Anomali を Google SecOps と統合する
このドキュメントでは、Anomali を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 12.0
始める前に
個人用の API キーを取得する手順は次のとおりです。
Anomali ThreatStream アカウントにログインします。
[My API Keys] をクリックします。
API キーの値をコピーし、Google SecOps の [インスタンスを構成] ダイアログの [API キー] パラメータ フィールドに貼り付けます。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://api.threatstream.com/api | はい | Anomali インスタンスのアドレス。 |
| ユーザー名 | 文字列 | user@domain.com |
はい | Anomali への接続に使用するべきユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| API キー | 文字列 | なし | はい | AlienVault コンソールで生成された API キー。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
脅威情報を取得する
Anomali ThreatStream の情報を使用してエンティティを拡充します。サポートされるエンティティ: IP、URL、ハッシュ、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 上限 | 文字列 | 10 | はい | エンティティごとに返すレコード数を指定します。 |
| 重大度のしきい値 | DDL | 中 値は次のいずれかです。
|
いいえ | エンティティを不審としてマークするための重大度のしきい値を指定します。同じエンティティに対して複数のレコードが見つかった場合、アクションでは利用可能なすべてのレコードの中で最も重大度の高いレコードが使用されます。 |
| 信頼度のしきい値 | Integer | 50 | いいえ | エンティティを不審としてマークするために、エンティティの信頼度のしきい値を指定します。注: 最大値は 100 です。エンティティに複数のレコードが見つかった場合、アクションは平均値を取得します。有効なレコードが優先されます。デフォルト: 50。 |
| Ignore False Positive Status(誤検知ステータスを無視) | チェックボックス | オフ | いいえ | 有効の場合、アクションは誤検出のステータスを無視し、重大度しきい値と信頼度しきい値に基づいてエンティティを不審としてマークします。無効の場合、重大度しきい値と信頼度しきい値の条件を満たしているかどうかにかかわらず、アクションは誤検出エンティティを不審としてマークしません。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- URL
- ハッシュ
- メールアドレス(メールの正規表現に一致するユーザー エンティティ)
アクションの結果
エンティティ拡充
| 名前 | ロジック - 適用するタイミング |
|---|---|
| id | JSON の結果に存在する場合に返す |
| 設定されます。 | JSON の結果に存在する場合に返す |
| itype | JSON の結果に存在する場合に返す |
| expiration_time | JSON の結果に存在する場合に返す |
| ip | JSON の結果に存在する場合に返す |
| feed_id | JSON の結果に存在する場合に返す |
| confidence | JSON の結果に存在する場合に返す |
| uuid | JSON の結果に存在する場合に返す |
| retina_confidence | JSON の結果に存在する場合に返す |
| trusted_circle_ids | JSON の結果に存在する場合に返す |
| ソース | JSON の結果に存在する場合に返す |
| latitude | JSON の結果に存在する場合に返す |
| type | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| tags | JSON の結果に存在する場合に返す |
| threat_score | JSON の結果に存在する場合に返す |
| source_confidence | JSON の結果に存在する場合に返す |
| modification_time | JSON の結果に存在する場合に返す |
| org_name | JSON の結果に存在する場合に返す |
| asn | JSON の結果に存在する場合に返す |
| creation_time | JSON の結果に存在する場合に返す |
| tlp | JSON の結果に存在する場合に返す |
| country | JSON の結果に存在する場合に返す |
| longitude | JSON の結果に存在する場合に返す |
| 重要度 | JSON の結果に存在する場合に返す |
| subtype | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
JSON の結果
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Anomali ThreatStream から次のエンティティに関する情報が正常に返されました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Anomali ThreatStream から次のエンティティに関する情報を返すことができませんでした: {entity.identifier}」 すべてのエンティティで利用できない場合(is_success=false): 「拡充されたエンティティはありません。 重大なエラー(失敗): アクション「脅威情報を取得」の実行エラー。理由: {エラーのトレースバック}」 |
全般 |
Ping
Anomali ThreatStream への接続性をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
関連付けを取得する
Anomali ThreatStream からエンティティ関連付けを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返品キャンペーン | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するキャンペーンとその詳細が取得されます。 |
| 脅威に関する公開情報を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する脅威速報とその詳細が取得されます。 |
| Return Actors | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するアクターとその詳細が取得されます。 |
| 攻撃パターンの戻り値 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する攻撃パターンとその詳細が取得されます。 |
| 対応策を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する対応策とその詳細が取得されます。 |
| ID を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する ID とその詳細が取得されます。 |
| 返品に関するインシデント | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するインシデントとその詳細が取得されます。 |
| インフラストラクチャの返品 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するインフラストラクチャとその詳細が取得されます。 |
| 侵入セットを返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する侵入セットとその詳細が取得されます。 |
| マルウェアを返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するマルウェアとその詳細が取得されます。 |
| Return Signatures | チェックボックス | オン | いいえ | 有効にすると、アクションで関連するシグネチャとその詳細が取得されます。 |
| 返品ツール | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するツールとその詳細が取得されます。 |
| 返品の TTP | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する TTP とその詳細が取得されます。 |
| 脆弱性を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する脆弱性とその詳細が取得されます。 |
| キャンペーン エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なキャンペーンの関連付けからエンティティが作成されます。 |
| アクター エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なアクターの関連付けからエンティティが作成されます。 |
| 署名エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なシグネチャ関連付けからエンティティが作成されます。 |
| 脆弱性エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって、利用可能な脆弱性関連付けからエンティティが作成されます。 |
| 返される関連付けの最大数 | Integer | 5 | いいえ | タイプごとに返される関連付けの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
JSON の結果
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間の関連付けが少なくとも 1 つ見つかった場合(is_success=true): 「Anomali から関連する関連付けが正常に取得されました」 関連付けが見つからない場合(is_success=false):「関連する関連付けが見つかりませんでした。」 非同期メッセージ: 「すべての関連付けの詳細が取得されるのを待機しています」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「関連付けの取得操作のエラー」。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: 「関連付け」 テーブル列:
|
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。