Integrar Anomali con Google SecOps
En este documento se describe cómo integrar Anomali con Google Security Operations (Google SecOps).
Versión de integración: 12.0
Antes de empezar
Para obtener tu clave de API personal, sigue estos pasos:
Inicia sesión en tu cuenta de Anomali ThreatStream.
Haz clic en Mis claves de API.
Copia el valor de la clave de API y pégalo en el campo del parámetro Clave de API del cuadro de diálogo Configurar instancia de Google SecOps.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apikey |
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://api.threatstream.com/api | Sí | Dirección de la instancia de Anomali. |
| Nombre de usuario | Cadena | user@domain.com |
Sí | Dirección de correo del usuario que se debe usar para conectarse a Anomali. |
| Contraseña | Contraseña | N/A | Sí | La contraseña del usuario correspondiente. |
| Clave de API | Cadena | N/A | Sí | Clave de API generada en la consola de AlienVault. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Obtener información sobre la amenaza
Enriquece las entidades con información de Anomali ThreatStream. Entidades admitidas: IP, URL, hash y direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Límite | Cadena | 10 | Sí | Especifica cuántos registros se devolverán por entidad. |
| Umbral de gravedad | DDL | Medio Posibles valores:
|
No | Especifica el umbral de gravedad de la entidad para marcarla como sospechosa. Si se encuentran varios registros de la misma entidad, se tomará la medida de mayor gravedad de entre todos los registros disponibles. |
| Umbral de confianza | Entero | 50 | No | Especifica el umbral de confianza de la entidad para marcarla como sospechosa. Nota: El valor máximo es 100. Si se encuentran varios registros de la entidad, se calculará la media. Los registros activos tienen prioridad. Valor predeterminado: 50. |
| Ignorar el estado de falso positivo | Casilla | Desmarcada | No | Si está habilitada, la acción ignorará el estado de falso positivo y marcará la entidad como sospechosa en función de los umbrales de gravedad y de confianza. Si está inhabilitada, la acción nunca etiquetará las entidades de falsos positivos como sospechosas, independientemente de si cumplen o no las condiciones de los umbrales de gravedad y de confianza. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Hash
- Direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico)
Resultados de la acción
Enriquecimiento de entidades
| Nombre | Lógica: cuándo aplicarla |
|---|---|
| id | Devuelve si existe en el resultado JSON. |
| status | Devuelve si existe en el resultado JSON. |
| itype | Devuelve si existe en el resultado JSON. |
| expiration_time | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| feed_id | Devuelve si existe en el resultado JSON. |
| confianza | Devuelve si existe en el resultado JSON. |
| uuid | Devuelve si existe en el resultado JSON. |
| retina_confidence | Devuelve si existe en el resultado JSON. |
| trusted_circle_ids | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
| latitude | Devuelve si existe en el resultado JSON. |
| tipo | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| threat_score | Devuelve si existe en el resultado JSON. |
| source_confidence | Devuelve si existe en el resultado JSON. |
| modification_time | Devuelve si existe en el resultado JSON. |
| org_name | Devuelve si existe en el resultado JSON. |
| asn | Devuelve si existe en el resultado JSON. |
| creation_time | Devuelve si existe en el resultado JSON. |
| tlp | Devuelve si existe en el resultado JSON. |
| país | Devuelve si existe en el resultado JSON. |
| longitude | Devuelve si existe en el resultado JSON. |
| gravedad | Devuelve si existe en el resultado JSON. |
| subtype | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si hay datos disponibles para una entidad (is_success=true): "Se ha devuelto correctamente información sobre las siguientes entidades de Anomali ThreatStream: {entity.identifier}" Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to return information about the following entities from Anomali ThreatStream: {entity.identifier}" ("La acción no ha podido devolver información sobre las siguientes entidades de Anomali ThreatStream: {entity.identifier}") Si no está disponible para todas las entidades (is_success=false): "No se ha enriquecido ninguna entidad. Error crítico (fallo): error al ejecutar la acción "Obtener información sobre amenazas". Motivo: {error traceback}" |
General |
Ping
Prueba la conectividad con Anomali ThreatStream.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Get Related Associations
Recupera asociaciones relacionadas con entidades de Anomali ThreatStream.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Return Campaigns | Casilla | Marcada | No | Si se habilita, la acción obtendrá las campañas relacionadas y sus detalles. |
| Devuelve los boletines de amenazas | Casilla | Marcada | No | Si se habilita, la acción obtendrá los boletines de amenazas relacionados y sus detalles. |
| Actores de retorno | Casilla | Marcada | No | Si se habilita, la acción obtendrá los actores relacionados y detalles sobre ellos. |
| Devuelve los patrones de ataque | Casilla | Marcada | No | Si se habilita, la acción obtendrá patrones de ataque relacionados e información sobre ellos. |
| Return Courses Of Action | Casilla | Marcada | No | Si se habilita, la acción obtendrá los cursos de acción relacionados y sus detalles. |
| Return Identities | Casilla | Marcada | No | Si se habilita, la acción obtendrá las identidades relacionadas y los detalles sobre ellas. |
| Devolver incidentes | Casilla | Marcada | No | Si está habilitada, la acción obtendrá los incidentes relacionados y sus detalles. |
| Return Infrastructure | Casilla | Marcada | No | Si se habilita, la acción obtendrá la infraestructura relacionada y los detalles sobre ella. |
| Return Intrusion Sets | Casilla | Marcada | No | Si se habilita, la acción obtendrá los conjuntos de intrusiones relacionados y sus detalles. |
| Return Malware | Casilla | Marcada | No | Si se habilita, la acción obtendrá el malware relacionado y los detalles sobre él. |
| Return Signatures | Casilla | Marcada | No | Si se habilita, la acción obtendrá las firmas relacionadas y sus detalles. |
| Herramientas de devolución | Casilla | Marcada | No | Si se habilita, la acción obtendrá las herramientas relacionadas y los detalles sobre ellas. |
| Devolver TTPs | Casilla | Marcada | No | Si se habilita, la acción obtendrá las TTPs relacionadas y sus detalles. |
| Return Vulnerabilities | Casilla | Marcada | No | Si se habilita, la acción obtendrá las vulnerabilidades relacionadas y sus detalles. |
| Crear entidad de campaña | Casilla | Desmarcada | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de campaña disponibles. |
| Crear entidad Actors | Casilla | Desmarcada | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de Actor disponibles. |
| Crear entidad de firma | Casilla | Desmarcada | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de firma disponibles. |
| Crear entidad de vulnerabilidad | Casilla | Desmarcada | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de vulnerabilidades disponibles. |
| Número máximo de asociaciones que se devolverán | Entero | 5 | No | Especifica cuántas asociaciones se deben devolver por tipo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Hash
- Dirección IP
- URL
- Correo electrónico
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos una asociación entre entidades (is_success=true): "Successfully retrieved related associations from Anomali" ("Se han recuperado correctamente las asociaciones relacionadas de Anomali") Si no se encuentra ninguna asociación (is_success=false): "No related associations were found." ("No se ha encontrado ninguna asociación relacionada"). Mensaje asíncrono: "Esperando a que se recuperen todos los detalles de la asociación" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Get Related Association". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: "Related Associations" Columnas de tabla:
|
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.