Integra Anomali con Google SecOps
En este documento, se describe cómo integrar Anomali en Google Security Operations (Google SecOps).
Versión de integración: 12.0
Antes de comenzar
Para obtener tu clave de API personal, completa los siguientes pasos:
Accede a tu cuenta de Anomali ThreatStream.
Haz clic en Mis claves de API.
Copia el valor de la clave de API y pégalo en el campo del parámetro Api Key en el diálogo Configure Instance de Google SecOps.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://api.threatstream.com/api | Sí | Es la dirección de la instancia de Anomali. |
| Nombre de usuario | String | user@domain.com |
Sí | Es la dirección de correo electrónico del usuario que se debe usar para conectarse a Anomali. |
| Contraseña | Contraseña | N/A | Sí | Contraseña del usuario correspondiente. |
| Clave de API | String | N/A | Sí | Es la clave de API generada en la consola de AlienVault. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Obtener información sobre amenazas
Enriquece las entidades con la información de Anomali ThreatStream. Entidades admitidas: IP, URL, hash, direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Límite | String | 10 | Sí | Especifica cuántos registros se devolverán por entidad. |
| Umbral de gravedad | DDL | Medio Valores posibles:
|
No | Especifica cuál debe ser el umbral de gravedad para la entidad, de modo que se marque como sospechosa. Si se encuentran varios registros para la misma entidad, la acción tomará la gravedad más alta de todos los registros disponibles. |
| Umbral de confianza | Número entero | 50 | No | Especifica cuál debe ser el umbral de confianza para la entidad, de modo que se marque como sospechosa. Nota: El valor máximo es 100. Si se encuentran varios registros para la entidad, la acción tomará el promedio. Los registros activos tienen prioridad. El valor predeterminado es 50. |
| Ignorar el estado de falso positivo | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción ignorará el estado de falso positivo y marcará la entidad como sospechosa según los umbrales de gravedad y confianza. Si se inhabilita, la acción nunca etiquetará las entidades de falso positivo como sospechosas, independientemente de si cumplen o no con las condiciones de umbral de gravedad y umbral de confianza. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Hash
- Direcciones de correo electrónico (entidades de usuario que coinciden con la regex de correo electrónico)
Resultados de la acción
Enriquecimiento de entidades
| Nombre | Lógica: cuándo aplicarla |
|---|---|
| id | Devuelve si existe en el resultado JSON. |
| estado | Devuelve si existe en el resultado JSON. |
| itype | Devuelve si existe en el resultado JSON. |
| expiration_time | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| feed_id | Devuelve si existe en el resultado JSON. |
| confianza | Devuelve si existe en el resultado JSON. |
| uuid | Devuelve si existe en el resultado JSON. |
| retina_confidence | Devuelve si existe en el resultado JSON. |
| trusted_circle_ids | Devuelve si existe en el resultado JSON. |
| source | Devuelve si existe en el resultado JSON. |
| latitud | Devuelve si existe en el resultado JSON. |
| tipo | Devuelve si existe en el resultado JSON. |
| descripción | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| threat_score | Devuelve si existe en el resultado JSON. |
| source_confidence | Devuelve si existe en el resultado JSON. |
| modification_time | Devuelve si existe en el resultado JSON. |
| org_name | Devuelve si existe en el resultado JSON. |
| asn | Devuelve si existe en el resultado JSON. |
| creation_time | Devuelve si existe en el resultado JSON. |
| tlp | Devuelve si existe en el resultado JSON. |
| country | Devuelve si existe en el resultado JSON. |
| longitude | Devuelve si existe en el resultado JSON. |
| gravedad, | Devuelve si existe en el resultado JSON. |
| subtype | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si hay datos disponibles para una entidad (is_success=true): "Se devolvió correctamente información sobre las siguientes entidades de Anomali ThreatStream: {entity.identifier}" Si no hay datos disponibles para una entidad (is_success=true): "La acción no pudo devolver información sobre las siguientes entidades de Anomali ThreatStream: {entity.identifier}" Si no está disponible para todas las entidades (is_success=false): "No se enriqueció ninguna entidad. Error crítico (falla): Se produjo un error al ejecutar la acción "Get Threat Info". Motivo: {error traceback}" |
General |
Ping
Prueba la conectividad con Anomali ThreatStream.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Obtén asociaciones relacionadas
Recupera asociaciones relacionadas con la entidad de Anomali ThreatStream.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Devuelve campañas | Casilla de verificación | Marcado | No | Si está habilitado, la acción recuperará las campañas relacionadas y sus detalles. |
| Devuelve boletines de amenazas | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará los boletines de amenazas relacionados y sus detalles. |
| Actores de devolución | Casilla de verificación | Marcado | No | Si está habilitado, la acción recuperará los actores relacionados y sus detalles. |
| Devuelve patrones de ataque | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará patrones de ataque relacionados y detalles sobre ellos. |
| Devuelve cursos de acción | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará los cursos de acción relacionados y sus detalles. |
| Devuelve identidades | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará las identidades relacionadas y sus detalles. |
| Incidentes de devoluciones | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará los incidentes relacionados y sus detalles. |
| Devolución de infraestructura | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará la infraestructura relacionada y sus detalles. |
| Devuelve conjuntos de intrusiones | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará los conjuntos de intrusiones relacionados y sus detalles. |
| Devuelve el software malicioso | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará el malware relacionado y sus detalles. |
| Devuelve firmas | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará firmas relacionadas y detalles sobre ellas. |
| Devolver herramientas | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará herramientas relacionadas y detalles sobre ellas. |
| TTP de devoluciones | Casilla de verificación | Marcado | No | Si está habilitado, la acción recuperará los TTP relacionados y sus detalles. |
| Devuelve vulnerabilidades | Casilla de verificación | Marcado | No | Si está habilitada, la acción recuperará las vulnerabilidades relacionadas y sus detalles. |
| Crea una entidad de campaña | Casilla de verificación | Desmarcado | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de la campaña disponibles. |
| Crea la entidad de actores | Casilla de verificación | Desmarcado | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de Actor disponibles. |
| Crea una entidad de firma | Casilla de verificación | Desmarcado | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de firma disponibles. |
| Crea una entidad de vulnerabilidad | Casilla de verificación | Desmarcado | No | Si se habilita, la acción creará una entidad a partir de las asociaciones de vulnerabilidad disponibles. |
| Cantidad máxima de asociaciones que se devolverán | Número entero | 5 | No | Especifica cuántas asociaciones se deben devolver por tipo. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Hash
- Dirección IP
- URL
- Correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos una asociación entre entidades (is_success=true): "Se recuperaron correctamente las asociaciones relacionadas de Anomali" Si no se encuentran asociaciones (is_success=false): "No se encontraron asociaciones relacionadas". Mensaje asíncrono: "Waiting for all of the association details to be retrieved" La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Association". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: "Asociaciones relacionadas" Columnas de la tabla:
|
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.