整合 Anomali 與 Google SecOps
本文說明如何將 Anomali 與 Google Security Operations (Google SecOps) 整合。
整合版本:12.0
事前準備
如要取得個人 API 金鑰,請完成下列步驟:
點選「My API Keys」(我的 API 金鑰)。
複製 API 金鑰值,並貼到 Google SecOps 的「Configure Instance」(設定執行個體) 對話方塊中,Api Key 參數欄位內。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://api.threatstream.com/api | 是 | Anomali 執行個體的地址。 |
| 使用者名稱 | 字串 | user@domain.com |
是 | 使用者電子郵件地址,用於連線至 Anomali。 |
| 密碼 | 密碼 | 不適用 | 是 | 相應使用者的密碼。 |
| API 金鑰 | 字串 | 不適用 | 是 | 在 AlienVault 控制台中產生的 API 金鑰。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
取得威脅資訊
使用 Anomali ThreatStream 的資訊擴充實體。支援的實體: IP、網址、雜湊、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 限制 | 字串 | 10 | 是 | 指定每個實體要傳回的記錄數。 |
| 嚴重性門檻 | DDL | 中 可能的值包括:
|
否 | 指定實體的嚴重程度門檻,以便將其標示為可疑。如果系統為同一實體找到多筆記錄,則會根據所有可用記錄中嚴重程度最高的記錄採取行動。 |
| 可信度門檻 | 整數 | 50 | 否 | 指定實體的可信度門檻,以標示為可疑。注意:最多可輸入 100 個。如果系統找到多筆實體記錄,動作會取平均值。有效記錄的優先順序較高。預設值為 50。 |
| 忽略誤判狀態 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會忽略誤判為陽性的狀態,並根據嚴重程度和信賴度門檻,將實體標示為可疑。如果停用,無論實體是否通過嚴重程度門檻和信賴度門檻條件,動作一律不會將偽陽性實體標示為可疑。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- 網址
- 雜湊
- 電子郵件地址 (符合電子郵件規則運算式的使用者實體)
動作結果
實體充實
| 名稱 | 邏輯 - 應用時機 |
|---|---|
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| itype | 如果 JSON 結果中存在該值,則傳回該值 |
| expiration_time | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| feed_id | 如果 JSON 結果中存在該值,則傳回該值 |
| 信賴度 | 如果 JSON 結果中存在該值,則傳回該值 |
| uuid | 如果 JSON 結果中存在該值,則傳回該值 |
| retina_confidence | 如果 JSON 結果中存在該值,則傳回該值 |
| trusted_circle_ids | 如果 JSON 結果中存在該值,則傳回該值 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值 |
| latitude | 如果 JSON 結果中存在該值,則傳回該值 |
| 類型 | 如果 JSON 結果中存在該值,則傳回該值 |
| 說明 | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| threat_score | 如果 JSON 結果中存在該值,則傳回該值 |
| source_confidence | 如果 JSON 結果中存在該值,則傳回該值 |
| modification_time | 如果 JSON 結果中存在該值,則傳回該值 |
| org_name | 如果 JSON 結果中存在該值,則傳回該值 |
| asn | 如果 JSON 結果中存在該值,則傳回該值 |
| creation_time | 如果 JSON 結果中存在該值,則傳回該值 |
| tlp | 如果 JSON 結果中存在該值,則傳回該值 |
| 國家/地區 | 如果 JSON 結果中存在該值,則傳回該值 |
| longitude | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重性 | 如果 JSON 結果中存在該值,則傳回該值 |
| 子類型 | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 結果
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Info": [{
"source_created": null,
"status": "inactive",
"itype": "mal_domain",
"expiration_ts": "2020-11-28T13:29:57.000Z",
"ip": "192.0.2.1",
"is_editable": false,
"feed_id": 1111111,
"update_id": 1111111111,
"longitude": -0.1223454,
"is_public": true,
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 11111,
"uuid": "UUID",
"retina_confidence": 1111111,
"trusted_circle_ids": null,
"id": 111111111111111110000,
"source": "COVID19 Cyber Threat Coalition Blocklist - Domains",
"owner_organization_id": 111,
"import_session_id": null,
"source_modified": null,
"type": "domain",
"sort": [1607193157800, "56224953198"],
"description": null,
"tags": [{
"id": "wu6",
"name": "Blocklist"
}, {
"id": "pvj",
"name": "Coronavirus"
}, {
"id": "01i",
"name": "COVID-19"
}, {
"id": "o70",
"name": "Malicious"
}, {
"id": "fk0",
"name": "Source:COVID19-Cyber-Threat-Coalition"
}],
"threatscore": 11111,
"source_reported_confidence": 11111,
"modified_ts": "2020-12-05T18:32:37.800Z",
"org": "Namecheap",
"asn": "11111111",
"created_ts": "2020-10-29T13:33:24.904Z",
"tlp": null,
"is_anonymous": false,
"latitude": 51.4964,
"country": "GB",
"can_add_public_tags": false,
"value": "VALUE",
"subtype": null,
"meta": {
"registration_updated": "2020-10-24T22:16:59+00:00",
"detail2": "bifocals_deactivated_on_2020-12-05_18:30:00.085789",
"severity": "high",
"registration_created": "2020-10-24T22:16:42+00:00"
},
"resource_uri": "/api/v2/intelligence/"
}],
"Campaigns": [{
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.200283",
"from_id": "ID"
}],
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-15T04:24:55.428496",
"end_date": "2020-03-23T16:05:00.761000",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_public": true,
"modified_ts": "2021-02-02T02:38:19.892072",
"name": "Coronavirus (COVID-19)",
"objective": null,
"organization": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"publication_status": "published",
"published_ts": "2020-04-06T21:40:24.452312",
"resource_uri": "/api/v1/campaign/",
"source_created": null,
"source_modified": null,
"start_date": "2020-01-30T13:10:00.070000",
"status": {
"display_name": "Ongoing",
"id": 1,
"resource_uri": "/api/v1/campaignstatus/1/"
},
"tags": ["Malware", "Fraud", "Phishing", "COVID-19", "Coronavirus", "Scams"],
"tags_v2": [{
"id": "wqe",
"name": "Coronavirus"
}, {
"id": "hlg",
"name": "COVID-19"
}, {
"id": "74i",
"name": "Phishing"
}, {
"id": "0y2",
"name": "Malware"
}, {
"id": "u63",
"name": "Scams"
}, {
"id": "1er",
"name": "Fraud"
}],
"tlp": "white",
"uuid": "UUID",
"workgroups": []
}],
"Tip": [{
"all_circles_visible": true,
"association_info": [{
"comment": null,
"created": "2020-10-29T13:33:29.212118",
"from_id": "ID"
}],
"body_content_type": "richtext",
"campaign": null,
"can_add_public_tags": true,
"circles": [],
"created_ts": "2020-03-19T04:23:35.714929",
"feed_id": 0,
"id": "ID",
"is_anonymous": true,
"is_cloneable": "yes",
"is_editable": true,
"is_email": false,
"is_public": true,
"modified_ts": "2021-02-02T02:38:20.061912",
"name": "Coronavirus (COVID-19) Cyber Threats",
"original_source": null,
"original_source_id": null,
"owner_org": {
"id": 0,
"name": "Analyst",
"title": "Analyst"
},
"parent": null,
"published_ts": "2020-05-25T18:39:36.890647",
"resource_uri": "/api/v1/ID/",
"source_created": null,
"source_modified": null,
"starred_by_me": false,
"starred_total_count": 5,
"status": "published",
"tags": ["Scams", "HCL-", "Malware"],
"tags_v2": [{
"id": "ID",
"name": "Coronavirus"
}, {
"id": "ID",
"name": "COVID-19"
}, {
"id": "ID",
"name": "Phishing"
}],
"threat_actor": null,
"tlp": "white",
"ttp": null,
"uuid": "UUID",
"votes": {
"me": null,
"total": 0
},
"watched_by_me": false,
"watched_total_count": 11111,
"workgroups": []
}],
"Actors": [],
"Incidents": [],
"TTP": []
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果某個實體有可用資料 (is_success=true):「Successfully returned information about the following entities from Anomali ThreatStream: {entity.identifier}」(已從 Anomali ThreatStream 成功傳回下列實體的資訊:{entity.identifier}) 如果某個實體沒有可用資料 (is_success=true):「Action wasn't able to return information about the following entities from Anomali ThreatStream: {entity.identifier}」(動作無法從 Anomali ThreatStream 傳回下列實體的資訊:{entity.identifier}) 如果並非所有實體都適用 (is_success=false):「No entities were enriched. 重大錯誤 (失敗):執行「取得威脅資訊」動作時發生錯誤。原因:{error traceback}」 |
一般 |
乒乓
測試與 Anomali ThreatStream 的連線。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
取得相關聯結
從 Anomali ThreatStream 擷取實體相關聯結。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 退回活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會擷取相關廣告活動和詳細資料。 |
| Return Threat Bulletins | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關的威脅公告和詳細資料。 |
| Return Actors | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關聯的演員和詳細資料。 |
| 回覆攻擊模式 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關的攻擊模式和詳細資料。 |
| 傳回安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關的行動方案和詳細資料。 |
| 傳回身分 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作就會擷取相關身分和詳細資料。 |
| 退貨事件 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關事件和詳細資料。 |
| 退回基礎架構 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作就會擷取相關基礎架構和詳細資料。 |
| 傳回入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作就會擷取相關的入侵集合及其詳細資料。 |
| 退回惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關惡意軟體和詳細資料。 |
| 傳回簽章 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會擷取相關簽章和詳細資料。 |
| 退貨工具 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關工具和詳細資料。 |
| 傳回 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關 TTP 和詳細資料。 |
| 傳回安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關的安全性弱點和詳細資料。 |
| 建立廣告活動實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會根據可用的廣告活動關聯建立實體。 |
| 建立 Actors 實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會根據可用的參與者關聯建立實體。 |
| 建立簽章實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會根據可用的簽章關聯建立實體。 |
| 建立安全漏洞實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會根據可用的安全漏洞關聯建立實體。 |
| 要傳回的關聯數量上限 | 整數 | 5 | 否 | 指定要傳回的每種關聯數量。 |
執行日期
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 電子郵件
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 結果
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且系統在實體中找到至少一個關聯 (is_success=true):「Successfully retrieved related associations from Anomali」(已成功從 Anomali 擷取相關聯結) 如果找不到任何關聯 (is_success=false):「No related associations were found.」 非同步訊息:「正在等待系統擷取所有關聯詳細資料」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『取得相關聯結』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:「相關聯結」 資料表資料欄:
|
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。