BlueLiv

整合版本:8.0

整合指南

整合目的是要使用相關篩選器,透過威脅連接器從 BlueLiv 擷取威脅,只在 Google Security Operations 中顯示所需威脅,然後根據相關用途對這些威脅執行其他動作。

在本快速指南中,我們將介紹幾項事項,協助 Google SecOps 客戶更輕鬆地使用整合服務。

整合設定

我們會說明參數和參數位置,方便您設定整合:

  • API 根目錄:這是您用來查看 BlueLiv 首頁的網址,只要在網址後方加上 /api/v2 即可。舉例來說: https://tcdach.blueliv.com/api/v2 應為這個參數的值。
  • 使用者名稱:與連線至 BlueLiv 首頁時使用的使用者名稱相同。
  • 密碼:與連線至 BlueLiv 首頁時使用的密碼相同。

  • 機構 ID - 您可以輕鬆在用來瀏覽產品的網址中找到機構 ID,例如:

    在本例中,機構組織 ID 為 117

    https://tcdach.blueliv.com/dashboard/organizations/117/indexed

瞭解整合參數後,我們就能深入探討整合中的其他字詞。

模組類型

BlueLiv 已將威脅區分為模組類型,而我們在這項整合中會使用這些類型,協助 SOAR 平台只擷取相關資訊 (如果您想依模組類型篩選)。BlueLiv 目前提供下列模組類型:

  • 憑證
  • 社群媒體
  • 信用卡
  • 網域保護
  • 惡意軟體
  • 資料外洩
  • 駭客行動
  • 暗網
  • 自訂
  • 媒體追蹤器
  • 行動應用程式

威脅 ID 和模組 ID

https://tcdach.blueliv.com/dashboard/organizations/117/modules/1303/resource/31024379

您在 BlueLiv 中找到的每個威脅都有 UID,也就是代表該威脅的號碼。 網址中也會顯示這項資訊,方便您辨識。威脅也稱為資源。舉例來說,這裡的威脅 UID 是 31024379

此外,BlueLiv 上的每個模組都有 UID,也就是代表模組的數字。舉例來說,這裡的威脅 UID 是 1303

設定建議

Blueliv 一次只能開啟一個工作階段。建議使用不同的使用者進行整合設定和連接器,以確保穩定性。注意: 每個連結器都需要個別使用者。

應用實例

  1. 主動監控網路威脅
  2. 品牌保護
  3. 資料侵害防護
  4. 詐欺防範
  5. 仿冒商品偵測

在 Google SecOps 中設定 BlueLiv 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合:

參數顯示名稱 類型 預設值 是否為必要項目 說明
API 根層級 字串

https://example
.blueliv.com/api/v2

 BlueLiv 執行個體的 API 根層級。
使用者名稱 字串 不適用 BlueLiv 的使用者名稱。
密碼 密碼 不適用 使用者密碼
機構 ID 字串 不適用 指定要在 BlueLiv 中使用的機構 ID
驗證 SSL 核取方塊 已取消勾選 如果啟用,系統會驗證連至 IronScales 伺服器的連線 SSL 憑證是否有效。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 BlueLiv 的連線。

參數

不適用

執行時間

動作不會在實體上執行,也沒有強制輸入參數。

動作執行結果

指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果兩項 API 呼叫都成功:「Successfully connected to the BlueLiv server with the provided connection parameters!」(已使用提供的連線參數成功連線至 BlueLiv 伺服器!)

動作應會失敗並停止執行應對手冊:

如果只有第一次呼叫成功,第二次呼叫失敗:「已使用使用者名稱和密碼成功登入,但機構 ID 似乎不正確。請檢查「整合設定」頁面中的機構 ID 參數,然後再試一次。

如果未成功:「無法連線至 BlueLiv!Error is {0}".format(exception.stacktrace)

 一般

充實實體

說明

使用 Blueliv 威脅情境模組的資訊擴充實體。 支援的實體:IP、雜湊、網址、威脅發動者、威脅事件、威脅簽章、網域、CVE。

參數

名稱 預設值 是否為必要項目 說明
標示為可疑的最低分數 5 指定實體要標示為可疑的最低分數。最多 10 個。
建立洞察資料 如果啟用,動作就會建立包含實體資訊的洞察資料。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • 雜湊
  • 網址
  • 威脅發動者
  • 威脅事件
  • 威脅特徵
  • CVE
動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項 示例
成功 True/False success:False
案件總覽
充電盒 成功 失敗 訊息
如果已擴充部分實體 false 已使用 Blueliv 的資訊,成功擴充下列實體:{entity.identifier}
如果部分內容未經過強化 false Action 無法使用 Blueliv 的資訊擴充下列實體:{entity.identifier}
如果未豐富所有 false false 系統未透過 Blueliv 的資訊擴充任何實體。
嚴重錯誤、憑證無效、API 根目錄 false 執行「Enrich Entities」動作時發生錯誤。原因:{error traceback}
如果沒有「威脅情境」模組 false 執行「Enrich Entities」動作時發生錯誤。原因:您的執行個體不支援「威脅情境」模組。

在威脅中新增註解

說明

這項操作會在特定威脅中新增所需的文字註解。

參數

參數顯示名稱 類型 預設值 是否為必要項目 說明
模組類型 字串 不適用 指定資源所屬的模組類型。
模組 ID 字串 不適用 指定資源所屬的模組 ID。
資源 ID 字串 不適用 指定要新增註解的資源 ID。
留言文字 字串 不適用 提供要新增至資源的註解。

執行時間

這項操作不會對實體執行。

動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
結果類型 值/說明 類型 (實體/一般)
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功:「Successfully added the comment to threat ID: "+{threat_ID}

動作應會失敗並停止執行應對手冊:

如果未成功:「Failed to perform action "Add Comment to a Threat {0}".format(exception.stacktrace)

 一般
案件總覽表格

名稱:「威脅 ID」+{threat_id}+「註解:

欄:

  • 註解列
  • 留言 ID
  • 內容
  • 建立日期
  • 留言者

將威脅標示為「我的最愛」

說明

這項操作會將指定的威脅標示為 BlueLiv 中的最愛威脅。

參數

參數顯示名稱 類型 預設值 DDL 值 是否為必要項目 說明
模組類型 字串 不適用 指定資源所屬的模組類型。
模組 ID 字串 不適用 指定資源所屬的模組 ID。
資源 ID 字串 不適用 指定要新增註解的資源 ID。
最愛狀態 DDL 使用者已加星號

未加星號

使用者已加星號

已將群組加上星號

已加星號的檔案

 提供您要套用至指定威脅的「我的最愛」狀態。

執行時間

這項操作不會對實體執行。

動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
結果類型 值/說明 類型 (實體/一般)
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功:「Successfully marked threat ID: "+{threat_ID}+" as favorite」(已成功將威脅 ID:「{threat_ID}」標示為我的最愛)

動作應會失敗並停止執行應對手冊:

如果未成功:「Failed to perform action "Mark Threat as a Favorite {0}".format(exception.stacktrace)

 一般

為威脅新增標籤

說明

這項動作會將指定的標籤名稱新增至指定的威脅 ID。

參數

參數顯示名稱 類型 預設值 是否為必要項目 說明
模組類型 字串 不適用 指定資源所屬的模組類型。
模組 ID 字串 不適用 指定資源所屬的模組 ID。
資源 ID 字串 不適用 以逗號分隔的清單指定要新增標籤的資源 ID。
標籤名稱 字串 不適用 以逗號分隔的清單指定要套用至指定威脅的標籤名稱。請注意大小寫。

執行時間

這項操作不會對實體執行。

動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
結果類型 值/說明 類型 (實體/一般)
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果部分標籤未順利找到:「無法在 BlueLiv 中找到下列標籤:+(unsuccessful_label names_list)+。請檢查你在動作參數中提供的標籤名稱,然後再試一次」

如果系統未找到部分威脅:「Couldn't find the following threats in BlueLiv」:+(unsuccessful_threat_IDs)+「。Please check the threat IDs you have provided in the action parameters and try again」

如果成功:「已成功將下列標籤新增至下列威脅 ID:」+(successful_label_names_list)+" to the following "threat IDs: "+(successful_threat_IDs_list)

動作應會失敗並停止執行應對手冊:

如果系統未成功找到任何標籤:「在 BlueLiv 中找不到下列任何標籤:+(unsuccessful_label names_list)+。請檢查你在動作參數中提供的標籤名稱,然後再試一次」

如果系統未成功找到任何威脅:「Couldn't find any of the following Threats in BlueLiv」:+(unsuccessful_threat_IDs_list)+「。Please check the threat IDs you have provided in the action parameters and try again」

如果未成功:「Failed to perform action "Add Labels to Threats".format(exception.stacktrace)」

 一般

從威脅中移除標籤

說明

這項操作會從指定的威脅 ID 中移除指定標籤。

參數
名稱 預設值 是否為必要項目 說明
模組類型 不適用 指定資源所屬的模組類型。
模組 ID 指定資源所屬的模組 ID
資源 ID 指定要移除標籤的資源 ID 清單 (以半形逗號分隔)。
標籤名稱 指定要移除的標籤清單 (以逗號分隔)。請注意大小寫。

執行時間

這項操作不會對實體執行。

動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
充電盒 成功 失敗 訊息
如果找不到部分標籤 false 「在 BlueLiv 中找不到下列標籤:\n{labels}。請檢查您在動作參數中提供的標籤名稱,然後再試一次。"
如果未發現任何威脅 false 模組「{module}」找不到下列威脅 {threat IDs}:{threat IDs}。請檢查您在動作參數中提供的威脅 ID,然後再試一次
如果部分使用者成功: false 已從 Blueliv 的下列威脅 {threat ID} 成功移除標籤:{successful_labels}
如果尚未套用部分設定: false 下列標籤已不屬於 Blueliv 中的威脅 {威脅 ID}:{labels already not a part}
如果找不到標籤 false 執行「從威脅中移除標籤」動作時發生錯誤。原因:找不到任何標籤。請檢查拼字。
如果沒有發現威脅 false 執行「從威脅中移除標籤」動作時發生錯誤。原因:未發現任何威脅。請檢查拼字。
嚴重錯誤、憑證無效、API 根目錄 false 執行「從威脅中移除標籤」動作時發生錯誤。原因:{error traceback}
如果模組類型或 ID 無效 false 執行「從威脅中移除標籤」動作時發生錯誤。原因:提供的模組 ID 或模組類型無效。

列出實體威脅

說明

列出 Blueliv 中與實體相關的威脅。支援的實體:所有實體。

已知限制

即使字串與威脅名稱完全相符,Blueliv API 也可能不會傳回任何結果。範例如下所示:

https://pastebin.com/YRkUCLGc - 使用「pastebin」關鍵字搜尋時,會顯示這個網址。

使用「https://pastebin.com/YRkUCLGc」關鍵字搜尋時,不會顯示 https://pastebin.com/YRkUCLGc。

參數

參數顯示名稱 類型 預設值 是否為必要項目 說明
標籤篩選器 CSV 不適用 指定以逗號分隔的標籤清單,用來篩選威脅。注意:標籤篩選器會使用「OR」邏輯。
模組篩選器 CSV 不適用 指定以半形逗號分隔的模組清單,用於篩選威脅。
要傳回的威脅數量上限 整數 50 指定每個實體要傳回的威脅數量。如未指定,動作會傳回 50 個威脅。

執行時間

這項操作會對所有實體執行。

動作執行結果
指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
JSON 結果
{
    "id": xxxxxxx,
    "module_id": xxxx,
    "module_name": "Data Leakage",
    "module_short_name": "xxx-xxxxx",
    "module_type": "DATA_LEAKAGE",
    "url": "xxx",
    "content_type": "text/html",
    "countries_id": "xx",
    "analysis_result": "INFORMATIVE",
    "analysis_calc_result": "INFORMATIVE",
    "created_at": 1626163680000,
    "checked_at": 1626163680000,
    "changed_at": 1626163680000,
    "user_rating": 0,
    "read": true,
    "fav": "NOT_STARRED",
    "issued": false,
    "labels": [
        {
            "id": 36116,
            "name": "GithubCodeByFilename",
            "background_color": 16777215,
            "text_color": 0,
            "type": "GLOBAL"
        },
        {
            "id": 160,
            "name": "Public",
            "background_color": 45960,
            "text_color": 16777215,
            "type": "GLOBAL"
        }
    ],
    "tlpStatus": "AMBER",
    "searchPhrase": "credit card",
    "followedUp": false,
    "history": []
},
案件總覽
結果類型 值/說明 類型 (實體/一般)
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果其中一個有資料 (is_success = true):「Successfully listed available threats to the following entities in Blueliv: {entity.identifier}」(已成功列出 Blueliv 中下列實體的可用威脅:{entity.identifier})。

如果沒有任何威脅 (is_success=true):「在 Blueliv 中,下列實體沒有相關威脅:{entity.identifier}」

如果一個 (is_success=true) 沒有威脅:「No related threats were found to the provided entities in Blueliv」(在 Blueliv 中,所提供的實體沒有相關威脅)

動作應會失敗並停止執行應對手冊:

如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「Error executing action "List Entity Threats". 原因:{0}''.format(error.Stacktrace)

 一般
案件總覽表格

標題:{entity.identifier}

模組名稱

網址

標題

標籤

建立時間

 實體

連接器

BlueLiv - Threats Connector

說明

從 BlueLiv 提取安全威脅。連接器會從 BlueLiv 模組擷取所有最新威脅。

許可清單和黑名單篩選器適用於 BlueLiv 模組類型。舉例來說,如果只想取得來自 Hacktivism 模組的威脅,可以開啟白名單,然後輸入「Hacktivism」類型名稱。

每種模組類型都有不同的資料結構,可擷取至 Google SecOps。請在 Google SecOps 執行個體中修改對應,以符合您的需求。請務必查看 BlueLiv 回傳的每個事件的不同「event_type」值。

如果是惡意軟體威脅類型,我們目前只提供基本事件資料。 我們很快就會新增其他事件,以便更妥善處理從惡意軟體威脅類型傳回的特殊資料。

在 Google SecOps 中設定 BlueLiv - Threats Connector

如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器

連接器參數

請使用下列參數設定連接器:

參數顯示名稱 類型 預設值 是否為必要項目 說明
產品欄位名稱 字串 ProductName 輸入來源欄位名稱,即可擷取產品欄位名稱。
事件欄位名稱 字串 event_type 輸入來源欄位名稱,即可擷取事件欄位名稱。
環境欄位名稱 字串 ""

說明儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境就是預設環境。
環境規則運算式模式 字串 .*

要對「環境欄位名稱」欄位中的值執行的 regex 模式。

預設值為 .*,可擷取所有內容並傳回未變更的值。

用於允許使用者透過規則運算式邏輯操控環境欄位。

如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
指令碼逾時 (秒) 整數 180 執行目前指令碼的 Python 程序逾時限制。
API 網址 字串 https://example.blueliv.com/api/v2 BlueLiv 執行個體的 API 根層級。
使用者名稱 字串 不適用 BlueLiv 使用者名稱
密碼 密碼 不適用 BlueLiv 的使用者密碼
機構 ID 字串 不適用 指定要在 BlueLiv 中使用的機構 ID
Fetch Max Hours Backwards 整數 1 要擷取事件的小時數。
要擷取的威脅數量上限 整數 10

每個連接器疊代要處理的威脅數量。
注意 - 此處的最大值為 100。
嚴重性 字串

嚴重程度為下列其中一個值:低、中、高、嚴重。
系統會將此值指派給透過這個連接器建立的 Google SecOps 快訊。
要擷取的分析結果 字串 (值:NOT_AVAILABLE、NOT_IMPORTANT、NOT_PROCESSABLE、POSITIVE、NEGATIVE、INFORMATIVE、IMPORTANT) 不適用

依分析師對這項威脅的分析結果篩選威脅,只擷取具有所選分析結果的威脅。提供以半形逗號分隔的清單,列出要擷取的所需分析結果。
可能的值:NOT_AVAILABLE、NOT_IMPORTANT、NOT_PROCESSABLE、POSITIVE、NEGATIVE、INFORMATIVE、IMPORTANT
用來篩選的標籤 字串 (以半形逗號分隔的清單) 不適用 請提供以半形逗號分隔的標籤名稱清單,以進行篩選。請注意大小寫,並按照 BlueLiv UI 中的標籤正確輸入。
要擷取的讀取狀態 字串 (值:「僅限已讀」或「僅限未讀」) 不適用 依讀取狀態篩選威脅,以便連接器據此擷取威脅。如未提供任何值,系統會同時擷取這兩者。選項:「僅限已讀」、「僅限未讀」。
是否只應擷取已加星號的威脅? 核取方塊 已取消勾選 如果勾選,系統只會擷取已加星號 (設為最愛) 的威脅
是否要擷取與事件相關的威脅? 字串 (值:僅限事件、僅限非事件) 不適用 連接器是否應檢查與事件的關係,藉此篩除威脅。如果未提供任何值,系統會擷取這兩者。選項包括:僅限事件 - 只會擷取與事件相關的威脅;僅限非事件 - 只會擷取與事件無關的威脅
將許可清單當做封鎖清單使用 核取方塊 已取消勾選 啟用後,系統會將允許清單視為封鎖清單。
驗證 SSL 核取方塊 已取消勾選 如果啟用,請確認連線至 BlueLiv 伺服器的 SSL 憑證有效。
Proxy 伺服器位址 字串 不適用 要使用的 Proxy 伺服器位址。
Proxy 使用者名稱 字串 不適用 用於驗證的 Proxy 使用者名稱。
Proxy 密碼 密碼 不適用 用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。