BlueLiv

통합 버전: 8.0

통합 가이드

통합의 목적은 관련 필터를 사용하여 Google Security Operations 내에서 원하는 위협만 표시하고 위협 커넥터를 사용하여 BlueLiv의 위협을 수집한 다음 관련 사용 사례에 따라 해당 위협에 추가 작업을 수행하는 것입니다.

이 빠른 가이드에서는 Google SecOps 고객이 통합을 더 쉽게 사용할 수 있도록 몇 가지 사항을 살펴봅니다.

통합 구성

통합을 더 쉽게 구성할 수 있도록 매개변수와 매개변수를 찾을 수 있는 위치를 살펴보겠습니다.

  • API 루트 - 여기에 /api/v2를 추가하면 BlueLiv 홈페이지를 보는 데 사용하는 URL입니다. 예를 들어 이 매개변수의 값은 https://tcdach.blueliv.com/api/v2이어야 합니다.
  • 사용자 이름 - BlueLiv 홈페이지에 연결하는 데 사용하는 것과 동일한 사용자 이름입니다.
  • 비밀번호 - BlueLiv 홈페이지에 연결하는 데 사용하는 비밀번호와 동일합니다.

  • 조직 ID - 제품 자체를 탐색하기 위해 사용하는 URL에서 조직 ID를 쉽게 확인할 수 있습니다. 예를 들면 다음과 같습니다.

    이 예에서 조직 ID는 117입니다.

    https://tcdach.blueliv.com/dashboard/organizations/117/indexed

통합 매개변수를 살펴본 후 통합의 다른 용어를 자세히 살펴볼 수 있습니다.

모듈 유형

BlueLiv는 위협 섹션을 모듈 유형으로 나누었으며, 이 통합에서는 이러한 유형을 사용하여 SOAR 플랫폼을 지원하고 모듈 유형별로 필터링하려는 경우 관련 정보만 수집합니다. 현재 BlueLiv에서 사용할 수 있는 모듈 유형은 다음과 같습니다.

  • 사용자 인증 정보
  • 소셜 미디어
  • 신용카드
  • 도메인 보호
  • 멀웨어
  • 데이터 유출
  • 핵티비즘
  • 다크 웹
  • 커스텀
  • 미디어 추적기
  • 모바일 앱

위협 ID 및 모듈 ID

https://tcdach.blueliv.com/dashboard/organizations/117/modules/1303/resource/31024379

BlueLiv에서 찾을 수 있는 모든 위협에는 이를 나타내는 번호인 UID가 있습니다. 이 경우에도 URL에서 쉽게 확인할 수 있습니다. 위협을 리소스라고도 합니다. 예를 들어 여기에서 위협 UID는 31024379입니다.

또한 BlueLiv에 있는 모든 모듈에는 이를 나타내는 번호인 UID가 있습니다. 예를 들어 여기에서 위협 UID는 1303입니다.

구성 관련 권장사항

Blueliv에서는 한 번에 하나의 세션만 열 수 있습니다. 안정성을 위해 통합 구성 및 커넥터에 다른 사용자를 사용하는 것이 좋습니다. 참고: 각 커넥터에는 별도의 사용자가 필요합니다.

사용 사례

  1. 선제적 사이버 위협 모니터링
  2. 브랜드 보호
  3. 데이터 침해 방지
  4. 사기 방지
  5. 위조품 감지

Google SecOps에서 BlueLiv 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 Description(설명)
API 루트 문자열

https://example
.blueliv.com/api/v2

 BlueLiv 인스턴스의 API 루트입니다.
사용자 이름 문자열 해당 사항 없음 BlueLiv의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 사용자의 비밀번호
조직 ID 문자열 해당 사항 없음 BlueLiv에서 사용할 조직 ID를 지정합니다.
SSL 확인 체크박스 선택 해제 사용 설정하면 IronScales 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

작업

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 BlueLiv에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

두 API 호출이 모두 성공한 경우: '제공된 연결 매개변수를 사용하여 BlueLiv 서버에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

첫 번째 호출만 정상이고 두 번째 호출이 작동하지 않는 경우: '사용자 이름과 비밀번호로 로그인했지만 조직 ID가 올바르지 않은 것 같습니다. 통합 구성 페이지에서 조직 ID 매개변수를 확인하고 다시 시도하세요.'

실패한 경우: 'BlueLiv에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

 일반

항목 보강

설명

Blueliv의 위협 컨텍스트 모듈 정보를 사용하여 항목을 보강합니다. 지원되는 항목: IP, 해시, URL, 위협 행위자, 위협 캠페인, 위협 서명, 도메인, CVE

매개변수

이름 기본값 필수 항목 설명
의심스러운 케이스로 표시할 최저 점수 5 엔티티가 의심스러운 것으로 표시되기 위한 최저 점수를 지정합니다. 최댓값: 10
통계 만들기 아니요 사용 설정하면 작업에서 항목에 대한 정보가 포함된 통계를 만듭니다.

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • 해시
  • URL
  • 위협 행위자
  • 위협 캠페인
  • 위협 서명
  • CVE
작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션 예시
성공 True/False success:False
케이스 월
케이스 성공 실패 메시지
일부 항목이 보강된 경우 true 거짓 Blueliv: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.
일부 항목이 보강되지 않은 경우 true 거짓 작업에서 Blueliv: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.
모두 보강되지 않은 경우 거짓 거짓 Blueliv의 정보를 사용하여 보강된 항목이 없습니다.
치명적인 오류, 잘못된 사용자 인증 정보, API 루트 거짓 true '항목 보강' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {오류 트레이스백}
'위협 컨텍스트' 모듈을 사용할 수 없는 경우 거짓 '항목 보강' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 인스턴스에서 '위협 컨텍스트' 모듈을 지원하지 않습니다.

위협에 댓글 추가

설명

이 작업을 통해 원하는 텍스트 댓글이 특정 위협에 추가됩니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
모듈 유형 문자열 해당 사항 없음 리소스가 속한 모듈 유형을 지정합니다.
모듈 ID 문자열 해당 사항 없음 리소스가 속한 모듈 ID를 지정합니다.
리소스 ID 문자열 해당 사항 없음 댓글을 추가할 리소스 ID를 지정합니다.
댓글 텍스트 문자열 해당 사항 없음 리소스에 추가할 의견을 제공합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '위협 ID에 댓글을 추가했습니다. '+{threat_ID}

작업이 실패하고 플레이북 실행을 중지합니다.

실패한 경우: ''위협 {0}에 의견 추가' 작업을 실행할 수 없습니다.'.format(exception.stacktrace)

 일반
케이스 월 테이블

이름: '위협 ID '+{threat_id}+' 댓글:

열:

  • 댓글 행
  • 댓글 ID
  • 콘텐츠
  • 생성일
  • 댓글 작성자

위협을 즐겨찾기로 표시

설명

이 작업을 실행하면 지정된 위협이 BlueLiv에서 즐겨찾는 위협으로 표시됩니다.

매개변수

매개변수 표시 이름 유형 기본값 DDL 값 필수 항목 설명
모듈 유형 문자열 해당 사항 없음 리소스가 속한 모듈 유형을 지정합니다.
모듈 ID 문자열 해당 사항 없음 리소스가 속한 모듈 ID를 지정합니다.
리소스 ID 문자열 해당 사항 없음 댓글을 추가할 리소스 ID를 지정합니다.
즐겨찾는 상태 DDL 사용자가 별표표시함

별표 없음

사용자가 별표표시함

그룹이 별표표시됨

별표표시한 항목 전체

 지정된 위협에 적용할 즐겨찾기 상태를 제공합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '위협 ID: '+{threat_ID}+'를 즐겨찾기로 표시했습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

실패한 경우: ''위협을 즐겨찾기로 표시' 작업을 실행할 수 없습니다.'(exception.stacktrace)

 일반

위협에 라벨 추가

설명

이 작업을 통해 지정된 라벨 이름이 지정된 위협 ID에 추가됩니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
모듈 유형 문자열 해당 사항 없음 리소스가 속한 모듈 유형을 지정합니다.
모듈 ID 문자열 해당 사항 없음 리소스가 속한 모듈 ID를 지정합니다.
리소스 ID 문자열 해당 사항 없음 라벨을 추가할 리소스 ID를 쉼표로 구분된 목록으로 지정합니다.
라벨 이름 문자열 해당 사항 없음 쉼표로 구분된 목록에 지정된 위협에 적용할 라벨 이름을 지정합니다. 소문자와 대문자에 유의하세요.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

일부 라벨을 찾을 수 없는 경우: 'BlueLiv에서 다음 라벨을 찾을 수 없습니다':+(unsuccessful_label names_list)+'. 작업 매개변수에 제공한 라벨 이름을 확인하고 다시 시도하세요.'

일부 위협이 발견되지 않은 경우: 'BlueLiv에서 다음 위협을 찾을 수 없습니다':+(unsuccessful_threat_IDs)+'. 작업 매개변수에 제공한 위협 ID를 확인하고 다시 시도하세요.'

성공한 경우: '다음 라벨이 추가되었습니다:' +(successful_label_names_list)+' 다음 '위협 ID'에: ' +(successful_threat_IDs_list)

작업이 실패하고 플레이북 실행을 중지합니다.

라벨을 찾을 수 없는 경우: 'BlueLiv에서 다음 라벨을 찾을 수 없습니다':+(unsuccessful_label names_list)+'. 작업 매개변수에 제공한 라벨 이름을 확인하고 다시 시도하세요.'

위협이 발견되지 않은 경우: 'BlueLiv에서 다음 위협을 찾을 수 없습니다':+(unsuccessful_threat_IDs_list)+'. 작업 매개변수에 제공된 위협 ID를 확인하고 다시 시도하세요.'

성공하지 못한 경우: ''위협에 라벨 추가' 작업을 실행할 수 없습니다.'format(exception.stacktrace)

 일반

위협에서 라벨 삭제

설명

이 작업은 지정된 위협 ID에서 지정된 라벨을 삭제합니다.

매개변수
이름 기본값 필수 항목 설명
모듈 유형 해당 사항 없음 리소스가 속한 모듈 유형을 지정합니다.
모듈 ID 리소스가 속한 모듈 ID를 지정합니다.
리소스 ID 라벨을 삭제할 리소스 ID를 쉼표로 구분하여 지정합니다.
라벨 이름 삭제해야 하는 라벨의 쉼표로 구분된 목록을 지정합니다. 소문자와 대문자에 유의하세요.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
케이스 성공 실패 메시지
일부 라벨을 찾을 수 없는 경우 true 거짓 'BlueLiv에서 다음 라벨을 찾을 수 없습니다. \n {labels}. 작업 매개변수에 제공한 라벨 이름을 확인하고 다시 시도하세요.'
일부 위협이 발견되지 않은 경우 true 거짓 모듈 {module}에서 다음 위협을 찾을 수 없습니다({위협 ID}: {threat IDs}). 작업 매개변수에 제공한 위협 ID를 확인하고 다시 시도하세요.
일부 사용자에게 성공한 경우: true 거짓 Blueliv의 다음 위협({threat ID})에서 다음 라벨을 삭제했습니다. {successful_labels}
일부가 아직 적용되지 않은 경우: true 거짓 다음 라벨은 이미 Blueliv의 위협({위협 ID})에 포함되어 있지 않습니다. {이미 포함되지 않은 라벨}
라벨이 없는 경우 거짓 true '위협에서 라벨 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 라벨을 찾을 수 없습니다. 맞춤법을 확인하세요.
위협이 발견되지 않은 경우 거짓 true '위협에서 라벨 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 위협이 발견되지 않았습니다. 맞춤법을 확인하세요.
치명적인 오류, 잘못된 사용자 인증 정보, API 루트 거짓 true '위협에서 라벨 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {오류 트레이스백}
모듈 유형 또는 ID가 유효하지 않은 경우 거짓 true '위협에서 라벨 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 잘못된 모듈 ID 또는 모듈 유형이 제공되었습니다.

엔티티 위협 나열

설명

Blueliv의 항목과 관련된 위협을 나열합니다. 지원되는 항목: 모두

알려진 제한사항

문자열이 위협 이름과 정확히 일치하더라도 Blueliv API가 결과를 반환하지 않을 수 있습니다. 아래 예시를 참고하세요.

https://pastebin.com/YRkUCLGc - 'pastebin' 키워드를 사용하여 검색하면 URL이 표시됩니다.

https://pastebin.com/YRkUCLGc - 'https://pastebin.com/YRkUCLGc' 키워드를 사용하여 검색할 때 표시되지 않습니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
라벨 필터 CSV 해당 사항 없음 아니요 위협을 필터링하는 데 사용되는 쉼표로 구분된 라벨 목록을 지정합니다. 참고: 라벨 필터는 'OR' 논리와 함께 작동합니다.
모듈 필터 CSV 해당 사항 없음 아니요 위협을 필터링하는 데 사용될 쉼표로 구분된 모듈 목록을 지정합니다.
반환할 최대 위협 수 정수 50 아니요 엔티티당 반환할 위협 수를 지정합니다. 아무것도 지정하지 않으면 작업에서 50개의 위협을 반환합니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과
스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "id": xxxxxxx,
    "module_id": xxxx,
    "module_name": "Data Leakage",
    "module_short_name": "xxx-xxxxx",
    "module_type": "DATA_LEAKAGE",
    "url": "xxx",
    "content_type": "text/html",
    "countries_id": "xx",
    "analysis_result": "INFORMATIVE",
    "analysis_calc_result": "INFORMATIVE",
    "created_at": 1626163680000,
    "checked_at": 1626163680000,
    "changed_at": 1626163680000,
    "user_rating": 0,
    "read": true,
    "fav": "NOT_STARRED",
    "issued": false,
    "labels": [
        {
            "id": 36116,
            "name": "GithubCodeByFilename",
            "background_color": 16777215,
            "text_color": 0,
            "type": "GLOBAL"
        },
        {
            "id": 160,
            "name": "Public",
            "background_color": 45960,
            "text_color": 16777215,
            "type": "GLOBAL"
        }
    ],
    "tlpStatus": "AMBER",
    "searchPhrase": "credit card",
    "followedUp": false,
    "history": []
},
케이스 월
결과 유형 값/설명 유형(항목 \ 일반)
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

1개에 대해 데이터를 사용할 수 있는 경우(is_success = true): 'Blueliv: {entity.identifier}에서 다음 항목에 사용할 수 있는 위협을 나열했습니다.'

하나에 위협이 없는 경우 (is_success=true): 'Blueliv: {entity.identifier}에서 다음 항목과 관련된 위협이 없습니다.'

하나에 대한 위협이 없는 경우 (is_success=true): 'Blueliv에서 제공된 항목과 관련된 위협이 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''엔티티 위협 목록' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

 일반
케이스 월 테이블

제목: {entity.identifier}

모듈 이름

URL

제목

라벨

생성일

항목

커넥터

BlueLiv - Threats Connector

설명

BlueLiv에서 보안 위협을 가져옵니다. 커넥터는 BlueLiv 모듈에서 모든 최신 위협을 가져옵니다.

허용 목록 및 블랙리스트 필터는 BlueLiv 모듈 유형과 함께 작동합니다. 예를 들어 해킹 활동 모듈의 위협만 가져오려면 허용 목록을 사용 설정하고 '해킹 활동' 유형 이름을 입력하면 됩니다.

각 모듈 유형마다 Google SecOps에 수집되는 데이터 구조가 다릅니다. Google SecOps 인스턴스에서 필요에 가장 적합하도록 매핑을 수정하세요. BlueLiv에서 반환되는 각 이벤트의 다양한 'event_type' 값을 확인하세요.

현재 멀웨어 위협 유형의 경우 기본 이벤트 데이터만 제공됩니다. 멀웨어 위협 유형에서 반환되는 특수 데이터를 더 잘 처리하기 위해 곧 추가 이벤트가 추가될 예정입니다.

Google SecOps에서 BlueLiv - Threats Connector 구성

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
제품 필드 이름 문자열 ProductName 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름 문자열 event_type 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름 문자열 "" 아니요

환경 이름이 저장된 필드의 이름을 설명합니다.

환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴 문자열 .* 아니요

'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다.

기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다.

사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다.

정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초) 정수 180 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
API URL 문자열 https://example.blueliv.com/api/v2 BlueLiv 인스턴스의 API 루트입니다.
사용자 이름 문자열 해당 사항 없음 BlueLiv 사용자 이름
비밀번호 비밀번호 해당 사항 없음 BlueLiv의 사용자 비밀번호
조직 ID 문자열 해당 사항 없음 BlueLiv에서 사용할 조직 ID를 지정합니다.
최대 시간을 뒤로 가져오기 정수 1 No 이벤트를 가져올 위치의 시간입니다.
가져올 최대 위협 수 정수 10 아니요

커넥터 반복당 처리할 위협 수입니다.
참고 - 여기의 최댓값은 100입니다.
심각도 문자열 보통

심각도는 낮음, 보통, 높음, 심각 중 하나입니다.
이 커넥터에서 생성된 Google SecOps 알림에 할당됩니다.

수집할 분석 결과 문자열 (값: NOT_AVAILABLE, NOT_IMPORTANT, NOT_PROCESSABLE, POSITIVE, NEGATIVE, INFORMATIVE, IMPORTANT) 해당 사항 없음 아니요

분석가의 이 위협에 대한 분석을 기준으로 위협을 필터링하여 선택한 분석 결과가 있는 위협만 수집합니다. 수집할 원하는 분석 결과를 쉼표로 구분된 목록으로 제공하세요.
가능한 값: NOT_AVAILABLE, NOT_IMPORTANT, NOT_PROCESSABLE, POSITIVE, NEGATIVE, INFORMATIVE, IMPORTANT
필터링할 라벨 문자열 (쉼표로 구분된 목록) 해당 사항 없음 아니요 필터링할 라벨 이름을 쉼표로 구분하여 입력하세요. 대소문자에 유의하여 BlueLiv UI에 표시된 대로 라벨을 정확하게 작성하세요.
수집할 읽기 상태 문자열 (값: '읽기 전용', '읽지 않음만') 해당 사항 없음 아니요 읽기 상태별로 위협을 필터링하여 커넥터가 이에 따라 수집하도록 합니다. 값을 제공하지 않으면 두 값을 모두 가져옵니다. 옵션: '읽기 전용', '읽지 않음만'
별표표시된 위협만 수집해야 하나요? 체크박스 선택 해제 아니요 선택하면 별표 표시된 (즐겨찾기) 위협만 수집됩니다.
인시던트와 관련된 위협을 수집해야 하나요? 문자열 (값: Only Incidents, Only Non Incidents) 해당 사항 없음 아니요 커넥터가 인시던트와의 관계를 확인하여 위협을 필터링해야 합니다. 값이 제공되지 않으면 둘 다 가져옵니다. 옵션은 다음과 같습니다. Only Incidents(이슈만) - 이슈와 관련된 위협만 수집합니다. Only Non Incidents(이슈 외) - 이슈와 관련이 없는 위협만 수집합니다.
허용 목록을 차단 목록으로 사용 체크박스 선택 해제 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다.
SSL 확인 체크박스 선택 해제 사용 설정한 경우 BlueLiv 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.
프록시 서버 주소 문자열 해당 사항 없음 아니요 사용할 프록시 서버의 주소입니다.
프록시 사용자 이름 문자열 해당 사항 없음 아니요 인증할 프록시 사용자 이름입니다.
프록시 비밀번호 비밀번호 해당 사항 없음 아니요 인증할 프록시 비밀번호입니다.

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.