Integrar o Anomali ao Google SecOps
Neste documento, descrevemos como integrar o Anomali ao Google Security Operations (Google SecOps).
Versão da integração: 12.0
Antes de começar
Para conseguir sua chave de API pessoal, siga estas etapas:
Faça login na sua conta do Anomali ThreatStream.
Clique em Minhas chaves de API.
Copie o valor da chave de API e cole-o no campo de parâmetro "Chave de API" na caixa de diálogo Configurar instância no Google SecOps.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://api.threatstream.com/api | Sim | Endereço da instância do Anomali. |
| Nome de usuário | String | user@domain.com |
Sim | O endereço de e-mail do usuário que deve ser usado para se conectar à Anomali. |
| Senha | Senha | N/A | Sim | A senha do usuário correspondente. |
| Chave da API | String | N/A | Sim | Chave de API gerada no console do AlienVault. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Receber informações sobre ameaças
Aprimorar entidades usando informações do Anomali ThreatStream. Entidades compatíveis: IP, URL, hash, endereços de e-mail (entidades de usuário que correspondem à regex de e-mail).
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | String | 10 | Sim | Especifique quantos registros retornar por entidade. |
| Limite de gravidade | DDL | Médio Valores possíveis:
|
Não | Especifique qual deve ser o limite de gravidade para a entidade, a fim de marcá-la como suspeita. Se vários registros forem encontrados para a mesma entidade, a ação vai considerar a gravidade mais alta entre todos os registros disponíveis. |
| Limite de confiança | Número inteiro | 50 | Não | Especifique qual deve ser o limite de confiança para a entidade, a fim de marcá-la como suspeita. Observação: o máximo é 100. Se vários registros forem encontrados para a entidade, a ação vai usar a média. Os registros ativos têm prioridade. Padrão: 50. |
| Ignorar status de falso positivo | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai ignorar o status de falso positivo e marcar a entidade como suspeita com base nos limites de gravidade e confiança. Se desativada, a ação nunca vai rotular entidades de falso positivo como suspeitas, mesmo que elas atendam ou não às condições de limite de gravidade e de confiança. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Hash
- Endereços de e-mail (entidades de usuário que correspondem à regex de e-mail)
Resultados da ação
Enriquecimento de entidade
| Nome | Lógica: quando aplicar |
|---|---|
| ID | Retorna se ele existe no resultado JSON |
| status | Retorna se ele existe no resultado JSON |
| itype | Retorna se ele existe no resultado JSON |
| expiration_time | Retorna se ele existe no resultado JSON |
| ip | Retorna se ele existe no resultado JSON |
| feed_id | Retorna se ele existe no resultado JSON |
| confiança | Retorna se ele existe no resultado JSON |
| uuid | Retorna se ele existe no resultado JSON |
| retina_confidence | Retorna se ele existe no resultado JSON |
| trusted_circle_ids | Retorna se ele existe no resultado JSON |
| source | Retorna se ele existe no resultado JSON |
| latitude | Retorna se ele existe no resultado JSON |
| tipo | Retorna se ele existe no resultado JSON |
| descrição | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| threat_score | Retorna se ele existe no resultado JSON |
| source_confidence | Retorna se ele existe no resultado JSON |
| modification_time | Retorna se ele existe no resultado JSON |
| org_name | Retorna se ele existe no resultado JSON |
| asn | Retorna se ele existe no resultado JSON |
| creation_time | Retorna se ele existe no resultado JSON |
| tlp | Retorna se ele existe no resultado JSON |
| país | Retorna se ele existe no resultado JSON |
| longitude | Retorna se ele existe no resultado JSON |
| gravidade, | Retorna se ele existe no resultado JSON |
| subtype | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Resultado JSON
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se os dados estiverem disponíveis para uma entidade (is_success=true): "As informações sobre as seguintes entidades do Anomali ThreatStream foram retornadas: {entity.identifier}" Se não houver dados disponíveis para uma entidade (is_success=true): "A ação não conseguiu retornar informações sobre as seguintes entidades do Anomali ThreatStream: {entity.identifier}" Se não estiver disponível para todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida. Erro crítico (falha): erro ao executar a ação "Receber informações sobre ameaças". Motivo: {error traceback}" |
Geral |
Ping
Teste a conectividade com o Anomali ThreatStream.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Receber associações relacionadas
Recupere associações relacionadas a entidades do Anomali ThreatStream.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campanhas de devolução | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar campanhas relacionadas e detalhes sobre elas. |
| Retornar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar boletins de ameaças relacionados e detalhes sobre eles. |
| Retornar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar atores relacionados e detalhes sobre eles. |
| Retornar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar padrões de ataque relacionados e detalhes sobre eles. |
| Retornar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar cursos de ação relacionados e detalhes sobre eles. |
| Retornar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar identidades relacionadas e detalhes sobre elas. |
| Retornar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar incidentes relacionados e detalhes sobre eles. |
| Infraestrutura de devolução | Caixa de seleção | Selecionado | Não | Se ativado, o comando vai buscar a infraestrutura relacionada e os detalhes dela. |
| Retornar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar conjuntos de intrusão relacionados e detalhes sobre eles. |
| Retornar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar malwares relacionados e detalhes sobre eles. |
| Retornar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar assinaturas relacionadas e detalhes sobre elas. |
| Ferramentas de devolução | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar ferramentas relacionadas e detalhes sobre elas. |
| TTPs de retorno | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar TTPs relacionados e detalhes sobre eles. |
| Retornar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar vulnerabilidades relacionadas e detalhes sobre elas. |
| Criar entidade de campanha | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai criar uma entidade com base nas associações de campanha disponíveis. |
| Criar entidade de atores | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai criar uma entidade com base nas associações de ator disponíveis. |
| Criar entidade de assinatura | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai criar uma entidade com base nas associações de assinatura disponíveis. |
| Criar entidade de vulnerabilidade | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai criar uma entidade com base nas associações de vulnerabilidade disponíveis. |
| Número máximo de associações a serem retornadas | Número inteiro | 5 | Não | Especifique quantas associações retornar por tipo. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Resultado JSON
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma associação entre entidades for encontrada (is_success=true): "Associações relacionadas do Anomali recuperadas com sucesso" Se nenhuma associação for encontrada (is_success=false): "Nenhuma associação relacionada foi encontrada". Mensagem assíncrona: "Aguardando a recuperação de todos os detalhes da associação" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: "Associações relacionadas" Colunas da tabela:
|
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.