Cofense Triage
Integrationsversion: 10.0
Anwendungsbereiche
- Cofense Triage-Berichte aufnehmen und damit Google Security Operations-Benachrichtigungen erstellen In Google SecOps können dann mit Benachrichtigungen Orchestrierungen mit Playbooks oder manuelle Analysen durchgeführt werden.
- Anreicherung der zugehörigen Entitäten und Details zum Bericht.
- Triage des Berichts.
Cofense Triage-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://tap.phishmecloud.com | – | API-Stammverzeichnis der Cofense Triage-Instanz. |
| Client-ID | String | – | Ja | Client-ID des Cofense Triage-Kontos. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel des Cofense Triage-Kontos. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Cofense Triage-Server gültig ist. |
Aktionen
Tags zum Bericht hinzufügen
Beschreibung
Einem Bericht in Cofense Triage Tags hinzufügen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, dem Sie Tags hinzufügen möchten. |
| Tags | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste von Tags an, die auf den Bericht angewendet werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully added tags to the the report with ID {0} in Cofense Triage.".format(report_id) Bei fehlgeschlagener Aktion(Statuscode 404, is_success = false): Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Tags zum Bericht hinzufügen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Bericht „Kategorisieren“
Beschreibung
Bericht in Cofense Triage kategorisieren
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, dem Sie Tags hinzufügen möchten. |
| Name der Kategorie | String | – | Ja | Geben Sie den Namen der Kategorie an, die auf den Bericht angewendet werden soll. Verfügbare Kategorien finden Sie in der Aktion „Kategorien auflisten“. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully updated category on the the report with ID {0} to {1} in Cofense Triage.".format(report_id, category_name) Bei fehlgeschlagenem Vorgang(Statuscode 404, is_success = false): print "Action wasn't able to update the category on the report with ID {0} to {1} in Cofense Triage. Grund: \n {2}".format(report_id, category_name, errors/detail) Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.:Gib „Fehler beim Ausführen der Aktion ‚Bericht kategorisieren‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
E-Mail-Adresse für Berichte
Beschreibung
Laden Sie die Roh-E-Mail zum Bericht aus Cofense Triage herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, der die herunterzuladende Roh-E‑Mail enthält. |
| Ordner herunterladen | String | – | Ja | Geben Sie den absoluten Pfad zum Downloadordner an. Hinweis: Der Name wird so erstellt: {Berichts-ID}.eml. |
| Überschreiben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird die Datei mit demselben Namen und Dateipfad überschrieben. |
| Insight erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight erstellt, der die Rohdaten-E-Mail des Berichts enthält. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"absolute_file_path": "{filepath}"
}
Insight
| Name | Text |
|---|---|
| Bericht {ID} Roh-E‑Mail | {content of the response. \n sollte durch \ } ersetzt werden. |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully downloaded raw email related to the report with ID {0} in Cofense Triage.".format(report_id) if unsuccessful aka status code 400(is_success = false): print "Action wasn't able to download raw email related to the report with ID {0} in Cofense Triage. Grund: \n {1}".format(report_id, errors/detail) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Bericht per E‑Mail herunterladen‘. Grund: {0}''.format(error.Stacktrace) Wenn eine Datei mit dem Dateinamen vorhanden ist und „overwrite“ auf „false“ gesetzt ist: „Error executing action "Download Report Email". Grund: Eine Datei mit diesem Dateipfad ist bereits vorhanden. Entfernen Sie sie oder legen Sie 'Overwrite' auf „true“ fest.“ |
Allgemein |
Berichtsvorschau herunterladen
Beschreibung
Laden Sie die Bildvorschau aus der E‑Mail herunter, die sich auf den Bericht von Cofense Triage bezieht.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, der die herunterzuladende Roh-E‑Mail enthält. |
| Ordner herunterladen | String | – | Ja | Geben Sie den absoluten Pfad zum Downloadordner an. Hinweis: Der Name wird so erstellt: {Berichts-ID}.eml. |
| Überschreiben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird die Datei mit demselben Namen und Dateipfad überschrieben. |
| Bildformat | DDL | PNG
Mögliche Werte:
|
Ja | Geben Sie das Format des Bildes an. |
| Insight erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight erstellt, der die Rohdaten-E-Mail des Berichts enthält. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"absolute_file_path": "{filepath}"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success=true): „Successfully downloaded preview related to the report with ID {0} in Cofense Triage.“ (Die Vorschau für den Bericht mit der ID {0} wurde in Cofense Triage erfolgreich heruntergeladen.)“.format(report_id) Wenn das nicht gelingt, wird der Statuscode 400 (is_success=false) zurückgegeben: „Action wasn't able to download a preview related to the report with ID {0} in Cofense Triage. Grund: \n {1}".format(report_id, errors/detail) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Berichtsvorschau herunterladen‘. Grund: {0}''.format(error.Stacktrace) Wenn eine Datei mit dem Dateinamen vorhanden ist und „overwrite“ auf „false“ gesetzt ist: „Error executing action "Download Report Email". Grund: Eine Datei mit diesem Dateipfad ist bereits vorhanden. Entfernen Sie sie oder legen Sie 'Overwrite' auf „true“ fest.“ |
Allgemein |
URL anreichern
Beschreibung
Gibt Informationen zur URL aus Cofense Triage zurück.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Grenzwert für Risikobewertung | Ganzzahl | 50 | Ja | Geben Sie an, welcher Risikobewertungsgrenzwert für Google SecOps gelten soll, damit die URL als verdächtig gekennzeichnet wird. Der Höchstwert beträgt 100. |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| COFENSE_TRG_id | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_risk_score | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_created_at | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_updated_at | Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "1",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1"
},
"attributes": {
"url": "https://www.paypal.com/us",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.008Z",
"updated_at": "2019-04-12T02:58:20.008Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/hostname"
},
"data": {
"type": "hostnames",
"id": "2"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/reports"
}
}
}
},
{
"id": "2",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2"
},
"attributes": {
"url": "http://cie.org.mx/leather.php?amount=1qw2f60krdrf8c",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.011Z",
"updated_at": "2019-04-12T02:58:20.011Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/hostname"
},
"data": {
"type": "hostnames",
"id": "1"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful for at least one URL(is_success = true): print "Successfully enriched the following URLs using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one URL(is_success = true): print "Action wasn't able to enrich the following URLs using Cofense Triage: \n {0}".format(entity.identifier list) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false): Gib „No URLs were enriched.“ aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚URL anreichern‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Felder, die sich im Abschnitt „Enrichment table“ (Anreicherungstabelle) befinden, aber nicht das Präfix „COFENSE_TRG_“ haben | Entität |
Playbook ausführen
Beschreibung
Starten Sie die Ausführung eines Playbooks in Cofense Triage.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, für den Sie das Playbook ausführen möchten. |
| Playbook-Name | String | – | Ja | Geben Sie den Namen des Playbooks an, das ausgeführt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 204 gemeldet wird (is_success=true): „Successfully executed playbook {playbook name} on report {report id} in Cofense Triage.“ (Das Playbook „{playbook name}“ wurde für den Bericht „{report id}“ in Cofense Triage erfolgreich ausgeführt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein ungültiger Wert für den Parameter „Max. zurückzugebende Datensätze“ angegeben wird: „Fehler beim Ausführen der Aktion ‚Playbook ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Playbooks auflisten‘. Grund: {0}''.format(error.Stacktrace) Wenn in der Antwort Fehler gemeldet werden: „Fehler beim Ausführen der Aktion ‚Playbook ausführen‘. Grund: {0}''.format(detail) Wenn das Playbook nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Playbook ausführen‘. Grund: Das Playbook mit dem Namen {name} wurde nicht gefunden.“ |
Allgemein |
Domaindetails abrufen
Beschreibung
Gibt Informationen zur Domain aus Cofense Triage zurück.
Parameter
| Anzeigename des Parameters |
|---|
| – |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "1",
"type": "hostnames",
"attributes": {
"hostname": "cie.org.mx",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.893Z",
"updated_at": "2019-04-12T02:58:19.974Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/urls"
}
}
}
},
{
"id": "2",
"type": "hostnames",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2"
},
"attributes": {
"hostname": "www.paypal.com",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.898Z",
"updated_at": "2019-04-12T02:58:19.965Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/urls"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful for at least one URL(is_success = true): print "Successfully returned details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one URL(is_success = true): print "Action wasn't able to get details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false): Gib „No information about the domains was found.“ (Es wurden keine Informationen zu den Domains gefunden.) aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Domaindetails abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Tabellenname:Domaindetails Tabellenspalten: Name – Hostname Risikobewertung – risk_score |
Allgemein |
Berichtskopfzeilen abrufen
Beschreibung
Gibt Informationen zur Kopfzeile des Berichts von Cofense Triage zurück.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, für den Sie Header abrufen möchten. |
| Maximale Anzahl zurückzugebender Header | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Header zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "4",
"type": "headers",
"attributes": {
"key": "Mime-Version",
"value": "1.0",
"created_at": "2020-11-03T16:43:33.767Z",
"updated_at": "2020-11-03T16:43:33.767Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/headers/4/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/headers/4/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully returned related headers to the report with ID {0} in Cofense Triage.".format(report_id) Bei einem Fehler(Statuscode 404, is_success = false): print "Action wasn't able to return related headers to the report with ID {0} in Cofense Triage. Grund: \n {1}".format(report_id, errors/detail) Wenn keine Regeln gefunden werden (is_success = false): Drucken Sie Folgendes: „No related headers were found to the report with ID {0} in Cofense Triage.“ (Für den Bericht mit der ID {0} in Cofense Triage wurden keine zugehörigen Headern gefunden.).format(report_id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.:Gib „Fehler beim Ausführen der Aktion ‚Berichtskopfzeilen abrufen‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Tabellenname:Report {0} Headers Tabellenspalten: Name-Schlüssel Wert: Wert |
Allgemein |
Berichtersteller abrufen
Beschreibung
Gibt Informationen zum Reporter im Zusammenhang mit dem Bericht von Cofense Triage zurück.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Berichts-ID | String | – | Ja | Geben Sie die ID des Berichts an, für den Sie Reporter abrufen möchten. |
| Maximale Anzahl zurückzugebender Reporter | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Reporter zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
"data": {
"id": "5331",
"type": "reporters",
"attributes": {
"email": "user@example.com",
"reports_count": 277,
"last_reported_at": "2020-11-06T18:32:47.000Z",
"reputation_score": 561,
"vip": true,
"created_at": "2019-10-24T01:05:28.649Z",
"updated_at": "2020-11-06T18:33:59.004Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/reports"
}
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully returned related reporters to the report with ID {0} in Cofense Triage.".format(report_id) Bei fehlgeschlagener Aktion(Statuscode 404, is_success = false): print "Action wasn't able to return related reporters to the report with ID {0} in Cofense Triage. Grund: \n {1}".format(report_id, errors/detail) Wenn keine Regeln gefunden wurden (is_success = false): Drucken Sie „No related reporters were found to the report with ID {0} in Cofense Triage.“ (Für den Bericht mit der ID {0} in Cofense Triage wurden keine zugehörigen Reporter gefunden.).format(report_id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges:Gib „Fehler beim Ausführen der Aktion ‚Berichtsersteller abrufen‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Tabellenname: „Report {0} Reporters“ (Melder von Berichten {0}) Tabellenspalten: E-Mail – E-Mail Anzahl der Berichte – reports_count Reputation Score (Reputationswert) – reputation_score VIP - vip |
Allgemein |
Details zu Bedrohungsindikatoren abrufen
Beschreibung
Gibt Informationen zu den Entitäten basierend auf den Details des Bedrohungsindikators aus Cofense Triage zurück.
Parameter
| Anzeigename des Parameters |
|---|
| – |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| COFENSE_TRG_ti_id | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_ti_type | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_ti_threat_level | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_ti_threat_source | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_ti_created_at | Falls im JSON-Ergebnis verfügbar. |
| COFENSE_TRG_id_updated_at | Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "1",
"type": "threat_indicators",
"attributes": {
"threat_level": "Malicious",
"threat_type": "MD5",
"threat_value": "f1364ab115332cb44b5d7bb734d2cbf6",
"threat_source": "Triage-UI",
"created_at": "2019-06-06T18:55:38.107Z",
"updated_at": "2020-11-03T16:41:19.972Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/reports"
}
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful for at least one entity(is_success = true): print "Successfully returned threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one entity(is_success = true): print "Action wasn't able to return threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false): Gib „No threat indicator information about the entities was found.“ aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Error executing action ‚Get Threat Indicator Details‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Felder, die sich im Abschnitt „Enrichment table“ (Anreicherungstabelle) befinden, aber nicht das Präfix „COFENSE_TRG_“ haben | Entität |
Kategorien auflisten
Beschreibung
Verfügbare Kategorien in Cofense Triage auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Namen | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorienamen an. Mit diesem Parameter lässt sich prüfen, ob eine Kategorie mit dem angegebenen Namen vorhanden ist. |
| Niedrigster abzurufender Wert | Ganzzahl | – | Nein | Geben Sie die niedrigste akzeptierte Punktzahl für die Kategorie an. Dieser Parameter kann mit negativen Werten verwendet werden. |
| Nur schädlich | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden nur schädliche Kategorien zurückgegeben. |
| Nur archiviert | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden nur archivierte Kategorien zurückgegeben. |
| Nur nicht archiviert | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden nur nicht archivierte Kategorien zurückgegeben. |
| Nur nicht schädliche | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden nur nicht schädliche Kategorien zurückgegeben. |
| Maximale Anzahl der zurückzugebenden Kategorien | Ganzzahl | – | Nein | Geben Sie die Anzahl der zurückzugebenden Kategorien an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": [
{
"id": "1",
"type": "categories",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1"
},
"attributes": {
"name": "Non-Malicious",
"score": -5,
"malicious": false,
"color": "#739d75",
"archived": false,
"created_at": "2019-04-11T08:24:49.787Z",
"updated_at": "2019-11-12T19:15:37.849Z"
},
"relationships": {
"one_clicks": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/one_clicks",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/one_clicks"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success=true): „Successfully returned available categories from Cofense Triage.“ (Die verfügbaren Kategorien wurden erfolgreich von Cofense Triage zurückgegeben.) Wenn keine Kategorien gefunden werden (is_success=false): „Für die Kriterien wurden keine Kategorien gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Kategorien auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Verfügbare Kategorien Tabellenspalte:
|
Allgemein |
Playbooks auflisten
Beschreibung
Verfügbare Playbooks in Cofense Triage auflisten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Filterschlüssel | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Schlüssel an, der zum Filtern von Playbooks verwendet werden muss. |
| Filterlogik | DDL | Nicht angegeben Mögliche Werte:
|
Nein | Geben Sie den Typ der Filterlogik an, die angewendet werden soll. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. Hinweis:Bei der Logik „Gleich“ wird die Groß-/Kleinschreibung beachtet, bei „Enthält“ nicht. |
| Filterwert | String | – | Nein | Geben Sie den Wert an, der im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird in der Aktion versucht, die genaue Übereinstimmung unter den Ergebnissen zu finden. Wenn „Enthält“ ausgewählt ist, versucht die Aktion, Ergebnisse zu finden, die diesen Teilstring enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. |
| Maximale Anzahl zurückzugebender Datensätze | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Datensätze an. Wenn nichts angegeben wird, werden 50 Datensätze zurückgegeben. Maximum: 200 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"id": "1",
"type": "playbooks",
"links": {
"self": "https://reltest6.phishmecloud.com/api/public/v2/playbooks/1"
},
"attributes": {
"name": "SN_Test",
"description": "",
"active": true,
"button_color": "#204d74",
"add_rule_tags_to_report_tags": true,
"remove_existing_report_tags": false,
"remove_existing_cluster_tags": false,
"report_tags": [
"SN_Test"
],
"cluster_tags": [
"SN_Cluster_Test",
"test1"
],
"delete_report": false,
"guid": "b443a844-ffc2-49d2-8903-1a5f7fde7526",
"created_at": "2021-05-28T01:29:22.080Z",
"updated_at": "2022-04-08T06:04:17.016Z"
}
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten verfügbar sind (is_success=true): „Successfully found playbooks for the provided criteria in Cofense Triage.“ (Für die angegebenen Kriterien wurden in Cofense Triage erfolgreich Playbooks gefunden.) Wenn keine Daten verfügbar sind (is_success=false): „Für die angegebenen Kriterien wurden in Cofense Triage keine Playbooks gefunden.“ Wenn der Parameter „Filterwert“ leer ist (is_success=true): „Der Filter wurde nicht angewendet, da der Parameter ‚Filterwert‘ leer ist.“ Wenn der Parameter „Filter Logic“ auf „Not Specified“ (is_success=true) festgelegt ist: „The filter was not applied, because parameter "Filter Logic" is not specified.“ (Der Filter wurde nicht angewendet, da der Parameter „Filter Logic“ nicht angegeben ist.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Parameter „Filterschlüssel“ auf „Eins auswählen“ und der Parameter „Filterlogik“ auf „Gleich“ oder „Enthält“ festgelegt ist: „Fehler beim Ausführen der Aktion ‚{action name}‘. Grund: Sie müssen ein Feld aus dem Parameter „Filterschlüssel“ auswählen.“ Wenn ein ungültiger Wert für den Parameter „Max. zurückzugebende Datensätze“ angegeben wird: „Fehler beim Ausführen der Aktion {action name}. Grund: Für „Max. zurückzugebende Datensätze“ wurde ein ungültiger Wert angegeben: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Playbooks auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Verfügbare Playbooks Tabellenspalte:
|
Allgemein |
Berichte zu Bedrohungsindikatoren auflisten
Beschreibung
Berichte zu Bedrohungsindikatoren in Cofense Triage auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Case Wall-Tabelle erstellen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird eine Tabelle mit Informationen zu Berichten erstellt. |
| Maximale Anzahl zurückzugebender Berichte | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Berichte zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"reports": [
{
"id": "13219",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13219"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T01:25:07.642Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 01:25:07 +0000\r\nMessage-ID: <5cde0d73994b2_10902aea1885332418512@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cde0d7399130_10902aea18853324184a7\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "3e4c2e6e85695569ae7a11aac8a774c6",
"sha256": "1434d565d7735a841f39cb953cfdbbba1d0793324900d42c25b212b454a77993",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T01:25:07.652Z",
"updated_at": "2019-05-17T01:25:10.032Z"
},
"meta": {
"risk_score_summary": null
}
},
{
"id": "13227",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13227"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T14:53:54.318Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 14:53:54 +0000\r\nMessage-ID: <5cdecb024a663_107f2b040f2cd3306399@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cdecb024a2fd_107f2b040f2cd3306387b\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "92bb365c3fe712216610e884621c771a",
"sha256": "da37a508cd47987e9989fc8a2af12352c6652fa5c421f4556ef6a198bf73821e",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T14:53:54.327Z",
"updated_at": "2019-05-17T14:53:56.453Z"
},
"meta": {
"risk_score_summary": null
}
}
],
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully returned reports related to provided entities from Cofense Triage.“ (Berichte zu den angegebenen Entitäten wurden erfolgreich von Cofense Triage zurückgegeben.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Berichte zu Bedrohungsindikatoren auflisten‘. Grund: (error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Zugehörige Berichte Tabellenspalte: ID Betreff Erstellt am Standort |
Allgemein |
Ping
Beschreibung
Testen Sie die Verbindung zu Cofense Triage mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
|
Allgemein |
Connector
Cofense Triage – Reports Connector
Berichte aus Cofense Triage abrufen
Cofense Triage – Reports Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch< | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Standort | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://tap.phishmecloud.com | Ja | API-Stammverzeichnis der Cofense Triage-Instanz. |
| Client-ID | String | – | Ja | Client-ID des Cofense Triage-Kontos. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel des Cofense Triage-Kontos. |
| Niedrigste abzurufende Risikobewertung | Ganzzahl | 0 | Ja | Niedrigster Risikowert, der zum Abrufen von E‑Mails verwendet wird. Der Höchstwert beträgt 100. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen E‑Mails abgerufen werden sollen. |
| Maximale Anzahl abzurufender Berichte | Ganzzahl | 10 | Nein | Anzahl der Berichte, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Cofense Triage-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten