Integre o Anomali com o Google SecOps
Este documento descreve como integrar o Anomali com o Google Security Operations (Google SecOps).
Versão da integração: 12.0
Antes de começar
Para obter a sua chave da API pessoal, conclua os seguintes passos:
Inicie sessão na sua conta do Anomali ThreatStream.
Clique em As minhas chaves da API.
Copie o valor da chave da API e cole-o no campo do parâmetro da chave da API na caixa de diálogo Configurar instância no Google SecOps.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://api.threatstream.com/api | Sim | Endereço da instância do Anomali. |
| Nome de utilizador | String | user@domain.com |
Sim | O endereço de email do utilizador que deve ser usado para estabelecer ligação ao Anomali. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Chave de API | String | N/A | Sim | Chave da API gerada na consola do AlienVault. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Obtenha informações sobre ameaças
Enriqueça as entidades com informações do Anomali ThreatStream. Entidades suportadas: IP, URL, hash, endereços de email (entidades de utilizador que correspondem à regex de email).
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | String | 10 | Sim | Especifique quantos registos devolver por entidade. |
| Limite de gravidade | LDD | Médio Valores possíveis:
|
Não | Especifique qual deve ser o limite de gravidade para a entidade, de modo a marcá-la como suspeita. Se forem encontrados vários registos para a mesma entidade, a ação vai ter a gravidade mais elevada de todos os registos disponíveis. |
| Limite de confiança | Número inteiro | 50 | Não | Especifique qual deve ser o limiar de confiança para a entidade, de modo a marcá-la como suspeita. Nota: o máximo é 100. Se forem encontrados vários registos para a entidade, a ação vai usar a média. Os registos ativos têm prioridade. Predefinição: 50. |
| Ignore o estado de falso positivo | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação ignora o estado de falso positivo e marca a entidade como suspeita com base no limite de gravidade e no limite de confiança. Se estiver desativada, a ação nunca etiqueta entidades de falsos positivos como suspeitas, independentemente de cumprirem ou não as condições de limite de gravidade e limite de confiança. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Hash
- Moradas de email (entidades de utilizadores que correspondem à regex de email)
Resultados da ação
Enriquecimento de entidades
| Nome | Lógica: quando aplicar |
|---|---|
| id | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| itype | Devolve se existir no resultado JSON |
| expiration_time | Devolve se existir no resultado JSON |
| ip | Devolve se existir no resultado JSON |
| feed_id | Devolve se existir no resultado JSON |
| confiança | Devolve se existir no resultado JSON |
| uuid | Devolve se existir no resultado JSON |
| retina_confidence | Devolve se existir no resultado JSON |
| trusted_circle_ids | Devolve se existir no resultado JSON |
| fonte | Devolve se existir no resultado JSON |
| latitude | Devolve se existir no resultado JSON |
| escrever | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| etiquetas | Devolve se existir no resultado JSON |
| threat_score | Devolve se existir no resultado JSON |
| source_confidence | Devolve se existir no resultado JSON |
| modification_time | Devolve se existir no resultado JSON |
| org_name | Devolve se existir no resultado JSON |
| asn | Devolve se existir no resultado JSON |
| creation_time | Devolve se existir no resultado JSON |
| tlp | Devolve se existir no resultado JSON |
| country | Devolve se existir no resultado JSON |
| longitude | Devolve se existir no resultado JSON |
| gravidade | Devolve se existir no resultado JSON |
| subtype | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Resultado JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se os dados estiverem disponíveis para uma entidade (is_success=true): "Successfully returned information about the following entities from Anomali ThreatStream: {entity.identifier}" (Foram devolvidas com êxito informações sobre as seguintes entidades do Anomali ThreatStream: {entity.identifier}) Se não estiverem disponíveis dados para uma entidade (is_success=true): "A ação não conseguiu devolver informações sobre as seguintes entidades do Anomali ThreatStream: {entity.identifier}" Se não estiver disponível para todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida. Erro crítico (falha): erro ao executar a ação "Obter informações sobre ameaças". Motivo: {error traceback}" |
Geral |
Tchim-tchim
Teste a conetividade ao Anomali ThreatStream.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Obtenha associações relacionadas
Obtenha associações relacionadas com entidades do Anomali ThreatStream.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campanhas de retorno | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter campanhas relacionadas e detalhes sobre as mesmas. |
| Devolver boletins de ameaças | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter boletins de ameaças relacionados e detalhes sobre os mesmos. |
| Return Actors | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter atores relacionados e detalhes sobre os mesmos. |
| Padrões de ataque de retorno | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter padrões de ataque relacionados e detalhes sobre os mesmos. |
| Devolva cursos de ação | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter cursos de ação relacionados e detalhes sobre os mesmos. |
| Identidades de retorno | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter identidades relacionadas e detalhes sobre as mesmas. |
| Incidentes de devolução | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter incidentes relacionados e detalhes sobre os mesmos. |
| Infraestrutura de devolução | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter a infraestrutura relacionada e os respetivos detalhes. |
| Devolva conjuntos de intrusão | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter conjuntos de intrusão relacionados e detalhes sobre os mesmos. |
| Software malicioso de retorno | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter software malicioso relacionado e detalhes sobre o mesmo. |
| Assinaturas de devolução | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter assinaturas relacionadas e detalhes sobre as mesmas. |
| Ferramentas de devolução | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter ferramentas relacionadas e detalhes sobre as mesmas. |
| Devolva TTPs | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter TTPs relacionados e detalhes sobre os mesmos. |
| Vulnerabilidades de devolução | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação vai obter vulnerabilidades relacionadas e detalhes sobre as mesmas. |
| Criar entidade de campanha | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação cria uma entidade a partir das associações de campanhas disponíveis. |
| Crie uma entidade de atores | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação cria uma entidade a partir das associações de atores disponíveis. |
| Crie uma entidade de assinatura | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação cria uma entidade a partir das associações de assinaturas disponíveis. |
| Crie uma entidade de vulnerabilidade | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação cria uma entidade a partir das associações de vulnerabilidades disponíveis. |
| Número máximo de associações a devolver | Número inteiro | 5 | Não | Especifique o número de associações a devolver por tipo. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Resultado JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrada, pelo menos, uma associação entre entidades (is_success=true): "Associações relacionadas obtidas com êxito a partir do Anomali" Se não forem encontradas associações (is_success=false): "Não foram encontradas associações relacionadas." Mensagem assíncrona: "A aguardar a obtenção de todos os detalhes da associação" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: "Associações relacionadas" Colunas da tabela:
|
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.