BlueLiv

統合バージョン: 8.0

インテグレーション ガイド

この統合の目的は、BlueLiv から脅威を取り込み、関連するフィルタを使用して Google Security Operations 内で目的の脅威のみを表示し、Threats Connector を使用して、関連するユースケースに従ってこれらの脅威に対して追加のアクションを実行することです。

このクイックガイドでは、Google SecOps のお客様が統合をより簡単に使用できるようにするためのいくつかの手順について説明します。

統合構成

統合を簡単に構成できるように、パラメータとその場所について説明します。

  • API ルート - BlueLiv のホームページを表示するために使用する URL。接尾辞 /api/v2 が追加されています。たとえば、このパラメータの値は https://tcdach.blueliv.com/api/v2 になります。
  • ユーザー名 - BlueLiv ホームページへの接続に使用するユーザー名と同じです。
  • パスワード - BlueLiv ホームページへの接続に使用するパスワードと同じです。

  • 組織 ID - 組織 ID は、プロダクト自体を閲覧するために使用している URL で簡単に確認できます。例:

    この例では、組織 ID は 117 です。

    https://tcdach.blueliv.com/dashboard/organizations/117/indexed

統合パラメータを確認したら、統合の他の用語について詳しく見ていきましょう。

モジュール タイプ

BlueLiv は、脅威セクションをモジュール タイプに分割しています。この統合では、モジュール タイプでフィルタする場合に、SOAR プラットフォームを支援し、関連情報のみを取り込むために、これらのタイプを使用します。現在、BlueLiv では次のモジュール タイプを使用できます。

  • 認証情報
  • ソーシャル メディア
  • クレジット カード
  • ドメイン保護
  • マルウェア
  • データ漏洩
  • ハクティビズム
  • ダークウェブ
  • カスタム
  • メディア トラッカー
  • モバイルアプリ

脅威 ID とモジュール ID

https://tcdach.blueliv.com/dashboard/organizations/117/modules/1303/resource/31024379

BlueLiv で見つかるすべての脅威には、それを表す番号である UID があります。この場合も、URL を見れば簡単に判別できます。脅威はリソースとも呼ばれます。たとえば、この例では脅威 UID は 31024379 です。

また、BlueLiv にあるすべてのモジュールには、それを表す UID という番号があります。たとえば、この例では脅威 UID は 1303 です。

構成に関する推奨事項

Blueliv では、一度に開けるセッションは 1 つのみです。安定性を確保するため、統合構成とコネクタには異なるユーザーを使用することをおすすめします。注: 各コネクタには個別のユーザーが必要です。

ユースケース

  1. プロアクティブなサイバー脅威のモニタリング
  2. ブランド保護
  3. データ侵害からの保護
  4. 不正の防止
  5. 偽造品検出

Google SecOps で BlueLiv 統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 タイプ デフォルト値 必須 Description
API ルート 文字列

https://example
.blueliv.com/api/v2

 はい BlueLiv インスタンスの API ルート。
ユーザー名 文字列 なし はい BlueLiv のユーザー名。
パスワード パスワード なし はい ユーザーのパスワード
組織 ID 文字列 なし はい BlueLiv で使用する組織 ID を指定する
SSL を確認する チェックボックス オフ はい 有効になっている場合は、IronScales サーバーへの接続用の SSL 証明書が有効であることを確認します。

アクション

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、BlueLiv への接続をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

両方の API 呼び出しが成功した場合: 「指定された接続パラメータを使用して BlueLiv サーバーに正常に接続されました。」

アクションが失敗し、ハンドブックの実行が停止します。

最初の通話は正常に完了し、2 回目の通話が失敗した場合: 「ユーザー名とパスワードで正常にログインしましたが、組織 ID が正しくないようです。統合構成ページの組織 ID パラメータを確認して、もう一度お試しください。」

成功しなかった場合:「BlueLiv に接続できませんでした。エラーは {0}」.format(exception.stacktrace)

 一般

エンティティの拡充

説明

Blueliv の Threat Context モジュールの情報を使用してエンティティを拡充します。サポートされるエンティティ: IP、ハッシュ、URL、脅威アクター、脅威キャンペーン、脅威シグネチャ、ドメイン、CVE。

パラメータ

Name デフォルト値 必須 説明
不審としてマークする最小スコア 5 はい エンティティが不審としてマークされるための最低スコアを指定します。最大: 10。
インサイトの作成 正しい いいえ 有効にした場合、アクションによってエンティティに関する情報を含むインサイトが作成されます。

実行

このアクションは次のエンティティに対して実行されます。

  • IP アドレス
  • ハッシュ
  • URL
  • 脅威アクター
  • 脅威キャンペーン
  • 脅威シグネチャ
  • CVE
アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
success True/False success:False
ケースウォール
Case 成功 不合格 メッセージ
一部のエンティティが拡充された場合 true false Blueliv の情報を使用して次のエンティティを拡充しました: {entity.identifier}
一部のエンティティが拡充されていない場合 true false アクションは、Blueliv の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}
すべてのエンティティが拡充されていない場合 false false Blueliv の情報を使用してエンティティが拡充されることはありませんでした。
致命的なエラー、無効な認証情報、API ルート false true 「エンティティの拡充」アクションの実行中にエラーが発生しました。理由: {エラー トレースバック}
[脅威のコンテキスト] モジュールが使用できない場合 false 正しい 「エンティティの拡充」アクションの実行中にエラーが発生しました。理由: インスタンスが「脅威コンテキスト」モジュールをサポートしていません。

脅威にコメントを追加する

説明

この操作により、特定の脅威に任意のテキスト コメントが追加されます。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 説明
モジュール タイプ 文字列 なし はい リソースが属するモジュール タイプを指定します。
モジュール ID 文字列 なし はい リソースが属するモジュール ID を指定します。
リソース ID 文字列 なし はい コメントを追加するリソース ID を指定します。
コメントのテキスト 文字列 なし はい リソースに追加するコメントを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 タイプ(Entity \ General)
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

成功した場合: 「Successfully added the comment to threat ID: "+{threat_ID}

アクションが失敗し、ハンドブックの実行が停止します。

不成功の場合: 「アクション「脅威 {0} にコメントを追加」の実行に失敗しました。」format(exception.stacktrace)

 全般
ケースウォール テーブル

名前: 「脅威 ID 」+{threat_id}+「コメント:

列:

  • コメント行
  • コメント ID
  • コンテンツ
  • 作成日
  • コメント投稿者

脅威をお気に入りとしてマークする

説明

この操作を行うと、指定した脅威が BlueLiv でお気に入りの脅威としてマークされます。

パラメータ

パラメータの表示名 タイプ デフォルト値 DDL 値 必須 説明
モジュール タイプ 文字列 なし はい リソースが属するモジュール タイプを指定します。
モジュール ID 文字列 なし はい リソースが属するモジュール ID を指定します。
リソース ID 文字列 なし はい コメントを追加するリソース ID を指定します。
お気に入りのステータス DDL ユーザーがスターを付けた

スターなし

ユーザーがスターを付けた

グループにスターを付けました

Full Starred

 はい 指定した脅威に適用するお気に入りステータスを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 タイプ(Entity \ General)
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

成功した場合: 「脅威 ID: "+{threat_ID}+" をお気に入りとして正常にマークしました」

アクションが失敗し、ハンドブックの実行が停止します。

不成功の場合: 「アクション「脅威をお気に入りとしてマークする {0}」の実行に失敗しました。」format(exception.stacktrace)

 全般

脅威にラベルを追加する

説明

このアクションにより、指定したラベル名が指定した脅威 ID に追加されます。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 説明
モジュール タイプ 文字列 なし はい リソースが属するモジュール タイプを指定します。
モジュール ID 文字列 なし はい リソースが属するモジュール ID を指定します。
リソース ID 文字列 なし はい ラベルを追加するリソース ID をカンマ区切りのリストで指定します。
ラベル名 文字列 なし はい 指定した脅威に適用するラベル名をカンマ区切りのリストで指定します。大文字と小文字に注意してください。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 タイプ(Entity \ General)
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

一部のラベルが見つからなかった場合: 「BlueLiv で次のラベルが見つかりませんでした」:+(unsuccessful_label names_list)+「。アクション パラメータで指定したラベル名を確認して、もう一度お試しください」

一部の脅威が見つからなかった場合: 「BlueLiv で次の脅威が見つかりませんでした」:+(unsuccessful_threat_IDs)+「。アクション パラメータで指定した脅威 ID を確認して、もう一度お試しください」

成功した場合: 「次のラベルを次の脅威 ID に正常に追加しました:」+(successful_label_names_list)+「:」+(successful_threat_IDs_list)

アクションが失敗し、ハンドブックの実行が停止します。

ラベルが正常に見つからなかった場合: 「BlueLiv で次のラベルが見つかりませんでした」:+(unsuccessful_label names_list)+「。アクション パラメータで指定したラベル名を確認して、もう一度お試しください」

脅威が正常に見つからなかった場合: 「BlueLiv で次の脅威が見つかりませんでした」:+(unsuccessful_threat_IDs_list)+「。アクション パラメータで指定した脅威 ID を確認して、もう一度お試しください」

不成功の場合: 「アクション「脅威にラベルを追加」の実行に失敗しました。」format(exception.stacktrace)

 全般

脅威からラベルを削除する

説明

この操作を行うと、指定した脅威 ID から指定したラベルが削除されます。

パラメータ
Name デフォルト値 必須 説明
モジュール タイプ なし はい リソースが属するモジュール タイプを指定します。
モジュール ID はい リソースが属するモジュール ID を指定する
リソース ID はい ラベルを削除するリソース ID のカンマ区切りのリストを指定します。
ラベル名 はい 削除する必要があるラベルのカンマ区切りのリストを指定します。大文字と小文字に注意してください。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
Case 成功 不合格 メッセージ
一部のラベルが見つからなかった場合 true false 「BlueLiv で次のラベルが見つかりませんでした: \n {labels}。アクション パラメータで指定したラベル名を確認して、もう一度お試しください。」
一部の脅威が見つからなかった場合 true false モジュール {module} から次の脅威が見つかりませんでした: {threat IDs}。アクション パラメータで指定した脅威 ID を確認して、もう一度お試しください
一部のユーザーで成功した場合: true false Blueliv の次の脅威 {脅威 ID} から次のラベルが正常に削除されました: {successful_labels}
一部がまだ適用されていない場合: true false 次のラベルは、Blueliv の脅威 {脅威 ID} の一部ではありませんでした: {labels already not a part}
ラベルが見つからない場合 false true 「脅威からラベルを削除する」アクションの実行中にエラーが発生しました。理由: ラベルが見つかりませんでした。スペルを確認してください。
脅威が見つからなかった場合 false true 「脅威からラベルを削除する」アクションの実行中にエラーが発生しました。理由: 脅威は見つかりませんでした。スペルを確認してください。
致命的なエラー、無効な認証情報、API ルート false true 「脅威からラベルを削除する」アクションの実行中にエラーが発生しました。理由: {エラー トレースバック}
モジュールのタイプまたは ID が無効な場合 false true 「脅威からラベルを削除する」アクションの実行中にエラーが発生しました。理由: 無効なモジュール ID またはモジュール タイプが指定されました。

エンティティの脅威の一覧表示

説明

Blueliv のエンティティに関連する脅威を一覧表示します。サポートされるエンティティ: すべて。

既知の制限事項

文字列が脅威名と完全に一致していても、Blueliv API が結果を返さないことがあります。以下に例を示します。

https://pastebin.com/YRkUCLGc - 「pastebin」キーワードで検索すると、URL が表示されます。

https://pastebin.com/YRkUCLGc - 「https://pastebin.com/YRkUCLGc」というキーワードで検索しても表示されません。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 説明
ラベルフィルタ CSV なし いいえ 脅威のフィルタリングに使用されるラベルのカンマ区切りリストを指定します。注: ラベルフィルタは「OR」ロジックで動作します。
モジュール フィルタ CSV なし いいえ 脅威のフィルタリングに使用されるモジュールのカンマ区切りリストを指定します。
返す最大脅威数 Integer 50 いいえ エンティティごとに返される脅威の数を指定します。何も指定しない場合、アクションは 50 個の脅威を返します。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果
スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "id": xxxxxxx,
    "module_id": xxxx,
    "module_name": "Data Leakage",
    "module_short_name": "xxx-xxxxx",
    "module_type": "DATA_LEAKAGE",
    "url": "xxx",
    "content_type": "text/html",
    "countries_id": "xx",
    "analysis_result": "INFORMATIVE",
    "analysis_calc_result": "INFORMATIVE",
    "created_at": 1626163680000,
    "checked_at": 1626163680000,
    "changed_at": 1626163680000,
    "user_rating": 0,
    "read": true,
    "fav": "NOT_STARRED",
    "issued": false,
    "labels": [
        {
            "id": 36116,
            "name": "GithubCodeByFilename",
            "background_color": 16777215,
            "text_color": 0,
            "type": "GLOBAL"
        },
        {
            "id": 160,
            "name": "Public",
            "background_color": 45960,
            "text_color": 16777215,
            "type": "GLOBAL"
        }
    ],
    "tlpStatus": "AMBER",
    "searchPhrase": "credit card",
    "followedUp": false,
    "history": []
},
Case Wall
結果のタイプ 値 / 説明 タイプ(Entity \ General)
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

データが利用可能な場合(is_success = true): 「Blueliv で次のエンティティの利用可能な脅威を正常に一覧表示しました: {entity.identifier}」

1 つのエンティティに脅威がない場合(is_success=true): 「Blueliv で次のエンティティに関連する脅威が見つかりませんでした: {entity.identifier}」

1 つの脅威がない場合(is_success=true): 「Blueliv で指定されたエンティティに関連する脅威が見つかりませんでした」

アクションが失敗し、ハンドブックの実行が停止します。

間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの脅威の一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace)

 一般
Case Wall テーブル

タイトル: {entity.identifier}

モジュール名

URL

タイトル

ラベル

作成日

 エンティティ

コネクタ

BlueLiv - Threats Connector

説明

BlueLiv からセキュリティの脅威を取得します。コネクタは、BlueLiv モジュールから最新の脅威をすべて取得します。

許可リストと拒否リストのフィルタは、BlueLiv モジュール タイプで機能します。たとえば、ハクティビズム モジュールからの脅威のみを取得する場合は、ホワイトリストを有効にして、「ハクティビズム」というタイプ名を入力します。

モジュール タイプごとに、Google SecOps に取り込まれるデータの構造が異なります。ニーズに合わせて Google SecOps インスタンスのマッピングを変更してください。BlueLiv から返される各イベントの "event_type" の値が異なることを確認してください。

マルウェアの脅威タイプについては、現在、基本的なイベントデータのみを提供しています。マルウェアの脅威タイプから返される特殊なデータをより適切に処理するため、近日中にイベントを追加する予定です。

Google SecOps で BlueLiv - Threats Connector を構成する

Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。

コネクタ パラメータ

次のパラメータを使用してコネクタを構成します。

パラメータの表示名 タイプ デフォルト値 必須 Description
プロダクト フィールド名 文字列 ProductName はい ソース フィールド名を入力してプロダクト フィールド名を取得します。
イベント フィールド名 文字列 event_type ソース フィールド名を入力してイベント フィールド名を取得します。
環境フィールド名 文字列 "" いいえ

環境名が保存されるフィールドの名前を記述します。

環境フィールドがない場合、その環境がデフォルトの環境です。
環境の正規表現パターン 文字列 .* いいえ

[環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。

デフォルトは、すべてキャッチして値を変更せずに返す .* です。

ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
スクリプトのタイムアウト(秒) 整数 180 はい 現在のスクリプトを実行している Python プロセスのタイムアウト上限。
API URL 文字列 https://example.blueliv.com/api/v2 はい BlueLiv インスタンスの API ルート。
ユーザー名 文字列 なし はい BlueLiv のユーザー名
パスワード パスワード なし はい BlueLiv のユーザー パスワード
組織 ID 文字列 なし はい BlueLiv で使用する組織 ID を指定する
遡る取得の最大時間数 整数 1 いいえ どの時点からイベントを取得するかの時間数。
取得する最大脅威数 Integer 10 いいえ

1 回のコネクタの反復処理で処理する脅威の数。
注 - ここでの最大値は 100 です。
重大度 文字列 はい

重大度は、低、中、高、重大のいずれかの値になります。
このコネクタから作成された Google SecOps アラートに割り当てられます。
取り込む分析結果 文字列(値: NOT_AVAILABLE、NOT_IMPORTANT、NOT_PROCESSABLE、POSITIVE、NEGATIVE、INFORMATIVE、IMPORTANT) なし いいえ

アナリストによるこの脅威の分析で脅威をフィルタし、選択した分析結果の脅威のみを取り込みます。取り込む分析結果のカンマ区切りリストを指定します。
使用可能な値: NOT_AVAILABLE、NOT_IMPORTANT、NOT_PROCESSABLE、POSITIVE、NEGATIVE、INFORMATIVE、IMPORTANT
フィルタするラベル 文字列(カンマ区切りのリスト) なし いいえ フィルタするラベル名のカンマ区切りリストを指定してください。大文字と小文字に注意し、BlueLiv UI に表示されているラベルを正確に記述してください。
取り込む読み取りステータス 文字列(値: 「Only Read」、「Only Unread」) なし いいえ 脅威を読み取りステータスでフィルタリングして、コネクタがそのステータスに従って取り込むようにします。値が指定されていない場合は、両方を取得します。オプション: 「未読のみ」、「既読のみ」。
スター付きの脅威のみを取り込むかどうか。 チェックボックス オフ いいえ オンにすると、スター付き(お気に入り)の脅威のみが取り込まれます
インシデントに関連する脅威を取り込むべきですか? 文字列(値:、インシデントのみ、インシデント以外のみ) なし いいえ コネクタは、インシデントとの関係を確認して脅威をフィルタリングする必要があります。値が指定されていない場合は、両方を取得します。オプションは次のとおりです。Only Incidents - インシデントに関連する脅威のみを取り込みます。Only Non Incidents - インシデントに関連しない脅威のみを取り込みます。
許可リストを拒否リストとして使用 チェックボックス オフ 有効にすると、許可リストが拒否リストとして使用されます。
SSL を確認 チェックボックス オフ はい 有効になっている場合は、BlueLiv サーバーへの接続用の SSL 証明書が有効であることを確認します。
プロキシ サーバーのアドレス 文字列 なし いいえ 使用するプロキシ サーバーのアドレス。
プロキシのユーザー名 文字列 なし いいえ 認証に使用するプロキシのユーザー名。
プロキシ パスワード パスワード なし いいえ 認証に使用するプロキシ パスワード。

コネクタ ルール

プロキシのサポート

コネクタはプロキシをサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。