Diese Seite wurde von der Cloud Translation API übersetzt.

BlueLiv

Integrationsversion: 8.0

Integrationsleitfaden

Der Zweck der Integration besteht darin, die Bedrohungen von BlueLiv über den Threats Connector in Google Security Operations aufzunehmen und dabei die relevanten Filter zu verwenden, um nur die gewünschten Bedrohungen anzuzeigen. Anschließend sollen gemäß den relevanten Anwendungsfällen zusätzliche Maßnahmen für diese Bedrohungen ergriffen werden.

In diesem Kurzanleitung gehen wir auf einige Punkte ein, die die Nutzung der Integration für Google SecOps-Kunden erleichtern.

Konfiguration der Integration

Wir gehen die Parameter durch und zeigen Ihnen, wo Sie sie finden, damit Sie die Integration einfacher konfigurieren können:

API-Stamm: Dies ist die URL, die Sie zum Aufrufen der BlueLiv-Startseite verwenden, wenn das Suffix /api/v2 angehängt wird. Beispiel: https://tcdach.blueliv.com/api/v2 sollte der Wert für diesen Parameter sein.
Nutzername: derselbe Nutzername, den Sie für die Verbindung mit der BlueLiv-Startseite verwenden.
Passwort: Das Passwort, das Sie für die Verbindung zur BlueLiv-Startseite verwenden.
Organisations-ID: Sie finden die Organisations-ID ganz einfach in der URL, die Sie zum Aufrufen des Produkts verwenden, z. B.:

In diesem Beispiel ist die Organisations-ID 117:

https://tcdach.blueliv.com/dashboard/organizations/117/indexed

Nachdem wir die Integrationsparameter durchgegangen sind, können wir uns die anderen Begriffe in unserer Integration genauer ansehen.

Modultypen

BlueLiv hat den Abschnitt „Bedrohungen“ in Modultypen unterteilt. Bei dieser Integration verwenden wir diese Typen, um die SOAR-Plattform zu unterstützen und nur die relevanten Informationen aufzunehmen, wenn Sie nach Modultyp filtern möchten. Die folgenden Modultypen sind derzeit in BlueLiv verfügbar:

Anmeldedaten
Soziale Medien
Kreditkarten
Domainschutz
Malware
Datenleck
Hacktivismus
Dark Web
Benutzerdefiniert
Media Tracker
Mobile Apps

Bedrohungs-ID und Modul-ID

https://tcdach.blueliv.com/dashboard/organizations/117/modules/1303/resource/31024379

Jede Bedrohung, die Sie in BlueLiv finden, hat eine UID, eine Nummer, die sie repräsentiert. Diese ist auch leicht in der URL zu erkennen. Eine Bedrohung wird auch als Ressource bezeichnet. Hier ist die UID der Bedrohung beispielsweise 31024379.

Außerdem hat jedes Modul, das Sie auf BlueLiv haben, eine UID, eine Nummer, die es repräsentiert. Hier ist die UID der Bedrohung beispielsweise 1303.

Empfehlung zur Konfiguration

Blueliv lässt jeweils nur eine offene Sitzung zu. Aus Stabilitätsgründen empfiehlt es sich, für die Integrationskonfiguration und die Connectors unterschiedliche Nutzer zu verwenden. Hinweis: Für jeden Connector ist ein separater Nutzer erforderlich.

Anwendungsbereiche

Proaktives Monitoring von Cyberbedrohungen
Markenschutz
Schutz vor Datenpannen
Betrugsprävention
Fälschungserkennung

BlueLiv-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
API-Stamm	String	https://example .blueliv.com/api/v2	Ja	API-Stammverzeichnis der BlueLiv-Instanz.
Nutzername	String	–	Ja	Nutzername von BlueLiv.
Passwort	Passwort	–	Ja	Passwort des Nutzers
Organisations-ID	String	–	Ja	Organisations-ID für BlueLiv angeben
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum IronScales-Server gültig ist.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu BlueLiv mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn beide API-Aufrufe erfolgreich waren: „Die Verbindung zum BlueLiv-Server mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nur der erste Anruf erfolgreich war und der zweite nicht: „Die Anmeldung mit dem Nutzernamen und dem Passwort war erfolgreich, aber die Organisations-ID scheint nicht korrekt zu sein. Prüfen Sie den Parameter „Organisations-ID“ auf der Seite „Integrationskonfiguration“ und versuchen Sie es noch einmal. Wenn das nicht funktioniert: „Verbindung zu BlueLiv konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn beide API-Aufrufe erfolgreich waren: „Die Verbindung zum BlueLiv-Server mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn nur der erste Anruf erfolgreich war und der zweite nicht: „Die Anmeldung mit dem Nutzernamen und dem Passwort war erfolgreich, aber die Organisations-ID scheint nicht korrekt zu sein. Prüfen Sie den Parameter „Organisations-ID“ auf der Seite „Integrationskonfiguration“ und versuchen Sie es noch einmal.

Wenn das nicht funktioniert: „Verbindung zu BlueLiv konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus dem Modul „Threat Context“ von Blueliv anreichern. Unterstützte Entitäten: IP, Hash, URL, Hackergruppe, Bedrohungskampagne, Bedrohungssignatur, Domain, CVE.

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Niedrigster Wert, ab dem als verdächtig markiert wird	5	Ja	Geben Sie an, welcher Wert mindestens erreicht werden muss, damit die Entität als verdächtig markiert wird. Maximal: 10.
Insight erstellen	Wahr	Nein	Wenn diese Option aktiviert ist, werden durch die Aktion Statistiken mit Informationen zu Entitäten erstellt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hash
URL
Bedrohungsakteur
Bedrohungskampagne
Bedrohungssignatur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

Fall-Repository

Case	Erfolg	Fehler	Meldung
Einige Entitäten wurden angereichert.	wahr	falsch	Die folgenden Entitäten wurden mit Informationen von Blueliv angereichert: {entity.identifier}
Wenn nicht angereichert,	wahr	falsch	Die Aktion konnte die folgenden Entitäten nicht mit Informationen von Blueliv anreichern: {entity.identifier}
wenn nicht alle	falsch	falsch	Es wurden keine Entitäten mit Informationen von Blueliv angereichert.
Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis	falsch	wahr	Fehler beim Ausführen der Aktion „Entitäten anreichern“. Grund: {error traceback}
Wenn das Modul „Bedrohungskontext“ nicht verfügbar ist	falsch	Wahr	Fehler beim Ausführen der Aktion „Entitäten anreichern“. Grund: Ihre Instanz unterstützt das Modul „Threat Context“ nicht.

Kommentar zu einer Bedrohung hinzufügen

Beschreibung

Durch die Aktion wird einem bestimmten Risiko ein gewünschter Textkommentar hinzugefügt.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Modultyp	String	–	Ja	Geben Sie den Modultyp an, zu dem die Ressource gehört.
Modul-ID	String	–	Ja	Geben Sie die Modul-ID an, zu der die Ressource gehört.
Ressourcen-ID	String	–	Ja	Geben Sie die Ressourcen-ID an, der Sie den Kommentar hinzufügen möchten.
Kommentartext	String	–	Ja	Geben Sie den Kommentar an, den Sie der Ressource hinzufügen möchten.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Der Kommentar wurde der Bedrohungs-ID “+{threat_ID}“ hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Failed to perform action ‚Add Comment to a Threat {0}‘.format(exception.stacktrace)“ (Aktion „Kommentar zu einer Bedrohung {0} hinzufügen“ konnte nicht ausgeführt werden.format(exception.stacktrace))	Allgemein
Tabelle „Fall-Repository“	Name: „Threat ID “+{threat_id}+“ Comments: Spalte: Kommentarzeile Kommentar-ID Inhalt Erstellungsdatum Kommentator

Ergebnistyp

Wert/Beschreibung

Type (Entity \ General) (Typ (Entität \ Allgemein))

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Der Kommentar wurde der Bedrohungs-ID “+{threat_ID}“ hinzugefügt.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn nicht erfolgreich: „Failed to perform action ‚Add Comment to a Threat {0}‘.format(exception.stacktrace)“ (Aktion „Kommentar zu einer Bedrohung {0} hinzufügen“ konnte nicht ausgeführt werden.format(exception.stacktrace))

Allgemein

Tabelle „Fall-Repository“

Name: „Threat ID “+{threat_id}+“ Comments:

Spalte:

Kommentarzeile
Kommentar-ID
Inhalt
Erstellungsdatum
Kommentator

Bedrohung als Favorit markieren

Beschreibung

Durch die Aktion wird die angegebene Bedrohung in BlueLiv als Favoritenbedrohung markiert.

Parameter

Anzeigename des Parameters	Typ	Standardwert	DDL-Werte	Pflichtfeld	Beschreibung
Modultyp	String	–		Ja	Geben Sie den Modultyp an, zu dem die Ressource gehört.
Modul-ID	String	–		Ja	Geben Sie die Modul-ID an, zu der die Ressource gehört.
Ressourcen-ID	String	–		Ja	Geben Sie die Ressourcen-ID an, der Sie den Kommentar hinzufügen möchten.
Lieblingsstatus	DDL	Vom Nutzer mit Sternchen markiert	Nicht markiert Vom Nutzer mit Sternchen markiert Gruppe markiert Vollständig markiert	Ja	Geben Sie den Favoritenstatus an, den Sie auf die angegebene Bedrohung anwenden möchten.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Bedrohungs-ID: “+{threat_ID}+“ wurde als Favorit markiert“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Aktion ‚Bedrohung als Favorit markieren‘ konnte nicht ausgeführt werden {0}.format(exception.stacktrace)“	Allgemein

Ergebnistyp

Wert/Beschreibung

Type (Entity \ General) (Typ (Entität \ Allgemein))

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Bedrohungs-ID: “+{threat_ID}+“ wurde als Favorit markiert“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn das nicht funktioniert: „Aktion ‚Bedrohung als Favorit markieren‘ konnte nicht ausgeführt werden {0}.format(exception.stacktrace)“

Allgemein

Labels zu Bedrohungen hinzufügen

Beschreibung

Durch die Aktion wird den angegebenen Bedrohungs-IDs der angegebene Labelname hinzugefügt.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Modultyp	String	–	Ja	Geben Sie den Modultyp an, zu dem die Ressource gehört.
Modul-ID	String	–	Ja	Geben Sie die Modul-ID an, zu der die Ressource gehört.
Ressourcen-ID	String	–	Ja	Geben Sie die Ressourcen-IDs in einer durch Kommas getrennten Liste an, denen die Labels hinzugefügt werden sollen.
Labelnamen	String	–	Ja	Geben Sie die Labelnamen an, die Sie auf die angegebenen Bedrohungen anwenden möchten, in einer durch Kommas getrennten Liste. Achten Sie auf die Groß- und Kleinschreibung.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn einige Labels nicht gefunden wurden: „Die folgenden Labels wurden in BlueLiv nicht gefunden: +(unsuccessful_label names_list)+. Bitte überprüfen Sie die Labelnamen, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.“ Wenn einige Bedrohungen nicht gefunden wurden: „Die folgenden Bedrohungen wurden in BlueLiv nicht gefunden: +(unsuccessful_threat_IDs)+. Bitte prüfen Sie die in den Aktionsparametern angegebenen Bedrohungs-IDs und versuchen Sie es noch einmal.“ Bei Erfolg: „Die folgenden Labels wurden hinzugefügt:“ +(successful_label_names_list)+ „zu den folgenden Bedrohungs-IDs:“ +(successful_threat_IDs_list) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn keine Labels gefunden wurden: „Die folgenden Labels wurden in BlueLiv nicht gefunden: +(unsuccessful_label names_list)+. Bitte prüfen Sie die Labelnamen, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.“ Wenn keine Bedrohungen gefunden wurden: „Couldn't find any of the following Threats in BlueLiv“:+(unsuccessful_threat_IDs_list)+“. Please check the threat IDs you have provided in the action parameters and try again“ (Die folgenden Bedrohungen konnten in BlueLiv nicht gefunden werden: +(unsuccessful_threat_IDs_list)+. Bitte prüfen Sie die Bedrohungs-IDs, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.) Wenn nicht erfolgreich: „Failed to perform action ‚Add Labels to Threats‘.format(exception.stacktrace)“	Allgemein

Ergebnistyp

Wert/Beschreibung

Type (Entity \ General) (Typ (Entität \ Allgemein))

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn einige Labels nicht gefunden wurden: „Die folgenden Labels wurden in BlueLiv nicht gefunden: +(unsuccessful_label names_list)+. Bitte überprüfen Sie die Labelnamen, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.“

Wenn einige Bedrohungen nicht gefunden wurden: „Die folgenden Bedrohungen wurden in BlueLiv nicht gefunden: +(unsuccessful_threat_IDs)+. Bitte prüfen Sie die in den Aktionsparametern angegebenen Bedrohungs-IDs und versuchen Sie es noch einmal.“

Bei Erfolg: „Die folgenden Labels wurden hinzugefügt:“ +(successful_label_names_list)+ „zu den folgenden Bedrohungs-IDs:“ +(successful_threat_IDs_list)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn keine Labels gefunden wurden: „Die folgenden Labels wurden in BlueLiv nicht gefunden: +(unsuccessful_label names_list)+. Bitte prüfen Sie die Labelnamen, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.“

Wenn keine Bedrohungen gefunden wurden: „Couldn't find any of the following Threats in BlueLiv“:+(unsuccessful_threat_IDs_list)+“. Please check the threat IDs you have provided in the action parameters and try again“ (Die folgenden Bedrohungen konnten in BlueLiv nicht gefunden werden: +(unsuccessful_threat_IDs_list)+. Bitte prüfen Sie die Bedrohungs-IDs, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.)

Wenn nicht erfolgreich: „Failed to perform action ‚Add Labels to Threats‘.format(exception.stacktrace)“

Allgemein

Labels aus Bedrohungen entfernen

Beschreibung

Durch die Aktion werden die angegebenen Labels aus den angegebenen Threat-IDs entfernt.

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Modultyp	–	Ja	Geben Sie den Modultyp an, zu dem die Ressource gehört.
Modul-ID		Ja	Modul-ID angeben, zu der die Ressource gehört
Ressourcen-ID		Ja	Geben Sie eine durch Kommas getrennte Liste der Ressourcen-IDs an, aus denen Sie Labels entfernen möchten.
Labelnamen		Ja	Geben Sie eine durch Kommas getrennte Liste der Labels an, die entfernt werden müssen. Achten Sie auf die Groß- und Kleinschreibung.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Case	Erfolg	Fehler	Meldung
Wenn einige Labels nicht gefunden wurden	wahr	falsch	„Die folgenden Labels wurden in BlueLiv nicht gefunden: \n {labels}. Prüfen Sie die Labelnamen, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.“
Wenn einige Bedrohungen nicht gefunden wurden	wahr	falsch	Die folgenden Bedrohungen aus dem Modul {module} {threat IDs} konnten nicht gefunden werden: {threat IDs}. Überprüfen Sie die Threat-IDs, die Sie in den Aktionsparametern angegeben haben, und versuchen Sie es noch einmal.
Wenn die Funktion für einige Nutzer erfolgreich ist:	wahr	falsch	Die folgenden Labels wurden erfolgreich aus der folgenden Bedrohung {threat ID} in Blueliv entfernt: {successful_labels}
Wenn einige noch nicht angewendet wurden:	wahr	falsch	Die folgenden Labels waren bereits nicht Teil der Bedrohung {threat ID} in Blueliv: {labels already not a part}
Wenn keine Labels gefunden werden	falsch	wahr	Fehler beim Ausführen der Aktion „Labels aus Bedrohungen entfernen“. Grund: Keines der Labels wurde gefunden. Bitte überprüfen Sie die Rechtschreibung.
Wenn keine Bedrohungen gefunden wurden	falsch	wahr	Fehler beim Ausführen der Aktion „Labels aus Bedrohungen entfernen“. Grund: Keine der Bedrohungen wurde gefunden. Bitte überprüfen Sie die Rechtschreibung.
Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis	falsch	wahr	Fehler beim Ausführen der Aktion „Labels aus Bedrohungen entfernen“. Grund: {error traceback}
Wenn Modultyp oder ‑ID ungültig ist	falsch	wahr	Fehler beim Ausführen der Aktion „Labels aus Bedrohungen entfernen“. Grund: Es wurde eine ungültige Modul-ID oder ein ungültiger Modultyp angegeben.

Entitätsbedrohungen auflisten

Beschreibung

Bedrohungen im Zusammenhang mit Entitäten in Blueliv auflisten. Unterstützte Entitäten: alle.

Bekannte Einschränkungen

Die Blueliv API gibt möglicherweise keine Ergebnisse zurück, auch wenn der String exakt mit dem Namen der Bedrohung übereinstimmt. Hier ein Beispiel:

https://pastebin.com/YRkUCLGc – Die URL wird angezeigt, wenn mit dem Keyword „pastebin“ gesucht wird.

https://pastebin.com/YRkUCLGc wird bei der Suche mit dem Keyword „https://pastebin.com/YRkUCLGc“ nicht angezeigt.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Labelfilter	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste mit Labels an, die zum Filtern von Bedrohungen verwendet werden. Hinweis: Der Label-Filter funktioniert mit der ODER-Logik.
Modulfilter	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Modulen an, die zum Filtern von Bedrohungen verwendet werden.
Maximale Anzahl zurückzugebender Bedrohungen	Ganzzahl	50	Nein	Geben Sie an, wie viele Bedrohungen pro Entität zurückgegeben werden sollen. Wenn nichts angegeben ist, werden 50 Bedrohungen zurückgegeben.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "id": xxxxxxx,
    "module_id": xxxx,
    "module_name": "Data Leakage",
    "module_short_name": "xxx-xxxxx",
    "module_type": "DATA_LEAKAGE",
    "url": "xxx",
    "content_type": "text/html",
    "countries_id": "xx",
    "analysis_result": "INFORMATIVE",
    "analysis_calc_result": "INFORMATIVE",
    "created_at": 1626163680000,
    "checked_at": 1626163680000,
    "changed_at": 1626163680000,
    "user_rating": 0,
    "read": true,
    "fav": "NOT_STARRED",
    "issued": false,
    "labels": [
        {
            "id": 36116,
            "name": "GithubCodeByFilename",
            "background_color": 16777215,
            "text_color": 0,
            "type": "GLOBAL"
        },
        {
            "id": 160,
            "name": "Public",
            "background_color": 45960,
            "text_color": 16777215,
            "type": "GLOBAL"
        }
    ],
    "tlpStatus": "AMBER",
    "searchPhrase": "credit card",
    "followedUp": false,
    "history": []
},

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Type (Entity \ General) (Typ (Entität \ Allgemein))
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success = true): „Successfully listed available threats to the following entities in Blueliv: {entity.identifier}“ (Die verfügbaren Bedrohungen für die folgenden Entitäten in Blueliv wurden erfolgreich aufgelistet: {entity.identifier}). Wenn keine Bedrohungen für eine Entität gefunden wurden (is_success=true): „Für die folgenden Entitäten in Blueliv wurden keine zugehörigen Bedrohungen gefunden: {entity.identifier}“ Wenn keine Bedrohungen für eine (is_success=true): „No related threats were found to the provided entities in Blueliv“ (Für die angegebenen Entitäten in Blueliv wurden keine zugehörigen Bedrohungen gefunden) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚List Entity Threats‘. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Titel: {entity.identifier} Modulname URL Titel Labels Erstellt am	Entität

Ergebnistyp

Wert/Beschreibung

Type (Entity \ General) (Typ (Entität \ Allgemein))

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für eine Entität verfügbar sind (is_success = true): „Successfully listed available threats to the following entities in Blueliv: {entity.identifier}“ (Die verfügbaren Bedrohungen für die folgenden Entitäten in Blueliv wurden erfolgreich aufgelistet: {entity.identifier}).

Wenn keine Bedrohungen für eine Entität gefunden wurden (is_success=true): „Für die folgenden Entitäten in Blueliv wurden keine zugehörigen Bedrohungen gefunden: {entity.identifier}“

Wenn keine Bedrohungen für eine (is_success=true): „No related threats were found to the provided entities in Blueliv“ (Für die angegebenen Entitäten in Blueliv wurden keine zugehörigen Bedrohungen gefunden)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚List Entity Threats‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Titel: {entity.identifier}

Modulname

URL

Titel

Labels

Erstellt am

Entität

Connector

BlueLiv – Threats Connector

Beschreibung

Sicherheitsbedrohungen von BlueLiv abrufen Der Connector ruft alle aktuellen Bedrohungen aus BlueLiv-Modulen ab.

Filter für die weiße und schwarze Liste funktionieren mit BlueLiv-Modultypen. Wenn Sie beispielsweise nur Bedrohungen aus Hacktivism-Modulen erhalten möchten, können Sie die Whitelist aktivieren und den Typnamen „Hacktivism“ eingeben.

Für jeden Modultyp wird eine andere Datenstruktur in Google SecOps aufgenommen. Passen Sie die Zuordnung in Ihrer Google SecOps-Instanz an Ihre Anforderungen an. Achten Sie darauf, die verschiedenen „event_type“-Werte für jedes Ereignis zu sehen, das von BlueLiv zurückgegeben wird.

Für den Bedrohungstyp Malware stellen wir derzeit nur die grundlegenden Ereignisdaten bereit. Wir fügen demnächst ein zusätzliches Ereignis hinzu, um die speziellen Daten, die von einem Malware-Bedrohungstyp zurückgegeben werden, besser zu verarbeiten.

BlueLiv – Threats Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Produktfeldname	String	ProductName	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	event_type	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-URL	String	https://example.blueliv.com/api/v2	Ja	API-Stammverzeichnis der BlueLiv-Instanz.
Nutzername	String	–	Ja	Nutzername für BlueLiv
Passwort	Passwort	–	Ja	Nutzerpasswort für BlueLiv
Organisations-ID	String	–	Ja	Organisations-ID für BlueLiv angeben
Maximale Stunden rückwärts abrufen	Ganzzahl	1	Nein	Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen.
Maximale Anzahl abzurufender Bedrohungen	Ganzzahl	10	Nein	Die Anzahl der Bedrohungen, die pro Connector-Iteration verarbeitet werden sollen. Hinweis: Der Höchstwert beträgt 100.
Schweregrad	String	Mittel	Ja	Der Schweregrad kann einen der folgenden Werte haben: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. Wird Google SecOps-Warnungen zugewiesen, die über diesen Connector erstellt wurden.
Aufzunehmende Analyseergebnisse	String (Werte: NOT_AVAILABLE, NOT_IMPORTANT, NOT_PROCESSABLE, POSITIVE, NEGATIVE, INFORMATIVE, IMPORTANT)	–	Nein	Filtern Sie die Bedrohungen nach der Analystenanalyse dieser Bedrohung. Es werden nur Bedrohungen mit dem ausgewählten Analyseergebnis aufgenommen. Geben Sie eine durch Kommas getrennte Liste der gewünschten Analyseergebnisse an, die aufgenommen werden sollen. Mögliche Werte: NOT_AVAILABLE, NOT_IMPORTANT, NOT_PROCESSABLE, POSITIVE, NEGATIVE, INFORMATIVE, IMPORTANT
Labels zum Filtern	String (durch Kommas getrennte Liste)	–	Nein	Geben Sie eine durch Kommas getrennte Liste der Labelnamen an, nach denen Sie filtern möchten. Achten Sie auf die Groß- und Kleinschreibung und geben Sie die Labels genau so ein, wie sie in der BlueLiv-Benutzeroberfläche angezeigt werden.
Lesestatus für die Aufnahme	String (Werte: „Only Read“, „Only Unread“)	–	Nein	Filtern Sie die Bedrohungen nach ihrem Lesestatus, damit der Connector sie entsprechend aufnimmt. Wenn kein Wert angegeben ist, werden beide abgerufen. Optionen: „Nur gelesen“, „Nur ungelesen“.
Sollen nur markierte Bedrohungen aufgenommen werden?	Kästchen	Deaktiviert	Nein	Wenn das Kästchen angeklickt ist, werden nur markierte (bevorzugte) Bedrohungen aufgenommen.
Sollen Bedrohungen im Zusammenhang mit Vorfällen aufgenommen werden?	String (Werte: Only Incidents, Only Non Incidents)	–	Nein	Soll der Connector die Bedrohungen filtern, indem er die Beziehung zu einem Vorfall prüft? Wenn kein Wert angegeben wird, werden beide abgerufen. Optionen: „Only Incidents“ (Nur Vorfälle) – es werden nur Bedrohungen im Zusammenhang mit Vorfällen erfasst, „Only Non Incidents“ (Nur keine Vorfälle) – es werden nur Bedrohungen erfasst, die nicht mit Vorfällen zusammenhängen.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum BlueLiv-Server geprüft.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxy.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten