Cofense Triage
통합 버전: 10.0
사용 사례
- Cofense Triage 보고서를 수집하고 이를 사용하여 Google Security Operations 알림을 만듭니다. 그런 다음 Google SecOps에서 알림을 사용하여 플레이북이나 수동 분석으로 오케스트레이션을 수행할 수 있습니다.
- 관련 항목 및 보고서에 대한 세부정보의 보강
- 신고 분류
Google SecOps에서 Cofense Triage 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://tap.phishmecloud.com | 해당 사항 없음 | Cofense Triage 인스턴스의 API 루트입니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | Cofense Triage 계정의 클라이언트 ID입니다. |
| 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Cofense Triage 계정의 클라이언트 보안 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Cofense Triage 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
작업
보고서에 태그 추가
설명
Cofense Triage의 보고서에 태그를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 태그를 추가할 보고서의 ID를 지정합니다. |
| 태그 | CSV | 해당 사항 없음 | 예 | 보고서에 적용해야 하는 태그를 쉼표로 구분된 목록으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우(is_success = true): 'Cofense Triage에서 ID가 {0}인 보고서에 태그를 추가했습니다.'.format(report_id)를 출력합니다. 실패한 경우, 즉 상태 코드 404인 경우(is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: ''보고서에 태그 추가' 작업을 실행하는 동안 오류가 발생했습니다.'를 출력합니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
분류 보고서
설명
Cofense Triage에서 보고서를 분류합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 태그를 추가할 보고서의 ID를 지정합니다. |
| 카테고리 이름 | 문자열 | 해당 사항 없음 | 예 | 보고서에 적용해야 하는 카테고리의 이름을 지정합니다. 사용 가능한 카테고리는 '카테고리 나열' 작업에서 확인할 수 있습니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우(is_success = true): 'Cofense Triage에서 ID가 {0}인 보고서의 카테고리를 {1}로 업데이트했습니다.'.format(report_id, category_name)를 출력합니다. 실패한 경우, 즉 상태 코드 404인 경우(is_success = false): 'Cofense Triage에서 ID가 {0}인 보고서의 카테고리를 {1}로 업데이트하지 못했습니다. 이유: \n {2}".format(report_id, category_name, errors/detail) 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 있는 경우: '보고서 분류' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
보고서 다운로드 이메일
설명
Cofense Triage에서 보고서와 관련된 원시 이메일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 다운로드해야 하는 원시 이메일이 포함된 보고서의 ID를 지정합니다. |
| 폴더 다운로드 | 문자열 | 해당 사항 없음 | 예 | 다운로드 폴더의 절대 경로를 지정합니다. 참고: 이름은 {보고서 ID}.eml과 같은 방식으로 구성됩니다. |
| 덮어쓰기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 이름과 파일 경로가 같은 파일을 덮어씁니다. |
| 통계 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 보고서의 원시 이메일이 포함된 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"absolute_file_path": "{filepath}"
}
통계
| 이름 | 본문 |
|---|---|
| {ID} 신고 원본 이메일 | {대답의 콘텐츠입니다. \n을 \ }로 바꿔야 합니다. |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우(is_success = true): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 원시 이메일을 다운로드했습니다.'.format(report_id)를 출력합니다. 실패한 경우, 즉 상태 코드 400인 경우(is_success = false): 'Cofense Triage에서 ID {0}이(가) 있는 보고서와 관련된 원본 이메일을 다운로드할 수 없습니다. 이유: \n {1}".format(report_id, errors/detail) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 있는 경우: ''보고서 이메일 다운로드' 작업 실행 중에 오류가 발생했습니다.'를 출력합니다. 이유: {0}''.format(error.Stacktrace) 파일 이름이 있는 파일이 있고 덮어쓰기가 false인 경우: ''보고서 이메일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 해당 파일 경로의 파일이 이미 있습니다. 삭제하거나 '덮어쓰기'를 true로 설정하세요.' |
일반 |
보고서 미리보기 다운로드
설명
Cofense Triage의 보고서와 관련된 이메일에서 이미지 미리보기를 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 다운로드해야 하는 원시 이메일이 포함된 보고서의 ID를 지정합니다. |
| 폴더 다운로드 | 문자열 | 해당 사항 없음 | 예 | 다운로드 폴더의 절대 경로를 지정합니다. 참고: 이름은 {보고서 ID}.eml과 같은 방식으로 구성됩니다. |
| 덮어쓰기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 이름과 파일 경로가 같은 파일을 덮어씁니다. |
| 이미지 형식 | DDL | PNG
가능한 값은 다음과 같습니다.
|
예 | 이미지 형식을 지정합니다. |
| 통계 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 보고서의 원시 이메일이 포함된 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"absolute_file_path": "{filepath}"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success=true):'Cofense Triage에서 ID가 {0}인 보고서와 관련된 미리보기를 다운로드했습니다.'.format(report_id) 실패한 경우, 즉 400 상태 코드인 경우 (is_success=false): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 미리보기를 다운로드할 수 없습니다. 이유: \n {1}".format(report_id, errors/detail) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''보고서 미리보기 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 파일 이름이 있는 파일이 있고 덮어쓰기가 false인 경우: ''보고서 이메일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 해당 파일 경로의 파일이 이미 있습니다. 삭제하거나 '덮어쓰기'를 true로 설정하세요.' |
일반 |
URL 보강
설명
Cofense Triage의 URL에 관한 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위험 점수 기준 | 정수 | 50 | 예 | Google SecOps에서 해당 URL을 의심스러운 것으로 라벨링하기 위한 위험 점수 기준점을 지정합니다. 최대는 100입니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| COFENSE_TRG_id | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_risk_score | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_created_at | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_updated_at | JSON 결과에서 사용할 수 있는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "1",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1"
},
"attributes": {
"url": "https://www.paypal.com/us",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.008Z",
"updated_at": "2019-04-12T02:58:20.008Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/hostname"
},
"data": {
"type": "hostnames",
"id": "2"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/reports"
}
}
}
},
{
"id": "2",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2"
},
"attributes": {
"url": "http://cie.org.mx/leather.php?amount=1qw2f60krdrf8c",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.011Z",
"updated_at": "2019-04-12T02:58:20.011Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/hostname"
},
"data": {
"type": "hostnames",
"id": "1"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 URL이 성공한 경우(is_success = true): 'Cofense Triage를 사용하여 다음 URL을 성공적으로 보강했습니다.\n {0}'.format(entity.identifier list) 출력 하나 이상의 URL이 성공한 경우(is_success = true): print '작업이 Cofense Triage를 사용하여 다음 URL을 보강할 수 없었습니다.\n {0}'.format(entity.identifier list) 모든 항목을 보강할 수 없는 경우 (is_success = false): '보강된 URL이 없습니다' 출력 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''URL 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 보강 테이블 섹션에 있지만 'COFENSE_TRG_' 접두사가 없는 필드 | 항목 |
플레이북 실행
설명
Cofense Triage에서 플레이북 실행을 시작합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 플레이북을 실행하려는 보고서의 ID를 지정합니다. |
| 플레이북 이름 | 문자열 | 해당 사항 없음 | 예 | 실행해야 하는 플레이북의 이름을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 204 상태 코드가 보고된 경우 (is_success=true): 'Cofense Triage의 {report id} 보고서에서 {playbook name} 플레이북을 실행했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. '반환할 최대 레코드 수' 매개변수에 잘못된 값이 제공된 경우: ''플레이북 실행' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''플레이북 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 응답에 오류가 보고된 경우: "Error executing action "Execute Playbook". 이유: {0}''.format(detail)' 플레이북을 찾을 수 없는 경우: "Error executing action "Execute Playbook". 이유: 이름이 {name}인 플레이북을 찾을 수 없습니다." |
일반 |
도메인 세부정보 가져오기
설명
Cofense Triage에서 도메인에 관한 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 |
|---|
| 해당 사항 없음 |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "1",
"type": "hostnames",
"attributes": {
"hostname": "cie.org.mx",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.893Z",
"updated_at": "2019-04-12T02:58:19.974Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/urls"
}
}
}
},
{
"id": "2",
"type": "hostnames",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2"
},
"attributes": {
"hostname": "www.paypal.com",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.898Z",
"updated_at": "2019-04-12T02:58:19.965Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/urls"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 URL이 성공한 경우(is_success = true): 'Cofense Triage를 사용하여 다음 도메인에 대한 세부정보를 반환했습니다. \n {0}'.format(entity.identifier list)을 출력합니다. 하나 이상의 URL이 성공한 경우(is_success = true): '작업이 Cofense Triage를 사용하여 다음 도메인에 대한 세부정보를 가져올 수 없었습니다.\n {0}'.format(entity.identifier list) 모든 항목을 보강할 수 없는 경우 (is_success = false): '도메인에 대한 정보를 찾을 수 없습니다.'라고 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''도메인 세부정보 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 표 이름: 도메인 세부정보 표 열: 이름 - 호스트 이름 위험 점수 - risk_score |
일반 |
보고서 헤더 가져오기
설명
Cofense Triage의 보고서와 관련된 헤더에 관한 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 헤더를 가져오려는 보고서의 ID를 지정합니다. |
| 반환할 최대 헤더 수 | 정수 | 50 | 아니요 | 반환할 헤더 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "4",
"type": "headers",
"attributes": {
"key": "Mime-Version",
"value": "1.0",
"created_at": "2020-11-03T16:43:33.767Z",
"updated_at": "2020-11-03T16:43:33.767Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/headers/4/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/headers/4/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우(is_success = true): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 헤더를 반환했습니다.'.format(report_id)를 출력합니다. 실패한 경우, 즉 상태 코드 404(is_success = false): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 헤더를 반환할 수 없습니다. 이유: \n {1}".format(report_id, errors/detail) 규칙을 찾을 수 없는 경우 (is_success = false): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 헤더를 찾을 수 없습니다.'를 출력합니다.format(report_id) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류: ''보고서 헤더 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 테이블 이름: 보고서 {0} 헤더 테이블 열: 이름 키 값 - 값 |
일반 |
Get Report Reporters(신고한 사용자 가져오기)
설명
Cofense Triage의 신고와 관련된 신고자 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보고서 ID | 문자열 | 해당 사항 없음 | 예 | 신고자를 가져오려는 보고서의 ID를 지정합니다. |
| 반환할 최대 신고자 수 | 정수 | 50 | 아니요 | 반환할 신고자 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
"data": {
"id": "5331",
"type": "reporters",
"attributes": {
"email": "user@example.com",
"reports_count": 277,
"last_reported_at": "2020-11-06T18:32:47.000Z",
"reputation_score": 561,
"vip": true,
"created_at": "2019-10-24T01:05:28.649Z",
"updated_at": "2020-11-06T18:33:59.004Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/reports"
}
}
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우(is_success = true): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 신고자를 반환했습니다.'.format(report_id)를 출력합니다. 실패한 경우, 즉 상태 코드 404(is_success = false): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 신고자를 반환할 수 없습니다. 이유: \n {1}".format(report_id, errors/detail) 규칙을 찾을 수 없는 경우 (is_success = false): 'Cofense Triage에서 ID가 {0}인 보고서와 관련된 신고자를 찾을 수 없습니다.'를 출력합니다.format(report_id) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '신고한 사용자 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 표 이름: Report {0} Reporters(신고 {0} 신고자) 테이블 열: 이메일 - 이메일 신고 수 - reports_count 평판 점수 - reputation_score VIP - vip |
일반 |
위협 지표 세부정보 가져오기
설명
Cofense Triage의 위협 지표 세부정보를 기반으로 항목에 관한 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 |
|---|
| 해당 사항 없음 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| COFENSE_TRG_ti_id | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_ti_type | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_ti_threat_level | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_ti_threat_source | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_ti_created_at | JSON 결과에서 사용할 수 있는 경우 |
| COFENSE_TRG_id_updated_at | JSON 결과에서 사용할 수 있는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "1",
"type": "threat_indicators",
"attributes": {
"threat_level": "Malicious",
"threat_type": "MD5",
"threat_value": "f1364ab115332cb44b5d7bb734d2cbf6",
"threat_source": "Triage-UI",
"created_at": "2019-06-06T18:55:38.107Z",
"updated_at": "2020-11-03T16:41:19.972Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/reports"
}
}
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 항목에 성공한 경우(is_success = true): 'Cofense Triage를 사용하여 다음 항목에 대한 위협 지표 세부정보를 성공적으로 반환했습니다.\n {0}'.format(entity.identifier list)을 출력합니다. 하나 이상의 항목에 성공한 경우(is_success = true): '작업에서 Cofense Triage를 사용하여 다음 항목에 대한 위협 지표 세부정보를 반환할 수 없습니다.\n {0}'.format(entity.identifier list)을 출력합니다. 모든 항목을 보강할 수 없는 경우 (is_success = false): '항목에 대한 위협 지표 정보를 찾을 수 없습니다.'라고 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류인 경우: ''위협 지표 세부정보 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 보강 테이블 섹션에 있지만 'COFENSE_TRG_' 접두사가 없는 필드 | 항목 |
카테고리 나열
설명
Cofense Triage에서 사용 가능한 카테고리를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | CSV | 해당 사항 없음 | 아니요 | 쉼표로 구분된 카테고리 이름 목록을 지정합니다. 이 매개변수는 지정된 이름의 카테고리가 존재하는지 확인하는 데 유용합니다. |
| 가져올 가장 낮은 점수 | 정수 | 해당 사항 없음 | 아니요 | 카테고리에 대해 허용되는 가장 낮은 점수를 지정합니다. 이 매개변수는 음수 값과 함께 사용할 수 있습니다. |
| 악성만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 작업에서 악성 카테고리만 반환합니다. |
| 보관처리됨만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 작업에서 보관처리된 카테고리만 반환합니다. |
| 보관처리되지 않음만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 보관처리되지 않은 카테고리만 반환합니다. |
| 악성 콘텐츠가 아닌 콘텐츠만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 악의적이지 않은 카테고리만 반환합니다. |
| 반환할 최대 카테고리 수 | 정수 | 해당 사항 없음 | 아니요 | 반환할 카테고리 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": [
{
"id": "1",
"type": "categories",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1"
},
"attributes": {
"name": "Non-Malicious",
"score": -5,
"malicious": false,
"color": "#739d75",
"archived": false,
"created_at": "2019-04-11T08:24:49.787Z",
"updated_at": "2019-11-12T19:15:37.849Z"
},
"relationships": {
"one_clicks": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/one_clicks",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/one_clicks"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success=true): 'Cofense Triage에서 사용 가능한 카테고리를 반환했습니다.' 카테고리가 없는 경우 (is_success=false) '기준에 해당하는 카테고리가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''카테고리 목록' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 사용 가능한 카테고리 표 열:
|
일반 |
플레이북 나열
설명
Cofense Triage에서 사용 가능한 플레이북을 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 필터 키 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 플레이북을 필터링하는 데 사용해야 하는 키를 지정합니다. |
| 필터 로직 | DDL | 지정되지 않음 가능한 값은 다음과 같습니다.
|
아니요 | 적용해야 하는 필터 로직의 유형을 지정합니다. 필터링 로직은 '필터 키' 매개변수에 제공된 값을 기반으로 작동합니다. 참고: '같음' 논리는 대소문자를 구분하지만 '포함'은 대소문자를 구분하지 않습니다. |
| 필터 값 | 문자열 | 해당 사항 없음 | 아니요 | 필터에 사용해야 하는 값을 지정합니다. '같음'을 선택하면 작업에서 결과 중 정확한 일치 항목을 찾으려고 시도합니다. '포함'을 선택하면 작업에서 해당 하위 문자열을 포함하는 결과를 찾으려고 시도합니다. 이 매개변수에 아무것도 제공되지 않으면 필터가 적용되지 않습니다. 필터링 로직은 '필터 키' 매개변수에 제공된 값을 기반으로 작동합니다. |
| 반환할 최대 레코드 수 | 정수 | 50 | 아니요 | 반환할 레코드 수를 지정합니다. 아무것도 제공되지 않으면 작업에서 50개의 레코드를 반환합니다. 최대: 200 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"id": "1",
"type": "playbooks",
"links": {
"self": "https://reltest6.phishmecloud.com/api/public/v2/playbooks/1"
},
"attributes": {
"name": "SN_Test",
"description": "",
"active": true,
"button_color": "#204d74",
"add_rule_tags_to_report_tags": true,
"remove_existing_report_tags": false,
"remove_existing_cluster_tags": false,
"report_tags": [
"SN_Test"
],
"cluster_tags": [
"SN_Cluster_Test",
"test1"
],
"delete_report": false,
"guid": "b443a844-ffc2-49d2-8903-1a5f7fde7526",
"created_at": "2021-05-28T01:29:22.080Z",
"updated_at": "2022-04-08T06:04:17.016Z"
}
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터를 사용할 수 있는 경우 (is_success=true): 'Cofense Triage에서 제공된 기준에 맞는 플레이북을 찾았습니다.' 데이터를 사용할 수 없는 경우 (is_success=false): 'Cofense Triage에서 제공된 기준에 맞는 플레이북을 찾을 수 없습니다.' '필터 값' 매개변수가 비어 있는 경우 (is_success=true): '필터가 적용되지 않았습니다. '필터 값' 매개변수가 비어 있습니다.' '필터 로직' 매개변수가 '지정되지 않음'으로 설정된 경우(is_success=true): '필터 로직' 매개변수가 지정되지 않아 필터가 적용되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. '필터 키' 매개변수가 '하나 선택'으로 설정되고 '필터 논리' 매개변수가 '같음' 또는 '포함'으로 설정된 경우: '{작업 이름}' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '필터 키' 매개변수에서 필드를 선택해야 합니다.' '반환할 최대 레코드 수' 매개변수에 잘못된 값이 제공된 경우: '{작업 이름}' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '반환할 최대 레코드 수'에 잘못된 값이 제공되었습니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''플레이북 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 사용 가능한 플레이북 표 열:
|
일반 |
위협 지표와 관련된 보고서 나열
설명
Cofense Triage의 위협 지표와 관련된 보고서를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 월 테이블 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 신고에 관한 정보가 포함된 케이스 월 테이블을 만듭니다. |
| 반환할 최대 보고서 수 | 정수 | 100 | 아니요 | 반환할 보고서 수를 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"reports": [
{
"id": "13219",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13219"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T01:25:07.642Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 01:25:07 +0000\r\nMessage-ID: <5cde0d73994b2_10902aea1885332418512@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cde0d7399130_10902aea18853324184a7\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "3e4c2e6e85695569ae7a11aac8a774c6",
"sha256": "1434d565d7735a841f39cb953cfdbbba1d0793324900d42c25b212b454a77993",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T01:25:07.652Z",
"updated_at": "2019-05-17T01:25:10.032Z"
},
"meta": {
"risk_score_summary": null
}
},
{
"id": "13227",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13227"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T14:53:54.318Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 14:53:54 +0000\r\nMessage-ID: <5cdecb024a663_107f2b040f2cd3306399@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cdecb024a2fd_107f2b040f2cd3306387b\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "92bb365c3fe712216610e884621c771a",
"sha256": "da37a508cd47987e9989fc8a2af12352c6652fa5c421f4556ef6a198bf73821e",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T14:53:54.327Z",
"updated_at": "2019-05-17T14:53:56.453Z"
},
"meta": {
"risk_score_summary": null
}
}
],
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Cofense Triage에서 제공된 항목과 관련된 보고서를 반환했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''위협 지표와 관련된 보고서 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: (error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 관련 보고서 표 열: ID 제목 생성일 위치 |
일반 |
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Cofense Triage에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
|
일반 |
커넥터
Cofense Triage - Reports Connector
Cofense Triage에서 보고서를 가져옵니다.
Google SecOps에서 Cofense Triage - Reports Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목< | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | 위치 | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://tap.phishmecloud.com | 예 | Cofense Triage 인스턴스의 API 루트입니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | Cofense Triage 계정의 클라이언트 ID입니다. |
| 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Cofense Triage 계정의 클라이언트 보안 비밀번호입니다. |
| 가져올 가장 낮은 위험 점수 | 정수 | 0 | 예 | 이메일을 가져오는 데 사용할 가장 낮은 위험 점수입니다. 최대는 100입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 이메일을 가져올 위치의 시간입니다. |
| 가져올 최대 보고서 수 | 정수 | 10 | 아니요 | 커넥터 반복당 처리할 보고서 수입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Cofense Triage 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.