Cofense Triage
集成版本:10.0
使用场景
- 提取 Cofense Triage 报告,并使用这些报告创建 Google Security Operations 提醒。接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
- 相关实体的丰富信息以及报告的详细信息。
- 报告的分诊。
在 Google SecOps 中配置 Cofense Triage 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://tap.phishmecloud.com | 不适用 | Cofense Triage 实例的 API 根目录。 |
| 客户端 ID | 字符串 | 不适用 | 是 | Cofense Triage 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | Cofense Triage 账号的客户端密钥。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Cofense Triage 服务器的连接所用的 SSL 证书是否有效。 |
操作
向报告添加标记
说明
在 Cofense Triage 中向报告添加标记。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定要向其添加标记的报告的 ID。 |
| 标记 | CSV | 不适用 | 是 | 指定需要应用于报告的标记的逗号分隔列表。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true):输出“Successfully added tags to the the report with ID {0} in Cofense Triage.”。format(report_id) 如果失败(即状态代码为 404 [is_success = false]): 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Add Tags To Report"”。原因:{0}''.format(error.Stacktrace) |
常规 |
分类报告
说明
在 Cofense Triage 中对报告进行分类。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定要向其添加标记的报告的 ID。 |
| 类别名称 | 字符串 | 不适用 | 是 | 指定应应用于报告的类别的名称。您可以在“列出类别”操作中找到可用的类别。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true):在 Cofense Triage 中,将 ID 为 {0} 的报告的类别成功更新为 {1}。 如果失败(即状态代码为 404 [is_success = false]):print "Action wasn't able to update the category on the report with ID {0} to {1} in Cofense Triage. 原因:\n {2}".format(report_id, category_name, errors/detail) 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:打印“Error executing action "Categorize Report".”。原因:{0}''.format(error.Stacktrace) |
常规 |
下载报告电子邮件
说明
从 Cofense Triage 下载与报告相关的原始电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定包含需要下载的原始电子邮件的报告的 ID。 |
| 下载文件夹 | 字符串 | 不适用 | 是 | 指定下载文件夹的绝对路径。注意:名称将按以下方式构建:{report id}.eml。 |
| 覆盖 | 复选框 | 勾选 | 否 | 如果启用,该操作将覆盖具有相同名称和文件路径的文件。 |
| 创建分析数据 | 复选框 | 尚未核查 | 否 | 如果启用,该操作将创建包含报告原始电子邮件的分析。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"absolute_file_path": "{filepath}"
}
数据分析
| 名称 | 正文 |
|---|---|
| 报告 {ID}。原始电子邮件 | {content of the response. \n 应替换为 \ } |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true):打印“Successfully downloaded raw email related to the report with ID {0} in Cofense Triage.”(已成功下载 Cofense Triage 中与 ID 为 {0} 的报告相关的原始电子邮件)。format(report_id) 如果失败(即状态代码为 400 [is_success = false]):打印“无法在 Cofense Triage 中下载与 ID 为 {0} 的报告相关的原始电子邮件。原因:\n {1}".format(report_id, errors/detail) 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Download Report Email".”。原因:{0}''.format(error.Stacktrace) 如果存在具有相应文件名的文件,且 overwrite 为 false:“执行操作‘下载报告电子邮件’时出错。原因:已存在具有该文件路径的文件。请移除该文件或将“Overwrite”设置为 true。” |
常规 |
下载报告预览
说明
从与 Cofense Triage 报告相关的电子邮件中下载图片预览。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定包含需要下载的原始电子邮件的报告的 ID。 |
| 下载文件夹 | 字符串 | 不适用 | 是 | 指定下载文件夹的绝对路径。注意:名称将按以下方式构建:{report id}.eml。 |
| 覆盖 | 复选框 | 勾选 | 否 | 如果启用,该操作将覆盖具有相同名称和文件路径的文件。 |
| 图片格式 | DDL | PNG
可能的值:
|
是 | 指定图片的格式。 |
| 创建分析数据 | 复选框 | 尚未核查 | 否 | 如果启用,该操作将创建包含报告原始电子邮件的分析。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"absolute_file_path": "{filepath}"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success=true):“已成功下载 Cofense Triage 中与 ID 为 {0} 的报告相关的预览。”.format(report_id) 如果失败(即状态代码为 400 [is_success=false]):“操作无法在 Cofense Triage 中下载与 ID 为 {0} 的报告相关的预览。原因:\n {1}".format(report_id, errors/detail) 操作应失败并停止 playbook 执行: 如果系统报告了严重错误(例如凭据错误、无法连接到服务器等其他错误):“Error executing action "Download Report Preview". 原因:{0}''.format(error.Stacktrace) 如果存在具有相应文件名的文件,且 overwrite 为 false:“执行操作‘下载报告电子邮件’时出错。原因:已存在具有该文件路径的文件。请移除该文件或将“Overwrite”设置为 true。” |
常规 |
丰富网址
说明
返回来自 Cofense Triage 的网址的相关信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 风险得分阈值 | 整数 | 50 | 是 | 指定 Google SecOps 将网址标记为可疑的风险得分阈值。最大值为 100。 |
运行于
此操作在网址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| COFENSE_TRG_id | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_risk_score | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_created_at | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_updated_at | 如果 JSON 结果中包含此信息。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "1",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1"
},
"attributes": {
"url": "https://www.paypal.com/us",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.008Z",
"updated_at": "2019-04-12T02:58:20.008Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/hostname"
},
"data": {
"type": "hostnames",
"id": "2"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/reports"
}
}
}
},
{
"id": "2",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2"
},
"attributes": {
"url": "http://cie.org.mx/leather.php?amount=1qw2f60krdrf8c",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.011Z",
"updated_at": "2019-04-12T02:58:20.011Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/hostname"
},
"data": {
"type": "hostnames",
"id": "1"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个网址成功完成扩充(is_success = true):打印“Successfully enriched the following 网址s using Cofense Triage: \n {0}".format(entity.identifier list) 如果至少有一个网址成功丰富(is_success = true):打印“Action wasn't able to enrich the following 网址s using Cofense Triage: \n {0}”(操作无法使用 Cofense Triage 丰富以下网址:\n {0})。format(entity.identifier list) 如果未能丰富所有实体(is_success = false):打印:“No 网址s were enriched.” 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Enrich 网址"”(执行操作“丰富网址”时出错)。原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | “扩充”表格部分中没有“COFENSE_TRG_”前缀的字段 | 实体 |
执行 playbook
说明
在 Cofense Triage 中启动 playbook 执行。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定要执行 playbook 的报告的 ID。 |
| playbook 名称 | 字符串 | 不适用 | 是 | 指定需要执行的 playbook 的名称。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 204 状态代码 (is_success=true):“已在 Cofense Triage 中成功对报告 {report id} 执行 playbook {playbook name}。” 操作应失败并停止 playbook 执行: 如果为“要返回的最大记录数”参数提供的值无效:“执行操作‘执行剧本’时出错。原因:{0}''.format(error.Stacktrace)" 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "List Playbooks". 原因:{0}''.format(error.Stacktrace) 如果响应中报告了错误:“执行操作‘执行剧本’时出错。原因:{0}''.format(detail)" 如果找不到 playbook:“执行操作‘执行 playbook’时出错。原因:找不到名称为 {name} 的 playbook。 |
常规 |
获取网域详细信息
说明
从 Cofense Triage 返回有关网域的信息。
参数
| 参数显示名称 |
|---|
| 不适用 |
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "1",
"type": "hostnames",
"attributes": {
"hostname": "cie.org.mx",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.893Z",
"updated_at": "2019-04-12T02:58:19.974Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/urls"
}
}
}
},
{
"id": "2",
"type": "hostnames",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2"
},
"attributes": {
"hostname": "www.paypal.com",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.898Z",
"updated_at": "2019-04-12T02:58:19.965Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/urls"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个网址成功(is_success = true):打印“Successfully returned details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) 如果至少有一个网址成功(is_success = true):打印“Action wasn't able to get details about the following domains using Cofense Triage: \n {0}”(操作无法使用 Cofense Triage 获取以下网域的详细信息:\n {0})。format(entity.identifier list) 如果未能丰富所有实体的信息 (is_success = false):打印:“No information about the domains was found.” 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Get Domain Details".”。原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | 表格名称:网域详细信息 表列: 名称 - 主机名 风险得分 - risk_score |
常规 |
获取报告标题
说明
返回与 Cofense Triage 报告相关的标头信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定要检索标头的报告的 ID。 |
| 要返回的标头数量上限 | 整数 | 50 | 否 | 指定要返回的标头数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "4",
"type": "headers",
"attributes": {
"key": "Mime-Version",
"value": "1.0",
"created_at": "2020-11-03T16:43:33.767Z",
"updated_at": "2020-11-03T16:43:33.767Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/headers/4/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/headers/4/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if successful(is_success = true): print "Successfully returned related headers to the report with ID {0} in Cofense Triage.".format(report_id) 如果失败(即状态代码为 404 [is_success = false]):print "无法在 Cofense Triage 中返回 ID 为 {0} 的报告的相关标头。原因:\n {1}".format(report_id, errors/detail) 如果未找到任何规则 (is_success = false):输出:“No related headers were found to the report with ID {0} in Cofense Triage.”.format(report_id) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:打印“Error executing action "Get Report Headers"”。原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | 表格名称:报告 {0} 标题 表格列: 名称 - 密钥 值 - 值 |
常规 |
获取举报报告者
说明
返回与 Cofense Triage 报告相关的报告者的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 指定要检索举报者的报告的 ID。 |
| 要返回的举报者数量上限 | 整数 | 50 | 否 | 指定要返回的报告者数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
"data": {
"id": "5331",
"type": "reporters",
"attributes": {
"email": "user@example.com",
"reports_count": 277,
"last_reported_at": "2020-11-06T18:32:47.000Z",
"reputation_score": 561,
"vip": true,
"created_at": "2019-10-24T01:05:28.649Z",
"updated_at": "2020-11-06T18:33:59.004Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/reports"
}
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true):打印“Successfully returned related reporters to the report with ID {0} in Cofense Triage.”(已成功将相关报告者返回到 Cofense Triage 中 ID 为 {0} 的报告)。format(report_id) 如果失败(即状态代码为 404 [is_success = false]):打印“无法在 Cofense Triage 中返回 ID 为 {0} 的报告的相关报告者。原因:\n {1}".format(report_id, errors/detail) 如果未找到任何规则 (is_success = false):打印:“No related reporters were found to the report with ID {0} in Cofense Triage.”.format(report_id) 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Get Report Reporters"”。原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | 表格名称:报告 {0} 报告者 表格列: 电子邮件 - email 报告数量 - reports_count 声誉得分 - reputation_score VIP - vip |
常规 |
获取威胁指示器详细信息
说明
根据 Cofense Triage 中的威胁指示器详细信息返回有关实体的信息。
参数
| 参数显示名称 |
|---|
| 不适用 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| COFENSE_TRG_ti_id | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_ti_type | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_ti_threat_level | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_ti_threat_source | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_ti_created_at | 如果 JSON 结果中包含此信息。 |
| COFENSE_TRG_id_updated_at | 如果 JSON 结果中包含此信息。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "1",
"type": "threat_indicators",
"attributes": {
"threat_level": "Malicious",
"threat_type": "MD5",
"threat_value": "f1364ab115332cb44b5d7bb734d2cbf6",
"threat_source": "Triage-UI",
"created_at": "2019-06-06T18:55:38.107Z",
"updated_at": "2020-11-03T16:41:19.972Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/reports"
}
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个实体的请求成功(is_success = true):print "Successfully returned threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) 如果至少有一个实体的操作成功(is_success = true):print "Action wasn't able to return threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) 如果未能丰富所有实体的信息(is_success = false):打印:“未找到有关实体的威胁指示信息。” 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Get Threat Indicator Details"”。原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | “扩充”表格部分中没有“COFENSE_TRG_”前缀的字段 | 实体 |
列出类别
说明
列出 Cofense Triage 中的可用类别。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 名称 | CSV | 不适用 | 否 | 指定以英文逗号分隔的类别名称列表。此参数可用于检查是否存在具有指定名称的类别。 |
| 要提取的最低得分 | 整数 | 不适用 | 否 | 指定相应类别的最低可接受得分。此参数可使用负值。 |
| 仅限恶意内容 | 复选框 | 尚未核查 | 否 | 如果启用,该操作仅返回恶意类别。 |
| 仅限已归档 | 复选框 | 尚未核查 | 否 | 如果启用,该操作仅返回已归档的类别。 |
| 仅限未归档 | 复选框 | 尚未核查 | 否 | 如果启用,该操作仅返回未归档的类别。 |
| 仅限非恶意内容 | 复选框 | 尚未核查 | 否 | 如果启用,该操作只会返回非恶意类别。 |
| 要返回的类别数量上限 | 整数 | 不适用 | 否 | 指定要返回的类别数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": [
{
"id": "1",
"type": "categories",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1"
},
"attributes": {
"name": "Non-Malicious",
"score": -5,
"malicious": false,
"color": "#739d75",
"archived": false,
"created_at": "2019-04-11T08:24:49.787Z",
"updated_at": "2019-11-12T19:15:37.849Z"
},
"relationships": {
"one_clicks": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/one_clicks",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/one_clicks"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success=true):“Successfully returned available categories from Cofense Triage.” 如果未找到任何类别 (is_success=false),“未找到符合条件的类别。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "List Categories". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:可用类别 表列:
|
常规 |
列出 playbook
说明
列出 Cofense Triage 中的可用剧本。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 过滤键 | DDL | 选择一项 可能的值:
|
否 | 指定需要用于过滤剧本的键。 |
| 过滤逻辑 | DDL | 未指定 可能的值:
|
否 | 指定应应用的过滤条件逻辑类型。过滤逻辑基于“过滤键”参数中提供的值运行。 注意:“等于”逻辑区分大小写,而“包含”逻辑不区分大小写。 |
| 过滤条件值 | 字符串 | 不适用 | 否 | 指定应在过滤条件中使用的值。 如果选择“等于”,操作会尝试在结果中查找完全匹配项。 如果选择“包含”,该操作会尝试查找包含相应子字符串的结果。 如果此参数中未提供任何内容,则不会应用过滤条件。 过滤逻辑基于“过滤键”参数中提供的值运行。 |
| 要返回的记录数上限 | 整数 | 50 | 否 | 指定要返回的记录数。如果未提供任何内容,该操作会返回 50 条记录。 最大值:200 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"id": "1",
"type": "playbooks",
"links": {
"self": "https://reltest6.phishmecloud.com/api/public/v2/playbooks/1"
},
"attributes": {
"name": "SN_Test",
"description": "",
"active": true,
"button_color": "#204d74",
"add_rule_tags_to_report_tags": true,
"remove_existing_report_tags": false,
"remove_existing_cluster_tags": false,
"report_tags": [
"SN_Test"
],
"cluster_tags": [
"SN_Cluster_Test",
"test1"
],
"delete_report": false,
"guid": "b443a844-ffc2-49d2-8903-1a5f7fde7526",
"created_at": "2021-05-28T01:29:22.080Z",
"updated_at": "2022-04-08T06:04:17.016Z"
}
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果数据可用(is_success=true):“Successfully found playbooks for the provided criteria in Cofense Triage.” 如果数据不可用(is_success=false):“Cofense Triage 中未找到符合所提供条件的 playbook。” 如果“过滤条件值”参数为空 (is_success=true):“未应用过滤条件,因为参数‘过滤条件值’的值为空。” 如果“过滤条件逻辑”参数设置为“未指定”(is_success=true):“未应用过滤条件,因为未指定‘过滤条件逻辑’参数。” 操作应失败并停止 playbook 执行: 如果“过滤键”形参设置为“选择一个”,且“过滤逻辑”形参设置为“等于”或“包含”:“执行操作‘{action name}’时出错。”原因:您需要从“过滤键”参数中选择一个字段。 如果为“要返回的最大记录数”参数提供的值无效:“执行操作‘{action name}’时出错。原因:为“要返回的最大记录数”提供的值无效: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "List Playbooks". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:可用的 playbook 表列:
|
常规 |
列出与威胁指标相关的报告
说明
列出 Cofense Triage 中与威胁指示器相关的报告。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 创建案例墙表格 | 复选框 | 尚未核查 | 否 | 如果启用,操作将创建一个包含报告信息的案例墙表格。 |
| 要返回的报告数量上限 | 整数 | 100 | 否 | 指定要返回的报告数量。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"reports": [
{
"id": "13219",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13219"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T01:25:07.642Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 01:25:07 +0000\r\nMessage-ID: <5cde0d73994b2_10902aea1885332418512@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cde0d7399130_10902aea18853324184a7\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "3e4c2e6e85695569ae7a11aac8a774c6",
"sha256": "1434d565d7735a841f39cb953cfdbbba1d0793324900d42c25b212b454a77993",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T01:25:07.652Z",
"updated_at": "2019-05-17T01:25:10.032Z"
},
"meta": {
"risk_score_summary": null
}
},
{
"id": "13227",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13227"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T14:53:54.318Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 14:53:54 +0000\r\nMessage-ID: <5cdecb024a663_107f2b040f2cd3306399@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cdecb024a2fd_107f2b040f2cd3306387b\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "92bb365c3fe712216610e884621c771a",
"sha256": "da37a508cd47987e9989fc8a2af12352c6652fa5c421f4556ef6a198bf73821e",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T14:53:54.327Z",
"updated_at": "2019-05-17T14:53:56.453Z"
},
"meta": {
"risk_score_summary": null
}
}
],
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully returned reports related to provided entities from Cofense Triage.” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:“Error executing action "List Reports Related To Threat Indicators". 原因:(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:相关报告 表列: ID 主题 创建时间 位置 |
常规 |
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Cofense Triage 的连接。
参数
不适用
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
|
常规 |
连接器
Cofense Triage - 报告连接器
从 Cofense Triage 中提取报告。
在 Google SecOps 中配置 Cofense Triage - Reports Connector
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为强制性< | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 位置 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://tap.phishmecloud.com | 是 | Cofense Triage 实例的 API 根目录。 |
| 客户 ID | 字符串 | 不适用 | 是 | Cofense Triage 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | Cofense Triage 账号的客户端密钥。 |
| 要提取的最低风险得分 | 整数 | 0 | 是 | 用于提取电子邮件的最低风险得分。最大值为 100。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取电子邮件的小时数。 |
| 要提取的报告数量上限 | 整数 | 10 | 否 | 每次连接器迭代要处理的报告数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Cofense Triage 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。