Anomali in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Anomali in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 12.0
Hinweise
So erhalten Sie Ihren persönlichen API-Schlüssel:
Melden Sie sich in Ihrem Anomali ThreatStream-Konto an.
Klicken Sie auf Meine API-Schlüssel.
Kopieren Sie den API-Schlüsselwert und fügen Sie ihn in das Parameterfeld „API-Schlüssel“ im Dialogfeld Instanz konfigurieren in Google SecOps ein.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://api.threatstream.com/api | Ja | Adresse der Anomali-Instanz. |
| Nutzername | String | user@domain.com |
Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zu Anomali verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| API-Schlüssel | String | – | Ja | In der AlienVault-Konsole generierter API-Schlüssel. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Gefahreninformationen abrufen
Entitäten mit Informationen aus Anomali ThreatStream anreichern Unterstützte Entitäten: IP-Adresse, URL, Hash, E-Mail-Adressen (Nutzerentitäten, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmen).
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Limit | String | 10 | Ja | Geben Sie an, wie viele Datensätze pro Entität zurückgegeben werden sollen. |
| Schwellenwert für Schweregrad | DDL | Mittel Mögliche Werte:
|
Nein | Geben Sie den Schweregradschwellenwert für die Entität an, damit sie als verdächtig markiert wird. Wenn mehrere Datensätze für dieselbe Einheit gefunden werden, wird die Maßnahme mit dem höchsten Schweregrad aus allen verfügbaren Datensätzen ergriffen. |
| Konfidenzwert | Ganzzahl | 50 | Nein | Geben Sie an, welcher Konfidenzwert für die Entität festgelegt werden soll, damit sie als verdächtig markiert wird. Hinweis: Der Höchstwert ist 100. Wenn mehrere Datensätze für die Entität gefunden werden, wird der Durchschnittswert verwendet. Aktive Einträge haben Priorität. Standard: 50. |
| Status „Falsch positiv“ ignorieren | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird der Status „Falsch positiv“ bei der Aktion ignoriert und die Einheit wird basierend auf dem Schweregrad- und dem Konfidenzschwellenwert als verdächtig markiert. Wenn diese Option deaktiviert ist, werden falsch positive Entitäten niemals als verdächtig gekennzeichnet, unabhängig davon, ob sie die Bedingungen für den Schweregrad- und den Konfidenzgrenzwert erfüllen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- URL
- Hash
- E-Mail-Adressen (Nutzerentitäten, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmen)
Aktionsergebnisse
Entitätsanreicherung
| Name | Logik – Wann anwenden? |
|---|---|
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| itype | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| expiration_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| feed_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Konfidenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| uuid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| retina_confidence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| trusted_circle_ids | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| latitude | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Typ | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Beschreibung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| threat_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| source_confidence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| modification_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| org_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| asn | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| creation_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tlp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| country | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| longitude | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| die Ausprägung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Untertyp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
JSON-Ergebnis
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully returned information about the following entities from Anomali ThreatStream: {entity.identifier}“ (Informationen zu den folgenden Entitäten wurden erfolgreich von Anomali ThreatStream zurückgegeben: {entity.identifier}) Wenn für eine Entität keine Daten verfügbar sind (is_success=true): „Die Aktion konnte keine Informationen zu den folgenden Entitäten aus Anomali ThreatStream zurückgeben: {entity.identifier}“ Wenn nicht für alle Entitäten verfügbar (is_success=false): „Es wurden keine Entitäten angereichert. Kritischer Fehler (fehlgeschlagen): Fehler beim Ausführen der Aktion „Bedrohungsinformationen abrufen“. Grund: {error traceback}“ |
Allgemein |
Ping
Konnektivität zu Anomali ThreatStream testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
Zugehörige Verknüpfungen abrufen
Rufen Sie entitätsbezogene Zuordnungen aus Anomali ThreatStream ab.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Rückgabekampagnen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Kampagnen und Details dazu abgerufen. |
| Bedrohungsbulletins zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Threat Bulletins und Details dazu abgerufen. |
| Rückgabe von Schauspielern | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Akteure und Details zu ihnen abgerufen. |
| Angriffsmuster zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Angriffsmuster und Details dazu abgerufen. |
| Return Courses Of Action | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Maßnahmen und Details dazu abgerufen. |
| Identitäten zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Identitäten und Details dazu abgerufen. |
| Vorfälle zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Vorfälle und Details dazu abgerufen. |
| Infrastruktur zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit dem Vorgang die zugehörige Infrastruktur und Details dazu abgerufen. |
| Einbruchserkennung zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Intrusion Sets und Details dazu abgerufen. |
| Malware zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Malware und Details dazu abgerufen. |
| Rückgabesignaturen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion zugehörige Signaturen und Details dazu ab. |
| Rückgabe-Tools | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit dem Vorgang zugehörige Tools und Details dazu abgerufen. |
| TTPs zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige TTPs und Details dazu abgerufen. |
| Rückgabe von Sicherheitslücken | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Sicherheitslücken und Details dazu abgerufen. |
| Kampagnenentität erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Kampagnenverknüpfungen erstellt. |
| Entität „Schauspieler“ erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Akteurzuordnungen erstellt. |
| Signatur-Entität erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Signaturzuordnungen erstellt. |
| Sicherheitslückenentität erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren Zuordnungen für Sicherheitslücken erstellt. |
| Maximale Anzahl zurückzugebender Verknüpfungen | Ganzzahl | 5 | Nein | Geben Sie an, wie viele Zuordnungen pro Typ zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hash
- IP-Adresse
- URL
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
JSON-Ergebnis
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine Verknüpfung zwischen Entitäten gefunden wird (is_success=true): „Successfully retrieved related associations from Anomali“ (Zugehörige Verknüpfungen wurden erfolgreich von Anomali abgerufen) Wenn keine Verknüpfungen gefunden werden (is_success=false): „No related associations were found.“ (Es wurden keine zugehörigen Verknüpfungen gefunden.) Asynchrone Nachricht: „Warten auf das Abrufen aller Verknüpfungsdetails“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related Association‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: „Zugehörige Verknüpfungen“ Tabellenspalten:
|
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten