BlueLiv
Versão da integração: 8.0
Guia de integração
A finalidade da integração é introduzir as ameaças do BlueLiv, usando os filtros relevantes para mostrar apenas as ameaças desejadas no Google Security Operations, usando o conector de ameaças e, em seguida, realizar ações adicionais nessas ameaças de acordo com os exemplos de utilização relevantes.
Neste guia rápido, vamos abordar alguns aspetos para facilitar a utilização da integração para os clientes do Google SecOps.
Configuração da integração
Vamos rever os parâmetros e onde os encontrar para que seja mais fácil configurar a integração:
- Raiz da API: este é o URL que está a usar para ver a página inicial do BlueLiv quando o sufixo /api/v2 é adicionado ao mesmo. Por exemplo:
https://tcdach.blueliv.com/api/v2deve ser o valor neste parâmetro. - Nome de utilizador: o mesmo nome de utilizador que usa para estabelecer ligação à página inicial do BlueLiv.
- Palavra-passe: a mesma palavra-passe que usa para se ligar à página inicial do BlueLiv.
ID da organização: pode identificar facilmente o ID da organização no URL que está a usar para procurar o produto em si. Por exemplo:
Para este exemplo, o ID da organização é
117:https://tcdach.blueliv.com/dashboard/organizations/117/indexed
Depois de analisar os parâmetros de integração, podemos aprofundar os outros termos na nossa integração.
Tipos de módulos
A BlueLiv dividiu a secção de ameaças em tipos de módulos e, nesta integração, usamos esses tipos para ajudar a plataforma SOAR e carregar apenas as informações relevantes se quiser filtrar por tipo de módulo. Os seguintes tipos de módulos estão atualmente disponíveis no BlueLiv:
- Credenciais
- Meios sociais
- Cartões de crédito
- Proteção de domínio
- Software malicioso
- Fuga de dados
- Hacktivismo
- Dark Web
- Personalizado
- Media Tracker
- Apps para dispositivos móveis
ID da ameaça e ID do módulo
https://tcdach.blueliv.com/dashboard/organizations/117/modules/1303/resource/31024379
Cada ameaça que pode encontrar no BlueLiv tem um UID, um número que a representa.
Também pode identificar facilmente este tipo de URL. Uma ameaça também é denominada recurso. Por exemplo, aqui, o UID da ameaça é 31024379.
Além disso, cada módulo que tem no BlueLiv tem um UID, um número que o representa. Por exemplo, aqui, o UID da ameaça é 1303.
Recomendação relativa à configuração
O Blueliv só permite uma sessão aberta de cada vez. Recomendamos que use utilizadores diferentes para a configuração da integração e conectores para fins de estabilidade. Nota: cada conector precisa de um utilizador separado.
Exemplos de utilização
- Monitorização proativa de ameaças cibernéticas
- Proteção da marca
- Proteção contra violações de dados
- Prevenção contra fraudes
- Deteção de contrafação
Configure a integração do BlueLiv no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://example |
Sim | Raiz da API da instância do BlueLiv. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador do BlueLiv. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe do utilizador |
| ID da organização | String | N/A | Sim | Especifique o ID da organização a usar no BlueLiv |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do IronScales é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade com o BlueLiv com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se ambas as chamadas API tiverem sido bem-sucedidas: "Ligação estabelecida com êxito ao servidor BlueLiv com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se apenas a primeira chamada tiver sido bem-sucedida e a segunda não tiver funcionado: "Iniciou sessão com êxito com o nome de utilizador e a palavra-passe, mas parece que o ID da organização não está correto. Verifique o parâmetro Organization ID na página Integration Configuration e tente novamente " Se não for bem-sucedido: "Falha ao estabelecer ligação ao BlueLiv! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do módulo Threat Context da Blueliv. Entidades suportadas: IP, hash, URL, interveniente responsável pela ameaça, campanha de ameaças, assinatura de ameaça, domínio e CVE.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| Pontuação mais baixa para marcar como suspeito | 5 | Sim | Especifique qual deve ser a pontuação mais baixa para a entidade ser marcada como suspeita. Máximo: 10. |
| Crie estatísticas | True | Não | Se estiver ativada, a ação cria estatísticas com informações sobre entidades. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Hash
- URL
- Interveniente responsável pela ameaça
- Campanha de ameaça
- Assinatura de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Case Wall
| Caixa | Êxito | Falhar | Mensagem |
|---|---|---|---|
| Se tiver enriquecido algumas entidades | verdadeiro | falso | As seguintes entidades foram enriquecidas com êxito através de informações da Blueliv: {entity.identifier} |
| Se não estiverem enriquecidos | verdadeiro | falso | Não foi possível enriquecer as seguintes entidades com informações da Blueliv: {entity.identifier} |
| Se não estiverem enriquecidos | falso | falso | Nenhuma entidade foi enriquecida com informações da Blueliv. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Enrich Entities". Motivo: {error traceback} |
| Se o módulo "Contexto de ameaças" não estiver disponível | falso | True | Erro ao executar a ação "Enrich Entities". Motivo: a sua instância não suporta o módulo "Threat Context". |
Adicione um comentário a uma ameaça
Descrição
A ação adiciona um comentário de texto desejado a uma ameaça específica.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de módulo | String | N/A | Sim | Especifique o tipo de módulo ao qual o recurso pertence. |
| ID do módulo | String | N/A | Sim | Especifique o ID do módulo ao qual o recurso pertence. |
| ID do recurso | String | N/A | Sim | Especifique o ID do recurso ao qual quer adicionar o comentário. |
| Texto do comentário | String | N/A | Sim | Indique o comentário que quer adicionar ao recurso. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Type (Entity \ General) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "O comentário foi adicionado com êxito ao ID da ameaça: "+{threat_ID} A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Failed to perform action "Add Comment to a Threat {0}".format(exception.stacktrace) |
Geral |
| Tabela de parede da caixa | Nome: "ID da ameaça "+{threat_id}+" Comentários: Coluna:
|
Marque a ameaça como favorita
Descrição
A ação marca a ameaça especificada como uma ameaça favorita no BlueLiv.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Valores de DDL | É obrigatório | Descrição |
|---|---|---|---|---|---|
| Tipo de módulo | String | N/A | Sim | Especifique o tipo de módulo ao qual o recurso pertence. | |
| ID do módulo | String | N/A | Sim | Especifique o ID do módulo ao qual o recurso pertence. | |
| ID do recurso | String | N/A | Sim | Especifique o ID do recurso ao qual quer adicionar o comentário. | |
| Estado favorito | LDD | Marcado com estrela pelo utilizador | Sem estrela Marcado com estrela pelo utilizador Grupo marcado com estrela Todos os emails marcados com estrela |
Sim | Indique o estado de favorito que quer aplicar à ameaça especificada. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Type (Entity \ General) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "O ID da ameaça: "+{threat_ID}+" foi marcado como favorito com êxito" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Failed to perform action "Mark Threat as a Favorite {0}".format(exception.stacktrace) |
Geral |
Adicione etiquetas a ameaças
Descrição
A ação adiciona o nome da etiqueta especificado aos IDs de ameaças especificados.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de módulo | String | N/A | Sim | Especifique o tipo de módulo ao qual o recurso pertence. |
| ID do módulo | String | N/A | Sim | Especifique o ID do módulo ao qual o recurso pertence. |
| ID do recurso | String | N/A | Sim | Especifique os IDs de recursos, numa lista separada por vírgulas, aos quais adicionar as etiquetas. |
| Nomes das etiquetas | String | N/A | Sim | Especifique os nomes das etiquetas que quer aplicar às ameaças especificadas numa lista separada por vírgulas. Tenha atenção às letras minúsculas e maiúsculas. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Type (Entity \ General) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se algumas etiquetas não foram encontradas com êxito: "Não foi possível encontrar as seguintes etiquetas em BlueLiv":+(unsuccessful_label names_list)+". Verifique os nomes das etiquetas que indicou nos parâmetros de ação e tente novamente" Se não foram encontradas algumas ameaças: "Não foi possível encontrar as seguintes ameaças no BlueLiv":+(unsuccessful_threat_IDs)+". Verifique os IDs de ameaças que indicou nos parâmetros de ação e tente novamente" Se for bem-sucedido: "As seguintes etiquetas foram adicionadas com êxito:" +(successful_label_names_list)+" aos seguintes "IDs de ameaças: "+(successful_threat_IDs_list) A ação deve falhar e parar a execução de um guia interativo: Se não foram encontradas etiquetas com êxito: "Não foi possível encontrar nenhuma das seguintes etiquetas em BlueLiv":+(unsuccessful_label names_list)+". Verifique os nomes das etiquetas que indicou nos parâmetros da ação e tente novamente" Se não foram encontradas ameaças com êxito: "Não foi possível encontrar nenhuma das seguintes ameaças no BlueLiv":+(unsuccessful_threat_IDs_list)+". Verifique os IDs de ameaças que forneceu nos parâmetros de ação e tente novamente" Se não for bem-sucedido: "Failed to perform action "Add Labels to Threats".format(exception.stacktrace) |
Geral |
Remova etiquetas de ameaças
Descrição
A ação remove as etiquetas especificadas dos IDs de ameaças especificados.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| Tipo de módulo | N/A | Sim | Especifique o tipo de módulo ao qual o recurso pertence. |
| ID do módulo | Sim | Especifique o ID do módulo ao qual o recurso pertence | |
| ID do recurso | Sim | Especifique uma lista de IDs de recursos separados por vírgulas dos quais quer remover etiquetas. | |
| Nomes das etiquetas | Sim | Especifique uma lista de etiquetas separadas por vírgulas que têm de ser removidas. Tenha atenção às letras minúsculas e maiúsculas. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Caixa | Êxito | Falhar | Mensagem |
|---|---|---|---|
| Se não foram encontradas algumas etiquetas | verdadeiro | falso | "Não foi possível encontrar as seguintes etiquetas no BlueLiv: \n {labels}. Verifique os nomes das etiquetas que indicou nos parâmetros da ação e tente novamente." |
| Se não foram encontradas algumas ameaças | verdadeiro | falso | Não foi possível encontrar as seguintes ameaças do módulo {module} {threat IDs}: {threat IDs}. Verifique os IDs de ameaças que forneceu nos parâmetros da ação e tente novamente |
| Se for bem-sucedido para alguns: | verdadeiro | falso | As seguintes etiquetas foram removidas com êxito da seguinte ameaça {threat ID} no Blueliv: {successful_labels} |
| Se algumas ainda não tiverem sido aplicadas: | verdadeiro | falso | As seguintes etiquetas já não faziam parte da ameaça {threat ID} no Blueliv: {labels already not a part} |
| Se não forem encontradas etiquetas | falso | verdadeiro | Erro ao executar a ação "Remover etiquetas de ameaças". Motivo: não foram encontradas etiquetas. Verifique a ortografia. |
| Se não foram encontradas ameaças | falso | verdadeiro | Erro ao executar a ação "Remover etiquetas de ameaças". Motivo: não foram encontradas ameaças. Verifique a ortografia. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Remover etiquetas de ameaças". Motivo: {error traceback} |
| Se o tipo ou o ID do módulo não for válido | falso | verdadeiro | Erro ao executar a ação "Remover etiquetas de ameaças". Motivo: foi fornecido um ID do módulo ou um tipo de módulo inválido. |
Apresentar ameaças de entidades
Descrição
Liste ameaças relacionadas com entidades no Blueliv. Entidades suportadas: todas.
Limitações conhecidas
A API Blueliv pode não devolver resultados, mesmo que a string corresponda exatamente ao nome da ameaça. O exemplo é apresentado abaixo:
https://pastebin.com/YRkUCLGc: o URL é apresentado quando se pesquisa com a palavra-chave "pastebin".
https://pastebin.com/YRkUCLGc - não é apresentado quando se pesquisa com a palavra-chave "https://pastebin.com/YRkUCLGc".
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Filtro de etiquetas | CSV | N/A | Não | Especifique uma lista de etiquetas separadas por vírgulas que vai ser usada para filtrar ameaças. Nota: o filtro de etiquetas funciona com a lógica "OU". |
| Filtro de módulos | CSV | N/A | Não | Especifique uma lista de módulos separada por vírgulas que vai ser usada para filtrar ameaças. |
| Máximo de ameaças a devolver | Número inteiro | 50 | Não | Especifique quantas ameaças devolver por entidade. Se nada for especificado, a ação devolve 50 ameaças. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"id": xxxxxxx,
"module_id": xxxx,
"module_name": "Data Leakage",
"module_short_name": "xxx-xxxxx",
"module_type": "DATA_LEAKAGE",
"url": "xxx",
"content_type": "text/html",
"countries_id": "xx",
"analysis_result": "INFORMATIVE",
"analysis_calc_result": "INFORMATIVE",
"created_at": 1626163680000,
"checked_at": 1626163680000,
"changed_at": 1626163680000,
"user_rating": 0,
"read": true,
"fav": "NOT_STARRED",
"issued": false,
"labels": [
{
"id": 36116,
"name": "GithubCodeByFilename",
"background_color": 16777215,
"text_color": 0,
"type": "GLOBAL"
},
{
"id": 160,
"name": "Public",
"background_color": 45960,
"text_color": 16777215,
"type": "GLOBAL"
}
],
"tlpStatus": "AMBER",
"searchPhrase": "credit card",
"followedUp": false,
"history": []
},
Case Wall
| Tipo de resultado | Valor/descrição | Type (Entity \ General) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um(is_success = true): "Successfully listed available threats to the following entities in Blueliv: {entity.identifier}". Se não existirem ameaças para uma (is_success=true): "Não foram encontradas ameaças relacionadas com as seguintes entidades no Blueliv: {entity.identifier}" Se não existirem ameaças para uma (is_success=true): "Não foram encontradas ameaças relacionadas com as entidades fornecidas no Blueliv" A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "List Entity Threats". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Título: {entity.identifier} Nome do módulo URL Título Etiquetas Criada em |
Entidade |
Conetor
BlueLiv - Threats Connector
Descrição
Extrair ameaças de segurança do BlueLiv. O conector obtém todas as ameaças mais recentes dos módulos BlueLiv.
Os filtros de lista branca e lista negra funcionam com tipos de módulos BlueLiv. Por exemplo, se quiser receber ameaças apenas de módulos de hacktivismo, pode ativar a lista de autorizações e escrever o nome do tipo "Hacktivismo".
Para cada tipo de módulo, existe uma estrutura diferente de dados a ser carregada no Google SecOps. Modifique o mapeamento na sua instância do Google SecOps para se adequar melhor às suas necessidades. Certifique-se de que vê os diferentes valores de "event_type" para cada evento devolvido pela BlueLiv.
Para o tipo de ameaça Software malicioso, atualmente, só fornecemos os dados de eventos básicos. Vamos adicionar um evento adicional muito em breve para processar melhor os dados especiais que são devolvidos por um tipo de ameaça software malicioso.
Configure o conetor BlueLiv - Threats no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | ProductName | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | event_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| URL da API | String | https://example.blueliv.com/api/v2 | Sim | Raiz da API da instância do BlueLiv. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador do BlueLiv |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe de utilizador para BlueLiv |
| ID da organização | String | N/A | Sim | Especifique o ID da organização a usar no BlueLiv |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Quantidade de horas a partir das quais obter eventos. |
| Máximo de ameaças a obter | Número inteiro | 10 | Não | O número de ameaças a processar por iteração de conetor. |
| Gravidade | String | Médio | Sim | A gravidade será um dos seguintes valores: Baixa, Média, Elevada ou Crítica. |
| Resultados da análise a carregar | String (valores: NOT_AVAILABLE, NOT_IMPORTANT, NOT_PROCESSABLE, POSITIVE, NEGATIVE, INFORMATIVE, IMPORTANT) | N/A | Não | Filtre as ameaças pela análise do analista a esta ameaça e ingira apenas ameaças com o resultado da análise escolhido. Forneça uma lista separada por vírgulas dos resultados da análise pretendidos para carregamento. |
| Etiquetas para filtrar | String (lista separada por vírgulas) | N/A | Não | Indique uma lista separada por vírgulas dos nomes das etiquetas pelos quais quer filtrar. Preste atenção às letras maiúsculas e minúsculas e escreva as etiquetas exatamente como aparecem na IU do BlueLiv. |
| Estado de leitura a carregar | String (valores: "Only Read", "Only Unread") | N/A | Não | Filtre as ameaças pelo respetivo estado de leitura para que o conetor as carregue de acordo com o mesmo. Se não for indicado nenhum valor, vamos obter ambos. Opções: "Apenas lidas", "Apenas não lidas". |
| Deve carregar apenas ameaças marcadas com uma estrela? | Caixa de verificação | Desmarcado | Não | Se estiver selecionada, apenas são carregadas ameaças com estrela (favoritas) |
| Deve carregar ameaças relacionadas com incidentes? | String (values:, Only Incidents, Only Non Incidents) | N/A | Não | O conector deve filtrar as ameaças verificando a relação com um incidente. Se não for fornecido nenhum valor, vamos obter ambos .As opções são: Only Incidents (Apenas incidentes) – vai carregar apenas ameaças relacionadas com incidentes; Only Non Incidents (Apenas não incidentes) – vai carregar apenas ameaças que não estão relacionadas com incidentes |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor BlueLiv é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.