Mengintegrasikan Anomali dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Anomali dengan Google Security Operations (Google SecOps).
Versi integrasi: 12.0
Sebelum memulai
Untuk mendapatkan Kunci API pribadi Anda, selesaikan langkah-langkah berikut:
Login ke akun Anomali ThreatStream Anda.
Klik My API Keys.
Salin nilai kunci API dan tempelkan ke kolom parameter Kunci API dalam dialog Konfigurasi Instance di Google SecOps.
Jaringan
| Fungsi | Port default | Arah | Protokol |
|---|---|---|---|
| API | Multinilai | Keluar | apikey |
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://api.threatstream.com/api | Ya | Alamat instance Anomali. |
| Nama pengguna | String | user@domain.com |
Ya | Alamat email pengguna yang harus digunakan untuk terhubung ke Anomali. |
| Sandi | Sandi | T/A | Ya | Sandi pengguna yang sesuai. |
| Kunci API | String | T/A | Ya | Kunci API dibuat di konsol AlienVault. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Mendapatkan Info Ancaman
Memperkaya entitas menggunakan informasi dari Anomali ThreatStream. Entitas yang didukung: IP, URL, Hash, Alamat Email (Entitas pengguna yang cocok dengan regex email).
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Batas | String | 10 | Ya | Tentukan jumlah data yang akan ditampilkan per entitas. |
| Ambang Batas Tingkat Keparahan | DDL | Sedang Nilai yang memungkinkan:
|
Tidak | Tentukan ambang batas tingkat keparahan untuk entity, agar entity ditandai sebagai mencurigakan. Jika beberapa catatan ditemukan untuk entitas yang sama, tindakan akan mengambil tingkat keparahan tertinggi dari semua catatan yang tersedia. |
| Nilai Minimum Keyakinan | Bilangan bulat | 50 | Tidak | Tentukan berapa ambang batas keyakinan untuk entity, agar entity tersebut ditandai sebagai mencurigakan. Catatan: Nilai maksimum adalah 100. Jika beberapa data ditemukan untuk entitas, tindakan akan mengambil rata-rata. Catatan aktif memiliki prioritas. Default: 50. |
| Mengabaikan Status Positif Palsu | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan mengabaikan status positif palsu dan menandai entitas sebagai mencurigakan berdasarkan Threshold Tingkat Keparahan dan Threshold Tingkat Keyakinan. Jika dinonaktifkan, tindakan tidak akan pernah melabeli entitas positif palsu sebagai mencurigakan, terlepas dari apakah entitas tersebut lulus kondisi Nilai Minimum Tingkat Keparahan dan Nilai Minimum Tingkat Keyakinan atau tidak. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- URL
- Hash
- Alamat Email (Entitas pengguna yang cocok dengan regex email)
Hasil tindakan
Pengayaan entitas
| Nama | Logika - Kapan Harus Menerapkan |
|---|---|
| id | Menampilkan apakah ada di hasil JSON |
| status | Menampilkan apakah ada di hasil JSON |
| itype | Menampilkan apakah ada di hasil JSON |
| expiration_time | Menampilkan apakah ada di hasil JSON |
| ip | Menampilkan apakah ada di hasil JSON |
| feed_id | Menampilkan apakah ada di hasil JSON |
| keyakinan | Menampilkan apakah ada di hasil JSON |
| uuid | Menampilkan apakah ada di hasil JSON |
| retina_confidence | Menampilkan apakah ada di hasil JSON |
| trusted_circle_ids | Menampilkan apakah ada di hasil JSON |
| sumber | Menampilkan apakah ada di hasil JSON |
| latitude | Menampilkan apakah ada di hasil JSON |
| jenis | Menampilkan apakah ada di hasil JSON |
| deskripsi | Menampilkan apakah ada di hasil JSON |
| tags | Menampilkan apakah ada di hasil JSON |
| threat_score | Menampilkan apakah ada di hasil JSON |
| source_confidence | Menampilkan apakah ada di hasil JSON |
| modification_time | Menampilkan apakah ada di hasil JSON |
| org_name | Menampilkan apakah ada di hasil JSON |
| asn | Menampilkan apakah ada di hasil JSON |
| creation_time | Menampilkan apakah ada di hasil JSON |
| tlp | Menampilkan apakah ada di hasil JSON |
| country | Menampilkan apakah ada di hasil JSON |
| longitude | Menampilkan apakah ada di hasil JSON |
| tingkat keseriusan, | Menampilkan apakah ada di hasil JSON |
| subjenis | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Hasil JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika data tersedia untuk satu entitas (is_success=true): "Berhasil menampilkan informasi tentang entitas berikut dari Anomali ThreatStream: {entity.identifier}" Jika tidak ada data yang tersedia untuk satu entitas (is_success=true): "Tindakan tidak dapat menampilkan informasi tentang entitas berikut dari Anomali ThreatStream: {entity.identifier}" Jika tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang dipertkaya. Error kritis (gagal):Error saat menjalankan tindakan "Dapatkan Info Ancaman". Alasan: {error traceback}" |
Umum |
Ping
Uji konektivitas ke Anomali ThreatStream.
Parameter
T/A
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Mendapatkan Asosiasi Terkait
Mengambil asosiasi terkait entity dari Anomali ThreatStream.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Kampanye Pengembalian | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil kampanye terkait dan detailnya. |
| Buletin Ancaman Balik | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil buletin ancaman terkait dan detailnya. |
| Aktor yang Kembali | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil aktor terkait dan detail tentangnya. |
| Pola Serangan Kembali | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil pola serangan terkait dan detailnya. |
| Return Courses Of Action | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil tindakan terkait dan detailnya. |
| Mengembalikan Identitas | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil identitas terkait dan detail tentang identitas tersebut. |
| Insiden Pengembalian | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil insiden terkait dan detailnya. |
| Infrastruktur Pengembalian | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil infrastruktur terkait dan detailnya. |
| Mengembalikan Kumpulan Penyusupan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil set intrusi terkait dan detail tentangnya. |
| Mengembalikan Malware | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil malware terkait dan detailnya. |
| Tanda Tangan yang Dikembalikan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil tanda tangan terkait dan detailnya. |
| Alat Pengembalian | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil alat terkait dan detailnya. |
| TTP yang Ditampilkan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil TTP terkait dan detailnya. |
| Mengembalikan Kerentanan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan mengambil kerentanan terkait dan detailnya. |
| Buat Entitas Kampanye | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan membuat entity dari asosiasi Kampanye yang tersedia. |
| Membuat Entity Aktor | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan membuat entity dari asosiasi Aktor yang tersedia. |
| Membuat Entity Tanda Tangan | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan membuat entity dari asosiasi Signature yang tersedia. |
| Membuat Entity Kerentanan | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan membuat entity dari asosiasi Kerentanan yang tersedia. |
| Jumlah Maksimum Asosiasi yang Akan Ditampilkan | Bilangan bulat | 5 | Tidak | Tentukan jumlah asosiasi yang akan ditampilkan per jenis. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hash
- Alamat IP
- URL
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Hasil JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu pengaitan di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related associations from Anomali" (Berhasil mengambil pengaitan terkait dari Anomali) Jika tidak ada pengaitan yang ditemukan (is_success=false): "No related associations were found". Pesan Asinkron: "Menunggu semua detail asosiasi diambil" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Association". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: "Pengaitan Terkait" Kolom Tabel:
|
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.