整合 Anomali ThreatStream 與 Google SecOps

本文說明如何將 Anomali ThreatStream 與 Google Security Operations (Google SecOps) 整合。

整合版本:11.0

整合參數

請使用下列參數設定整合:

參數名稱 類型 預設值 為必填項目 說明
網頁根目錄 字串 https://siemplify.threatstream.com

Anomali ThreatStream 執行個體的 Web 根目錄。

這項參數用於建立整合項目之間的報表連結。
API 根層級 字串 https://api.threatstream.com Anomali ThreatStream 執行個體的 API 根層級。
電子郵件地址 字串 不適用 Anomali ThreatStream 帳戶的電子郵件地址。
API 金鑰 密碼 不適用 Anomali ThreatStream 帳戶的 API 金鑰。
驗證 SSL 核取方塊 已勾選 如果啟用,系統會驗證連線至 Anomali ThreatStream 伺服器的 SSL 憑證是否有效。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

為實體新增標記

在 Anomali ThreatStream 中為實體新增標記。

參數

參數名稱 類型 預設值 為必填項目 說明
標記 CSV 不適用 指定以半形逗號分隔的標記清單,這些標記需要新增至 Anomali ThreatStream 中的實體。

執行時間

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功,且至少找到一個實體雜湊 (is_success=true): 「Successfully added tags to the following entities in Anomali ThreatStream:\n{0}」。format(entity.identifier list)

如果找不到特定實體 (is_success=true):「The following entities were not found in Anomali ThreatStream\n: {0}」。format([entity.identifier])

如果找不到所有實體 (is_success=false):「找不到任何提供的實體。」

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『將代碼新增至實體』動作時發生錯誤。原因:{0}''.format(error.Stacktrace)

 一般

充實實體

從 Anomali ThreatStream 擷取 IP、網址、雜湊和電子郵件地址的相關資訊。

參數

參數名稱 類型 預設值 為必填項目 說明
嚴重性門檻 DDL

可能的值包括:

  • 過量級
 指定實體的嚴重程度門檻,以便將其標示為可疑。如果系統為同一實體找到多筆記錄,則會根據所有可用記錄中嚴重程度最高的記錄採取行動。
可信度門檻 整數 不適用 指定實體的可信度門檻,以標示為可疑。注意:最多可輸入 100 個。如果系統找到多筆實體記錄,動作會取平均值。有效記錄的優先順序較高。
忽略誤判狀態 核取方塊 已取消勾選 啟用後,動作會忽略誤判為陽性的狀態,並根據嚴重程度和信賴度門檻,將實體標示為可疑。如果停用,無論實體是否通過嚴重程度門檻和「可信度門檻」條件,動作一律不會將偽陽性實體標示為可疑。
將威脅類型新增至案件 核取方塊 已取消勾選 啟用後,動作會將實體的所有記錄中的威脅類型新增為案件的標記。範例:apt
僅限可疑實體洞察資料 核取方塊 已取消勾選 啟用後,動作只會針對超過嚴重程度和信賴度門檻的實體建立洞察。
建立洞察資料 核取方塊 已取消勾選 如果啟用這項動作,系統會為每個處理過的實體新增洞察資料。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
實體充實
補充資料欄位名稱 邏輯 - 應用時機
id 以 JSON 格式提供時
狀態 以 JSON 格式提供時
itype 以 JSON 格式提供時
expiration_time 以 JSON 格式提供時
ip 以 JSON 格式提供時
feed_id 以 JSON 格式提供時
信賴度 以 JSON 格式提供時
uuid 以 JSON 格式提供時
retina_confidence 以 JSON 格式提供時
trusted_circle_ids 以 JSON 格式提供時
來源 以 JSON 格式提供時
latitude 以 JSON 格式提供時
類型 以 JSON 格式提供時
說明 以 JSON 格式提供時
標記 以 JSON 格式提供時
threat_score 以 JSON 格式提供時
source_confidence 以 JSON 格式提供時
modification_time 以 JSON 格式提供時
org_name 以 JSON 格式提供時
asn 以 JSON 格式提供時
creation_time 以 JSON 格式提供時
tlp 以 JSON 格式提供時
國家/地區 以 JSON 格式提供時
longitude 以 JSON 格式提供時
嚴重性 以 JSON 格式提供時
子類型 以 JSON 格式提供時
報表 以 JSON 格式提供時
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功且至少有一個提供的實體經過擴充 (is_success=true):「Successfully enriched the following entities using Anomali ThreatStream: \n {0}」。format(entity.identifier list)

如果無法擴充特定實體 (is_success=true):「Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}」。format([entity.identifier])

如果無法擴充所有實體 (is_success=false):「No entities were enriched.」(沒有任何實體經過擴充)。

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace)

如果「信心門檻」參數不在 0 到 100 的範圍內:「'Confidence Threshold' value should be in range from 0 to 100.」

 一般
案件總覽表格

資料表名稱:相關分析連結:{entity_identifier}

資料表資料欄:

  • 名稱
  • 連結
 一般
案件總覽表格 根據擴充資料表建立的鍵 實體

從 Anomali ThreatStream 擷取實體相關聯結。

參數

參數名稱 類型 預設值 為必填項目 說明
退回活動 核取方塊 已勾選 如果啟用,動作會擷取相關廣告活動和詳細資料。
Return Threat Bulletins 核取方塊 已勾選 如果啟用,這項動作會擷取相關的威脅公告和詳細資料。
Return Actors 核取方塊 已勾選 如果啟用,這項動作會擷取相關聯的演員和詳細資料。
回覆攻擊模式 核取方塊 已勾選 如果啟用,這項動作會擷取相關的攻擊模式和詳細資料。
傳回安全防護程序 核取方塊 已勾選 如果啟用,這項動作會擷取相關的行動方案和詳細資料。
傳回身分 核取方塊 已勾選 如果啟用,動作就會擷取相關身分和詳細資料。
退貨事件 核取方塊 已勾選 如果啟用,這項動作會擷取相關事件和詳細資料。
退回基礎架構 核取方塊 已勾選 如果啟用,動作就會擷取相關基礎架構和詳細資料。
傳回入侵集 核取方塊 已勾選 如果啟用,這項動作就會擷取相關的入侵集合及其詳細資料。
退回惡意軟體 核取方塊 已勾選 如果啟用,這項動作會擷取相關惡意軟體和詳細資料。
傳回簽章 核取方塊 已勾選 如果啟用,動作會擷取相關簽章和詳細資料。
退貨工具 核取方塊 已勾選 如果啟用,這項動作會擷取相關工具和詳細資料。
傳回 TTP 核取方塊 已勾選 如果啟用,這項動作會擷取相關 TTP 和詳細資料。
傳回安全漏洞 核取方塊 已勾選 如果啟用,這項動作會擷取相關的安全性弱點和詳細資料。
建立廣告活動實體 核取方塊 已取消勾選 啟用後,動作會根據可用的廣告活動關聯建立實體。
建立 Actors 實體 核取方塊 已取消勾選 啟用後,動作會根據可用的參與者關聯建立實體。
建立簽章實體 核取方塊 已取消勾選 啟用後,動作會根據可用的簽章關聯建立實體。
建立安全漏洞實體 核取方塊 已取消勾選 啟用後,動作會根據可用的安全漏洞關聯建立實體。
建立洞察資料 核取方塊 已勾選 啟用後,系統會根據結果建立洞察資料。
建立案件標記 核取方塊 已取消勾選 啟用後,系統會根據結果建立案件標籤。
要傳回的關聯數量上限 整數 5 指定要傳回的每種關聯數量。預設值:5
要傳回的統計資料數量上限 整數 3 指定要傳回多少個有關 IOC 的頂尖統計資料結果。注意:這項動作最多會處理 1000 個與關聯相關的 IOC。如果您提供 0,動作就不會嘗試擷取統計資訊。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
JSON 結果
{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功且找到至少一個實體關聯 (is_success=true):「Successfully retrieved related associations from Anomali ThreatStream」(已成功從 Anomali ThreatStream 擷取相關聯結)

如果找不到任何關聯 (is_success=false):「No related associations were found.」(找不到相關聯結)。

非同步訊息:「正在等待系統擷取所有關聯詳細資料」

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『取得相關聯結』時發生錯誤。原因:{0}''.format(error.Stacktrace)

 一般
案件總覽表格

表格名稱:「相關聯結」

資料表資料欄:

  • ID
  • 名稱
  • 類型
  • 狀態

根據 Anomali ThreatStream 中的關聯性擷取相關實體。

參數

參數名稱 類型 預設值 為必填項目 說明
可信度門檻 整數 不適用 指定可信度門檻。上限為 100。
搜尋威脅公告 核取方塊 已勾選 啟用後,這項動作會在威脅公告中搜尋。
搜尋演員 核取方塊 已勾選 啟用後,動作會搜尋演員。
搜尋攻擊模式 核取方塊 已勾選 啟用後,動作會搜尋攻擊模式。
搜尋廣告活動 核取方塊 已勾選 如果啟用,動作會搜尋廣告活動。
搜尋安全防護程序 核取方塊 已勾選 如果啟用,動作會搜尋動作課程。
搜尋身分 核取方塊 已勾選 啟用後,系統會搜尋身分。
搜尋事件 核取方塊 已勾選 啟用後,動作會搜尋事件。
搜尋基礎架構 核取方塊 已勾選 如果啟用,動作會在基礎架構中搜尋。
搜尋入侵集 核取方塊 已勾選 啟用後,系統會在入侵集合中搜尋。
搜尋惡意軟體 核取方塊 已勾選 啟用後,動作會搜尋惡意軟體。
搜尋簽名 核取方塊 已勾選 啟用後,動作會搜尋簽章。
搜尋工具 核取方塊 已勾選 啟用後,動作會搜尋工具。
搜尋 TTP 核取方塊 已勾選 啟用後,動作會搜尋 ttps。
搜尋安全漏洞 核取方塊 已勾選 如果啟用這項功能,系統會搜尋安全漏洞。
要傳回的實體數量上限 整數 50 指定每個實體類型要傳回的實體數量。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件地址 (符合電子郵件地址規則運算式的使用者實體)
  • 威脅發動者
  • CVE

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
JSON 結果
{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功且至少找到一個實體雜湊 (is_success=true):「Successfully retrieved related hashes from Anomali ThreatStream」(已成功從 Anomali ThreatStream 擷取相關雜湊)

如果找不到任何雜湊值 (is_success=false):「找不到相關雜湊值。」

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Get Related Hashes". 原因:{0}''.format(error.Stacktrace)

如果「信心門檻」參數不在 0 到 100 的範圍內:「『信心門檻』值應介於 0 到 100 之間。」

 一般

乒乓

測試與 Anomali ThreatStream 的連線。

參數

不適用

執行日期

這項動作不會在實體上執行,也沒有強制輸入參數。

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功:「Successfully connected to the Anomali ThreatStream server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Anomali ThreatStream 伺服器!)

動作應會失敗並停止執行應對手冊:

如果未成功:「Failed to connect to the Anomali ThreatStream server! Error is {0}".format(exception.stacktrace)

 一般

從實體移除標記

從 Anomali ThreatStream 實體中移除標記。支援的實體:雜湊、網址、IP 位址、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。

參數

參數名稱 類型 預設值 為必填項目 說明
標記 CSV 不適用 指定要從 Anomali ThreatStream 實體中移除的標記清單 (以半形逗號分隔)。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功,且至少從一個實體移除一個標記 (is_success=true):「已從 Anomali ThreatStream 的『{entity.identifier}』實體移除下列標記:\n{0}」。format(tags)

如果找不到某個實體的標記 (is_success=true):「下列標記已不屬於 Anomali ThreatStream 中的『{entity.identifier}』實體:\n{0}」。format(tags)

如果找不到某個實體的所有標記 (is_success=true):「提供的標記都不屬於 Anomali ThreatStream 中的『{entity.identifier}』實體。」

如果找不到任何實體 (is_success=true):「The following entities were not found in Anomali ThreatStream\n: {0}」。format([entity.identifier])

如果找不到所有實體 (is_success=false):「找不到任何提供的實體。」

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『從實體移除標記』動作時發生錯誤。原因:{0}''.format(error.Stacktrace)

 一般

回報為誤判

在 Anomali ThreatStream 中將實體回報為誤判。支援的實體: 雜湊、網址、IP 位址、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。

參數

參數名稱 類型 預設值 為必填項目 說明
原因 字串 不適用 指定要將實體標示為誤判的原因。
註解 字串 不適用 指定與將實體標示為誤報相關的決策資訊。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件地址 (符合電子郵件規則運算式的使用者實體)

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功且找到至少一個實體雜湊 (is_success=true):「Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}」。format(entity.identifier list)

如果無法標示特定實體 (is_success=true):「Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

如果無法擴充所有實體 (is_success=false):「No entities were reported as false positive.」(沒有任何實體回報為誤判)。

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『回報為誤判』動作時發生錯誤。原因:{0}''.format(error.Stacktrace)

 一般

提交可觀察項目

根據 IP、網址、雜湊、電子郵件實體,將可觀測項目提交至 Anomali ThreatStream。支援的實體:雜湊、網址、IP 位址、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。

如何查看信任的社交圈 ID

如要找出信任圈的 ID,請在 Anomali ThreatStream 中找到信任圈,然後按一下其名稱。網址列中顯示的網址會包含 ID,例如 https://siemplify.threatstream.com/search?trustedcircles=13.

參數

參數名稱 類型 預設值 為必填項目 說明
分類 DDL

私人

可能的值包括:

  • 公開
  • 私人
 指定可觀測項目的分類。
威脅類型 DDL

APT

可能的值

  • APT
  • 廣告軟體
  • 異常
  • 去識別化
  • 機器人
  • Brute
  • C2
  • 遭駭
  • 加密
  • 資料外洩
  • DDOS
  • 動態 DNS
  • 資料竊取
  • 漏洞攻擊
  • 詐欺
  • 駭客工具
  • I2P
  • 參考用
  • 惡意軟體
  • P2P
  • 已存放
  • Phish
  • 掃描
  • 陷孔
  • 社群
  • 垃圾內容
  • 抑制
  • 可疑
  • TOR
  • VPS
 指定可觀測項目的威脅類型。
來源 字串 Siemplify 指定可觀測項目的情報來源。
到期日期 整數 不適用 指定可觀測項目的到期日 (以天為單位)。如果未在此指定任何內容,動作會建立永不過期的可觀測項目。
信任圈 ID CSV 不適用 指定以半形逗號分隔的信任圈 ID 清單。可觀測項目會與這些信任的社交圈共用。
TLP DDL

請選取一項

可能的值:

  • 請選取一項
  • 紅色
  • 綠色
  • 琥珀色
  • 白色
 指定可觀測項目的 TLP。
可信度 整數 不適用 指定可觀測項目的可信度。注意:您必須在貴機構中建立可觀測項目,並啟用「覆寫系統信心度」,這個參數才會生效。
覆寫系統信賴度 核取方塊 已取消勾選 如果啟用,建立的可觀測項目會具有「信心」參數中指定的信心。注意:啟用這項參數後,您無法在信任的圈子和公開分享可觀測項目。
匿名提交 核取方塊 已取消勾選 如果啟用,動作會以匿名方式提交。
標記 CSV 不適用 指定要新增至可觀測項目的標記清單 (以半形逗號分隔)。

執行日期

這項動作會對下列實體執行:

  • 雜湊
  • IP 位址
  • 網址
  • 電子郵件

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
JSON 結果
approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
案件總覽
結果類型 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功且找到至少一個實體雜湊(is_success=true):「已在 Anomali ThreatStream 中成功提交並核准下列實體:\n{0}」。format(entity.identifier list)

如果無法擴充部分實體 (遭拒絕的實體) (is_success=true):「Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}」。format([entity.identifier])

如果所有實體都無法順利擴充 (is_success=false):「No entities were successfully submitted to Anomali ThreatStream.」(沒有任何實體成功提交至 Anomali ThreatStream)。

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Submit Observables". 原因:{0}''.format(error.Stacktrace)

如果系統回報 400 狀態碼:「Error executing action "Submit Observables". 原因:{0}''.format(message)

 一般

連結:

https://siemplify.threatstream.com/import/review/{jobid}

 實體

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。

Anomali ThreatStream - Observables Connector

從 Anomali ThreatStream 提取可觀測項目。

動態清單會使用來源名稱。

如要找出信任圈的 ID,請在 Anomali ThreatStream 中找到信任圈,然後按一下其名稱。網址列中顯示的網址會包含 ID,例如 https://siemplify.threatstream.com/search?trustedcircles=13

連接器參數

請使用下列參數設定連接器:

參數名稱 類型 預設值 為必填項目 說明
產品欄位名稱 字串 產品名稱

儲存產品名稱的欄位名稱。

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。

預設值為 Product Name
事件欄位名稱 字串 類型

決定事件名稱 (子類型) 的欄位名稱。
環境欄位名稱 字串 ""

儲存環境名稱的欄位名稱。

如果缺少環境欄位,連接器會使用預設值。
Environment Regex Pattern 字串 .*

要在「Environment Field Name」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
指令碼逾時 (秒) 整數 300 執行目前指令碼的 Python 程序逾時限制。
API 根層級 字串 https://api.threatstream.com Anomali ThreatStream 執行個體的 API 根目錄。
電子郵件地址 字串 不適用 Anomali ThreatStream 帳戶的電子郵件地址。
API 金鑰 密碼 不適用 Anomali ThreatStream 帳戶的 API 金鑰。
要擷取的最低嚴重程度 字串

用於擷取可觀測項目的最低嚴重性。

可能的值包括:

  • Very-High
要擷取的最低信賴度 整數 50 用於擷取可觀測項目的最低信賴度。上限為 100 個。
來源動態饋給篩選器 CSV 不適用 以半形逗號分隔的動態饋給 ID 清單,用於擷取可觀測項目,例如 515,4129
可觀測類型篩選器 CSV 網址、網域、電子郵件、雜湊、IP、IPv6

以半形逗號分隔的可觀察型別清單,應擷取這些型別,例如 URL, domain

可能的值:URLdomainemailhashipipv6
可觀察狀態篩選器 CSV 有效

以半形逗號分隔的可觀察狀態清單,應做為擷取新資料的依據,例如 active,inactive

可能的值:activeinactivefalsepos
威脅類型篩選器 CSV 不適用

以半形逗號分隔的威脅類型清單,用於擷取可觀察項目,例如 adware,anomalous,anonymization,apt

可能的值:adwareanomalousanonymizationaptbotbrutec2compromisedcryptodata_leakageddosdyn_dnsexfilexploitfraudhack_tooli2pinformationalmalwarep2pparkedphishscansinkholespamsuppresssuspicioustorvps
「信任圈」篩選器 CSV 不適用

以半形逗號分隔的信任圈 ID 清單,用於擷取可觀測項目,例如 146,147
標記名稱篩選器 CSV 不適用 以半形逗號分隔的標記名稱清單,這些標記與應搭配擷取作業使用的可觀測項目相關聯,例如 Microsoft Credentials, Phishing
來源動態饋給分組 核取方塊 已取消勾選 啟用後,連接器會將來自相同來源的可觀測項目歸入同一個 Google SecOps 快訊。
Fetch Max Days Backwards 整數 1

要擷取可觀測項目的今天前天數。

這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。
每個快訊的可觀測項目數量上限 整數 100 要納入 Google SecOps 快訊的可觀測項目數量。 上限為 200。
Use whitelist as a blacklist 核取方塊 已取消勾選

如果選取這個選項,連接器會將動態清單做為封鎖清單。
驗證 SSL 核取方塊 已取消勾選 如果選取這個選項,整合服務會在連線至 Anomali ThreatStream 伺服器時驗證 SSL 憑證。
Proxy 伺服器位址 字串 不適用 要使用的 Proxy 伺服器位址。
Proxy 使用者名稱 字串 不適用 用於驗證的 Proxy 使用者名稱。
Proxy 密碼 密碼 不適用 用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。