Integrare Anomali con Google SecOps
Questo documento descrive come integrare Anomali con Google Security Operations (Google SecOps).
Versione integrazione: 12.0
Prima di iniziare
Per ottenere la tua chiave API personale, completa i seguenti passaggi:
Accedi al tuo account Anomali ThreatStream.
Fai clic su Le mie chiavi API.
Copia il valore della chiave API e incollalo nel campo del parametro Chiave API nella finestra di dialogo Configura istanza in Google SecOps.
Rete
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Radice API | Stringa | https://api.threatstream.com/api | Sì | L'indirizzo dell'istanza Anomali. |
| Nome utente | Stringa | user@domain.com |
Sì | L'indirizzo email dell'utente da utilizzare per connettersi ad Anomali. |
| Password | Password | N/D | Sì | La password dell'utente corrispondente. |
| Chiave API | Stringa | N/D | Sì | Chiave API generata nella console AlienVault. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Recupera informazioni sulle minacce
Arricchisci le entità utilizzando le informazioni di Anomali ThreatStream. Entità supportate: IP, URL, hash, indirizzi email (entità utente che corrispondono all'espressione regolare dell'email).
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Limite | Stringa | 10 | Sì | Specifica quanti record restituire per entità. |
| Soglia di gravità | DDL | Media Valori possibili:
|
No | Specifica la soglia di gravità per l'entità, in modo da contrassegnarla come sospetta. Se vengono trovati più record per la stessa entità, l'azione prenderà in considerazione la gravità più elevata tra tutti i record disponibili. |
| Soglia di confidenza | Numero intero | 50 | No | Specifica la soglia di confidenza per l'entità, in modo da contrassegnarla come sospetta. Nota: il valore massimo è 100. Se vengono trovati più record per l'entità, l'azione prenderà la media. I record attivi hanno la priorità. Valore predefinito: 50. |
| Ignora lo stato di falso positivo | Casella di controllo | Deselezionata | No | Se abilitata, l'azione ignorerà lo stato di falso positivo e contrassegnerà l'entità come sospetta in base alla soglia di gravità e alla soglia di confidenza. Se disattivata, l'azione non contrassegnerà mai le entità false positive come sospette, indipendentemente dal fatto che superino o meno le condizioni della soglia di gravità e della soglia di confidenza. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- URL
- Hash
- Indirizzi email (entità utente che corrispondono all'espressione regolare dell'email)
Risultati dell'azione
Arricchimento delle entità
| Nome | Logica - Quando applicarla |
|---|---|
| id | Restituisce se esiste nel risultato JSON |
| stato | Restituisce se esiste nel risultato JSON |
| itype | Restituisce se esiste nel risultato JSON |
| expiration_time | Restituisce se esiste nel risultato JSON |
| ip | Restituisce se esiste nel risultato JSON |
| feed_id | Restituisce se esiste nel risultato JSON |
| confidenza | Restituisce se esiste nel risultato JSON |
| uuid | Restituisce se esiste nel risultato JSON |
| retina_confidence | Restituisce se esiste nel risultato JSON |
| trusted_circle_ids | Restituisce se esiste nel risultato JSON |
| origine | Restituisce se esiste nel risultato JSON |
| latitude | Restituisce se esiste nel risultato JSON |
| tipo | Restituisce se esiste nel risultato JSON |
| descrizione | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| threat_score | Restituisce se esiste nel risultato JSON |
| source_confidence | Restituisce se esiste nel risultato JSON |
| modification_time | Restituisce se esiste nel risultato JSON |
| org_name | Restituisce se esiste nel risultato JSON |
| asn | Restituisce se esiste nel risultato JSON |
| creation_time | Restituisce se esiste nel risultato JSON |
| tlp | Restituisce se esiste nel risultato JSON |
| country | Restituisce se esiste nel risultato JSON |
| longitude | Restituisce se esiste nel risultato JSON |
| gravità | Restituisce se esiste nel risultato JSON |
| sottotipo | Restituisce se esiste nel risultato JSON |
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Risultato JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se i dati sono disponibili per un'entità (is_success=true): "Successfully returned information about the following entities from Anomali ThreatStream: {entity.identifier}" (Informazioni restituite correttamente sulle seguenti entità da Anomali ThreatStream: {entity.identifier}) Se non sono disponibili dati per un'entità (is_success=true): "L'azione non è riuscita a restituire informazioni sulle seguenti entità da Anomali ThreatStream: {entity.identifier}" Se non disponibile per tutte le entità (is_success=false): "Nessuna entità è stata arricchita. Errore critico (non riuscito): errore durante l'esecuzione dell'azione "Ottieni informazioni sulle minacce". Motivo: {error traceback}" |
Generale |
Dindin
Testa la connettività ad Anomali ThreatStream.
Parametri
N/D
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Get Related Associations
Recupera le associazioni correlate alle entità da Anomali ThreatStream.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campagne per i resi | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà le campagne correlate e i relativi dettagli. |
| Restituisci bollettini sulle minacce | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà i bollettini sulle minacce correlate e i relativi dettagli. |
| Attori di ritorno | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà gli attori correlati e i relativi dettagli. |
| Restituisce i pattern di attacco | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà i pattern di attacco correlati e i relativi dettagli. |
| Restituisci i corsi di azione | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà i corsi di azione correlati e i relativi dettagli. |
| Restituisci identità | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà le identità correlate e i relativi dettagli. |
| Incidenti di reso | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà gli incidenti correlati e i relativi dettagli. |
| Infrastruttura di ritorno | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà l'infrastruttura correlata e i relativi dettagli. |
| Restituisci set di intrusioni | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà i gruppi di intrusione correlati e i relativi dettagli. |
| Restituzione di malware | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà i malware correlati e i relativi dettagli. |
| Firme per il reso | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà le firme correlate e i relativi dettagli. |
| Strumenti di reso | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà gli strumenti correlati e i relativi dettagli. |
| TTP per i resi | Casella di controllo | Selezionata | No | Se attivata, l'azione recupererà le TTP correlate e i relativi dettagli. |
| Restituisci vulnerabilità | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupererà le vulnerabilità correlate e i relativi dettagli. |
| Crea entità campagna | Casella di controllo | Deselezionata | No | Se abilitata, l'azione creerà un'entità dalle associazioni di campagne disponibili. |
| Crea entità Attori | Casella di controllo | Deselezionata | No | Se questa opzione è abilitata, l'azione creerà un'entità dalle associazioni di attori disponibili. |
| Crea entità firma | Casella di controllo | Deselezionata | No | Se questa opzione è abilitata, l'azione creerà un'entità dalle associazioni di firme disponibili. |
| Crea entità vulnerabilità | Casella di controllo | Deselezionata | No | Se abilitata, l'azione creerà un'entità dalle associazioni di vulnerabilità disponibili. |
| Numero massimo di associazioni da restituire | Numero intero | 5 | No | Specifica il numero di associazioni da restituire per tipo. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Hash
- Indirizzo IP
- URL
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Risultato JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovata almeno un'associazione tra le entità (is_success=true): "Successfully retrieved related associations from Anomali" (Associazioni correlate recuperate correttamente da Anomali) Se non vengono trovate associazioni (is_success=false): "Non sono state trovate associazioni correlate". Messaggio asincrono: "In attesa del recupero di tutti i dettagli dell'associazione" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni associazione correlata". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: "Associazioni correlate" Colonne della tabella:
|
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.