Google SecOps와 Anomali 통합
이 문서에서는 Anomali를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 12.0
시작하기 전에
개인 API 키를 가져오려면 다음 단계를 완료하세요.
Anomali ThreatStream 계정에 로그인합니다.
내 API 키를 클릭합니다.
API 키 값을 복사하여 Google SecOps의 인스턴스 구성 대화상자에 있는 API 키 매개변수 필드에 붙여넣습니다.
네트워크
| 함수 | 기본 포트 | 방향 | 프로토콜 |
|---|---|---|---|
| API | Multivalues | 아웃바운드 | apikey |
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://api.threatstream.com/api | 예 | Anomali 인스턴스의 주소입니다. |
| 사용자 이름 | 문자열 | user@domain.com |
예 | Anomali에 연결하는 데 사용할 사용자의 이메일 주소입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | AlienVault 콘솔에서 생성된 API 키입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
위협 정보 가져오기
Anomali ThreatStream의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: IP, URL, 해시, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 한도 | 문자열 | 10 | 예 | 엔티티당 반환할 레코드 수를 지정합니다. |
| 심각도 기준점 | DDL | 보통 가능한 값은 다음과 같습니다.
|
아니요 | 엔티티를 의심스러운 것으로 표시하기 위한 심각도 기준점을 지정합니다. 동일한 항목에 대해 여러 레코드가 발견되면 사용 가능한 모든 레코드 중 가장 심각한 레코드에 따라 조치가 취해집니다. |
| 신뢰도 기준점 | 정수 | 50 | 아니요 | 엔티티를 의심스러운 것으로 표시하기 위한 신뢰도 임계값을 지정합니다. 참고: 최댓값은 100입니다. 엔티티에 대해 여러 레코드가 발견되면 작업에서 평균을 사용합니다. 활성 레코드가 우선순위를 갖습니다. 기본값: 50 |
| 오탐 상태 무시 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 작업은 거짓양성 상태를 무시하고 심각도 임곗값과 신뢰도 임곗값에 따라 항목을 의심스러운 것으로 표시합니다. 사용 중지된 경우 심각도 기준점 및 신뢰도 기준점 조건을 통과하는지 여부와 관계없이 작업에서 거짓양성 항목을 의심스러운 항목으로 라벨을 지정하지 않습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- URL
- 해시
- 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)
작업 결과
항목 보강
| 이름 | 로직 - 적용 시기 |
|---|---|
| id | JSON 결과에 존재하는 경우에 반환 |
| 상태 | JSON 결과에 존재하는 경우에 반환 |
| itype | JSON 결과에 존재하는 경우에 반환 |
| expiration_time | JSON 결과에 존재하는 경우에 반환 |
| ip | JSON 결과에 존재하는 경우에 반환 |
| feed_id | JSON 결과에 존재하는 경우에 반환 |
| 신뢰도 | JSON 결과에 존재하는 경우에 반환 |
| uuid | JSON 결과에 존재하는 경우에 반환 |
| retina_confidence | JSON 결과에 존재하는 경우에 반환 |
| trusted_circle_ids | JSON 결과에 존재하는 경우에 반환 |
| source | JSON 결과에 존재하는 경우에 반환 |
| 위도 | JSON 결과에 존재하는 경우에 반환 |
| 유형 | JSON 결과에 존재하는 경우에 반환 |
| 설명 | JSON 결과에 존재하는 경우에 반환 |
| tags | JSON 결과에 존재하는 경우에 반환 |
| threat_score | JSON 결과에 존재하는 경우에 반환 |
| source_confidence | JSON 결과에 존재하는 경우에 반환 |
| modification_time | JSON 결과에 존재하는 경우에 반환 |
| org_name | JSON 결과에 존재하는 경우에 반환 |
| asn | JSON 결과에 존재하는 경우에 반환 |
| creation_time | JSON 결과에 존재하는 경우에 반환 |
| tlp | JSON 결과에 존재하는 경우에 반환 |
| 국가 | JSON 결과에 존재하는 경우에 반환 |
| longitude | JSON 결과에 존재하는 경우에 반환 |
| 줄이는 것을 | JSON 결과에 존재하는 경우에 반환 |
| 하위 유형 | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
JSON 결과
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Anomali ThreatStream: {entity.identifier}에서 다음 항목에 대한 정보를 성공적으로 반환했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Anomali ThreatStream: {entity.identifier}의 정보를 반환할 수 없습니다.' 모든 항목에 사용할 수 없는 경우 (is_success=false): '보강된 항목이 없습니다. 심각한 오류 (실패): '위협 정보 가져오기' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {오류 트레이스백}' |
일반 |
핑
Anomali ThreatStream에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
관련 연결 가져오기
Anomali ThreatStream에서 항목 관련 연결을 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 캠페인 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 캠페인과 세부정보를 가져옵니다. |
| 위협 게시판 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 위협 게시판과 세부정보를 가져옵니다. |
| 배우 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 행위자와 행위자에 관한 세부정보를 가져옵니다. |
| 공격 패턴 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 공격 패턴과 세부정보를 가져옵니다. |
| 조치 과정 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 조치 및 세부정보를 가져옵니다. |
| ID 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 ID와 세부정보를 가져옵니다. |
| 침해 사고 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 인시던트와 세부정보를 가져옵니다. |
| 인프라 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 인프라와 세부정보를 가져옵니다. |
| 침입 세트 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 침입 세트와 세부정보를 가져옵니다. |
| 멀웨어 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 멀웨어와 멀웨어에 관한 세부정보를 가져옵니다. |
| 서명 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 서명과 서명에 관한 세부정보를 가져옵니다. |
| 반품 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 도구와 도구에 관한 세부정보를 가져옵니다. |
| TTP 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 TTP와 세부정보를 가져옵니다. |
| 취약점 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 취약점과 세부정보를 가져옵니다. |
| 캠페인 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 캠페인 연결로 항목을 만듭니다. |
| 배우 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 행위자 연결로 항목을 만듭니다. |
| 서명 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 서명 연결로 항목을 만듭니다. |
| 취약점 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 취약점 연결을 기반으로 항목을 만듭니다. |
| 반환할 최대 연결 수 | 정수 | 5 | 아니요 | 유형별로 반환할 연결 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
JSON 결과
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간 연결이 하나 이상 발견된 경우 (is_success=true): 'Anomali에서 관련 연결을 가져왔습니다.' 연결을 찾을 수 없는 경우 (is_success=false): '관련 연결을 찾을 수 없습니다.' 비동기 메시지: '모든 연결 세부정보가 검색될 때까지 대기 중' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 연결 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: '관련 연결' 테이블 열:
|
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.