适用 指定您要将实体标记为假正例的原因。
评论 字符串 不适用 指定与您将实体标记为误报的决定相关的其他信息。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件地址(与电子邮件正则表达式匹配的用户实体)

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少找到一个实体哈希值 (is_success=true):“Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list)

如果未能将特定实体标记为误报 (is_success=true):“Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

如果未能丰富所有实体(is_success=false):“No entities were reported as false positive.”

操作应失败并停止 playbook 执行

如果报告了严重错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Report As False Positive".”(执行“Report As False Positive”操作时出错。)原因:{0}''.format(error.Stacktrace)

 常规

提交可观测变量

基于 IP、网址、哈希值、电子邮件实体向 Anomali ThreatStream 提交可观测对象。支持的实体:哈希、网址、IP 地址、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

在哪里可以找到可信圈子的 ID

如需查找可信圈子的 ID,请在 Anomali ThreatStream 中找到相应可信圈子,然后点击其名称。地址栏中显示的网址包含 ID,例如 https://siemplify.threatstream.com/search?trustedcircles=13.

参数

参数名称 类型 默认值 为必需参数 说明
分类 DDL

不公开

可能的值:

  • 公开
  • 不公开
 指定可观测对象的分类。
威胁类型 DDL

APT

可能的值

  • APT
  • 广告软件
  • 异常
  • 匿名化
  • 聊天机器人
  • Brute
  • C2
  • 已破解
  • 加密
  • 数据泄漏
  • DDOS
  • 动态 DNS
  • 数据渗漏
  • 漏洞利用
  • 欺诈
  • 黑客工具
  • I2P
  • 信息
  • 恶意软件
  • P2P
  • 已搁置
  • Phish
  • 扫描
  • 天坑
  • 社交
  • 垃圾内容
  • Suppress
  • 可疑
  • TOR
  • VPS
 为可观测对象指定威胁类型。
来源 字符串 Siemplify 指定可观测对象的情报来源。
到期日期 整数 不适用 指定观测对象的失效日期(以天为单位)。如果此处未指定任何内容,则操作将创建一个永不过期的可观测对象。
可信圈子 ID CSV 不适用 指定以英文逗号分隔的可信圈子 ID 列表。可观测对象将与这些可信圈子共享。
TLP DDL

选择一项

可能的值:

  • 选择一项
  • 红色
  • 绿色
  • 琥珀色
  • 白色
 为可观测对象指定 TLP。
置信度 整数 不适用 指定观测对象的置信度应为多少。注意:只有在组织中创建观测对象时,此参数才有效,并且需要启用“替换系统置信度”。
替换系统置信度 复选框 尚未核查 如果启用,创建的可观测对象将具有 Confidence 参数中指定的置信度。注意:启用此参数后,您无法在可信圈子中分享可观测对象,也无法公开分享。
匿名提交 复选框 尚未核查 如果已启用,则操作将进行匿名提交。
标记 CSV 不适用 指定要添加到可观测对象的标记的英文逗号分隔列表。

运行于

此操作适用于以下实体:

  • 哈希
  • IP 地址
  • 网址
  • 电子邮件

操作结果

脚本结果
脚本结果名称 值选项 示例
is_success True 或 False is_success:False
JSON 结果
approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
案例墙
结果类型 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且在实体中找到至少一个哈希值(is_success=true):“已在 Anomali ThreatStream 中成功提交并批准以下实体:\n{0}”。format(entity.identifier list)

如果未能成功扩充某些实体(被拒绝的实体)(is_success=true):“无法在 Anomali ThreatStream 中成功提交并批准以下实体:{0}”。format([entity.identifier])

如果无法丰富所有实体(is_success=false):“没有实体成功提交到 Anomali ThreatStream。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Submit Observables".”(执行操作“提交可观测对象”时出错。)原因:{0}''.format(error.Stacktrace)

如果报告了 400 状态代码:“执行操作‘提交可观测对象’时出错。原因:{0}''.format(message)

 常规

链接:

https://siemplify.threatstream.com/import/review/{jobid}

 实体

连接器

如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)

Anomali ThreatStream - Observables 连接器

从 Anomali ThreatStream 中拉取可观测对象。

来源名称用于动态列表。

如需查找可信圈子的 ID,请在 Anomali ThreatStream 中找到相应可信圈子,然后点击其名称。地址栏中显示的网址会显示 ID,例如 https://siemplify.threatstream.com/search?trustedcircles=13

连接器参数

使用以下参数配置连接器:

参数名称 类型 默认值 为必需参数 说明
商品字段名称 字符串 产品名称

存储商品名称的字段的名称。

商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。

默认值为 Product Name
事件字段名称 字符串 类型

用于确定事件名称(子类型)的字段的名称。
环境字段名称 字符串 “”

存储环境名称的字段的名称。

如果缺少环境字段,连接器将使用默认值。
Environment Regex Pattern 字符串 .*

要对 Environment Field Name 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。

使用默认值 .* 可检索所需的原始 Environment Field Name 值。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。
脚本超时(秒) 整数 300 运行当前脚本的 Python 进程的超时时间限制。
API 根 字符串 https://api.threatstream.com Anomali ThreatStream 实例的 API 根。
电子邮件地址 字符串 不适用 Anomali ThreatStream 账号的电子邮件地址。
API 密钥 密码 不适用 Anomali ThreatStream 账号的 API 密钥。
要提取的最低严重程度 字符串

用于提取可观测对象的最低严重程度。

可能的值:

  • 非常高
要提取的最低置信度 整数 50 用于提取可观测对象的最低置信度。最多可以有 100 个。
来源 Feed 过滤条件 CSV 不适用 以英文逗号分隔的 Feed ID 列表,用于注入可观测对象,例如 515,4129
可观测对象类型过滤条件 CSV 网址、网域、电子邮件地址、哈希、IP、IPv6

应提取的可观测对象类型的英文逗号分隔列表,例如 URL, domain

可能的值:URLdomainemailhashipipv6
可观测状态过滤条件 CSV 有效

应使用哪些可观测状态来注入新数据,以英文逗号分隔的列表形式列出,例如 active,inactive

可能的值:activeinactivefalsepos
威胁类型过滤条件 CSV 不适用

应使用哪些威胁类型来注入可观测对象(例如 adware,anomalous,anonymization,apt),以英文逗号分隔的列表形式列出。

可能的值:adwareanomalousanonymizationaptbotbrutec2compromisedcryptodata_leakageddosdyn_dnsexfilexploitfraudhack_tooli2pinformationalmalwarep2pparkedphishscansinkholespamsuppresssuspicioustorvps
可信圈子过滤条件 CSV 不适用

应使用哪些可信圈子 ID 来注入观测结果(例如 146,147),以英文逗号分隔的列表形式列出。
标记名称过滤条件 CSV 不适用 与应通过提取进行 sed 的观测对象相关联的标记名称的逗号分隔列表,例如 Microsoft Credentials, Phishing
来源 Feed 分组 复选框 尚未核查 如果启用,连接器会将来自同一来源的可观测对象归入同一 Google SecOps 提醒。
提取的最长回溯天数 整数 1

要检索的可观测对象是今天之前多少天的数据。

此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。
每个提醒的可观测对象数量上限 整数 100 Google SecOps 提醒中要包含的可观测对象数量。 允许的最大值为 200。
Use whitelist as a blacklist 复选框 尚未核查

如果选中此选项,连接器会将动态列表用作屏蔽列表。
验证 SSL 复选框 尚未核查 如果选择此项,集成会在连接到 Anomali ThreatStream 服务器时验证 SSL 证书。
代理服务器地址 字符串 不适用 要使用的代理服务器的地址。
代理用户名 字符串 不适用 用于进行身份验证的代理用户名。
代理密码 密码 不适用 用于进行身份验证的代理密码。

连接器规则

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。