數位足跡
整合版本:9.0
用途
Digital Shadows 整合功能可用於接收快訊,以及擴充實體。
必要條件
您必須有 API 金鑰,才能使用 Digital Shadows API。
所有作業端點的要求都需要 HTTP 基本驗證,以及專屬 (高熵) API 憑證,通常由 6 個字元的金鑰和 32 個字元的密碼組成。
將 Digital Shadows 與 Google Security Operations 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合輸入內容
如要設定整合,請使用下列參數:
| 參數 | |
|---|---|
Instance Name |
選填
您要設定整合的執行個體名稱。 |
Description |
選填
執行個體說明。 |
API Key |
必要 Digital Shadow API 金鑰。 |
API Secret |
選用 Digital Shadow API 密鑰。 |
Run Remotely |
選用 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選項,供您選取遠端使用者 (服務專員)。 (預設為不勾選)。 |
動作
豐富 CVE 資訊
使用 Digital Shadows 資訊充實 CVE。
分析人員可使用這項動作取得特定 CVE 的詳細資訊,有助於進行調查。
實體
這項操作會對 CVE 實體執行。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
實體充實
| 補充資料欄位 | 來源 (JSON 金鑰) | 邏輯 |
|---|---|---|
DigitalShadows_Exploit_title |
entity/title |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Exploit_type |
entity/type |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Exploit_platform |
entity/platform |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Exploit_source |
entity/sourceUri |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_sourceURL |
entity/sourceUri |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_description |
entity/description |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_score |
entity/cvss2Score/baseScore |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_authentication |
entity/cvss2Score/authentication |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_accessVector |
entity/cvss2Score/accessVector |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_accessComplexity |
entity/cvss2Score/accessComplexity |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_confidentialityImpact |
entity/cvss2Score/confidentialityImpact |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_integrityImpact |
entity/cvss2Score/integrityImpact |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_Vulnerability_availabilityImpact |
entity/cvss2Score/availabilityImpact |
如果 JSON 結果中提供這項資訊。 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"content": [
{
"entity": {
"cveIdentifier": "CVE-2011-0489",
"created": "2011-01-18T18:03:00.000Z",
"updated": "2017-08-17T01:33:00.000Z",
"sourceUri": "https://nvd.nist.gov/vuln/detail/CVE-2011-0489",
"description": "The server components in Example_DB 10.0 do not require authentication for administrative commands, which allows remote attackers to modify data, obtain sensitive information, or cause a denial of service by sending requests over TCP to (1) the Lock Server or (2) the Advanced Multithreaded Server, as demonstrated by commands that are ordinarily sent by the (a) ookillls and (b) oostopams applications. NOTE: some of these details are obtained from third party information.",
"relatedCPEs": [
"cpe:/a:example:example%2fdb:10.0"
],
"cvss2Score": {
"baseScore": 7.5,
"authentication": "NONE",
"accessVector": "NETWORK",
"accessComplexity": "LOW",
"confidentialityImpact": "PARTIAL",
"integrityImpact": "PARTIAL",
"availabilityImpact": "PARTIAL"
}
},
"type": "VULNERABILITY",
"snippet": "CVE ID: CVE-2011-0489</em><br><br>",
"sortDate": "2017-08-17T01:33:00.000Z"
},
{
"entity": {
"id": "f75754b5-65a3-46ee-bea7-e0f015a5283d",
"uri": "http://example.com",
"pasted": "2018-01-05T09:10:02.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 0,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 100,
"exceededMaximum": true
}
},
"screenshot": {
"id": "3ab6b3cb-349d-4ed7-b150-773454a11908",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "7529cf75-5ddb-4e2d-8fc9-f3531e33704e",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": ""\n ], \n "CVE-2002-1656": [\n "3043"\n ], \n "CVE-2003-0347": [\n "23094"\n ], \n "<em>CVE</em>-<em>2011</em>-<em>0489</em>": [\n "15988",
"sortDate": "2018-01-05T09:10:02.000Z"
},
"type": "PASTE",
"snippet": ") sequences in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do ... in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do not require ... request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do not require ... files via "../\\" (dot dot forward-slash backslash) sequences in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>",
"sortDate": "2019-07-23T21:35:39.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 4,
"facets": {}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich CVE".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
案件總覽連結
如果 JSON 回應中提供
TYPE=Exploit:標題:Exploit Source URL
連結:
entity/sourceUri如果 JSON 回應中提供
TYPE=Vulnerability:標題:安全漏洞來源網址:
連結:
entity/sourceUri針對所有傳回資料的實體:
標題:完整數位足跡搜尋結果
連結:
https://portal-digitalshadows.com/search?q=ENTITY
充實雜湊 - 已淘汰
使用 Digital Shadows 資訊充實雜湊。
用途
分析人員可能會使用這項動作收集額外詳細資料,例如是否為安全雜湊,有助於調查。
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 鍵) | 邏輯 - 適用時機 |
|---|---|---|
| DigitalShadows_CylanceFileHash_generalScore | entity/fileHashInfo/generalScore | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_CylanceFileHash_classifier_ml | entity/fileHashInfo/classifiers/ml | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_CylanceFileHash_classifier_industry | entity/fileHashInfo/classifiers/industry | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_CylanceFileHash_classifier_human | entity/fileHashInfo/classifiers/human | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootFileHash_category | 實體/類別 | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootFileHash_malwareCategory | entity/malwareCategory | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootFileHash_fileSizeBytes | entity/fileSizeBytes | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootFileHash_fileLastSeen | entity/fileLastSeen | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootFileHash_sourceUrls | entity/sourceUrls | 如果資料以 JSON 結果的形式提供,系統應忽略空白清單。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"content": [
{
"entity": {
"requestedHash": "617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98",
"status": 0,
"fileHashInfo": {
"status": "COMPLETE",
"statusCode": 1,
"generalScore": -1.0,
"classifiers": {
"ml": 1.0,
"industry": -1.0,
"human": -1.0
},
"hashes": {
"sha256": "617F7301FD67E8B5D8AD42D4E94E02CB313FE5AD51770EF93323C6115E52FE98",
"sha1": "CF0743ED381ADE69BBA3D1DD3D357A8300BCD4AE",
"md5": "8FE94843A3E655209C57AF587849AC3A"
}
}
},
"type": "CYLANCE_FILE_HASH"
},
{
"entity": {
"id": "7ab729ab-2176-4072-8fcc-483410e7949d",
"uri": "http://example.com",
"title": "Malware hashes",
"pasted": "2019-12-07T04:01:21.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 45,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "a358a7fd-ce76-4ac0-a338-7a17c5affcca",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "2a98b417-1846-47ca-835f-b4be580cfdc2",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98\n137e17ed0c693f5ba23c3f3bf252f7edc29548d97f426625a4e0c5fea0558e45",
"sortDate": "2019-12-07T04:01:21.000Z"
},
{
"entity": {
"id": "e05f1f61-5996-4ff9-b656-5d7fe856e459",
"uri": "http://example.com",
"pasted": "2017-12-27T08:53:14.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 100,
"exceededMaximum": true
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "d41fd1d9-aa0c-411d-87f5-824d036e9843",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "ab91eba6-f8fd-4a7e-a3b4-6b100ee50789",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "617F7301FD67E8B5D8AD42D4E94E02CB313FE5AD51770EF93323C6115E52FE98",
"sortDate": "2017-12-27T08:53:14.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 25
},
"total": 4,
"facets": {}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行應對手冊: 如果沒有錯誤,且傳回實體的資料:
如果沒有錯誤,且實體未傳回任何資料: 動作應會失敗並停止執行應對手冊: 如果發生錯誤: Print "Error executing action "Enrich Hash". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 連結 | 針對傳回資料的所有實體: 標題:完整的數位足跡搜尋結果 連結:
https://portal-digitalshadows.com/search?q= |
實體 |
充實 IP - 已淘汰
使用 Digital Shadows 資訊充實 IP。
用途
分析人員可能會使用這項動作取得 IP 位址的更多資訊,這對調查很有幫助。
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 鍵) | 邏輯 - 適用時機 |
|---|---|---|
| DigitalShadows_WebrootIP_reputationScore | entity/reputationScore | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_asn | 實體/ASN | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_currentlyClassifiedAsThreat | entity/currentlyClassifiedAsThreat | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_ipThreatHistory | entity/ipThreatHistory | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_country | entity/ipGeoInfo/country | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_region | entity/ipGeoInfo/region | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_state | entity/ipGeoInfo/state | 如果 JSON 結果中提供這項資訊。 |
| DigitalShadows_WebrootIP_city | entity/ipGeoInfo/city | 如果 JSON 結果中提供這項資訊。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"content": [
{
"entity": {
"ipAddress": "192.0.2.1",
"updatedDateTime": "2020-02-21T01:10:01.000Z",
"reputationScore": 18,
"asn": 13335,
"currentlyClassifiedAsThreat": false,
"threatCategories": [],
"ipThreatHistory": [],
"ipReputationHistory": [
{
"timestamp": "2020-02-21T01:10:01.000Z",
"reputation": 18
},
{
"timestamp": "2020-02-07T01:10:02.000Z",
"reputation": 29
}
],
"ipIncidentHistory": [
{
"classifiedAsThreat": false,
"startDateTime": "2019-07-15T00:37:12.000Z",
"durationSeconds": 0,
"numberOfAttempts": 0,
"eventType": "Phishing IPs",
"threatType": "Phishing",
"eventDescription": "IP hosts phishing sites",
"applications": [],
"hostingPhishUrls": [
"example.net"
],
"scanDetails": [],
"attackDetails": []
},
{
"classifiedAsThreat": false,
"startDateTime": "2018-07-21T00:23:27.000Z",
"durationSeconds": 0,
"numberOfAttempts": 0,
"eventType": "Phishing IPs",
"threatType": "Phishing",
"eventDescription": "IP hosts phishing sites",
"applications": [],
"hostingPhishUrls": [
"example.net"
],
"scanDetails": [],
"attackDetails": []
}
],
"ipGeoInfo": {
"country": "united states",
"region": "mid atlantic",
"state": "new jersey",
"city": "newark",
"latitude": "40.73873",
"longitude": "-74.19453",
"organization": "example inc.",
"carrier": "example",
"tld": "",
"sld": "",
"asn": "example_isn"
}
},
"type": "WEBROOT_IP"
},
{
"entity": {
"id": "0007b64b-ef21-4b5f-a0c2-1e469ceb6896",
"uri": "http://example.com",
"pasted": "2019-10-23T13:32:46.000Z",
"observableCounts": {
"ipV4": {
"count": 100,
"exceededMaximum": true
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 0,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "b019cfcf-2d36-4bcd-9bf3-69fa67b5ec6d",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "57af6550-6690-478f-8ba5-640a5560311a",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "192.0.2.1\n192.0.2.2\n192.0.2.3\n192.0.2.4\n192.0.2.5\n192.0.2.6\n192.0.2.7",
"sortDate": "2019-10-23T13:32:46.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 10,
"facets": {}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行應對手冊: 如果沒有錯誤,且傳回實體的資料: 如果沒有錯誤,且未傳回實體的任何資料:
動作應會失敗並停止執行應對手冊: 如果發生錯誤: Print "Error executing action "Enrich IP". 原因:{0}。'' format(error.Stacktrace) |
一般 |
| 連結 | 針對傳回資料的所有實體: 標題:完整的數位足跡搜尋結果 連結:https://portal-digitalshadows.com/search?q=
|
實體 |
充實網址
使用 Digital Shadows 資訊充實網址。
分析師可能會使用這項動作,取得特定網址的詳細資訊,有助於調查。
實體
這項動作會對網址實體執行。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
實體充實
| 補充資料欄位 | 來源 (JSON 金鑰) | 邏輯 |
|---|---|---|
DigitalShadows_WebrootDomain_timesLabeledAsThreat |
entity/threatHistory |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_WebrootDomain_age |
entity/age |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_WebrootIP_popularity |
entity/popularity |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_WebrootIP_reputation |
entity/reputation |
如果 JSON 結果中提供這項資訊。 |
DigitalShadows_WebrootIP_threatCategories |
entity/threatCategories |
如果 JSON 結果中提供這項資訊。 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"content": [
{
"entity": {
"domainOrUrl": "www.example.com",
"lastUpdated": "2020-02-25T12:08:20.944Z",
"threatCategories": [
{
"confidence": 93,
"group": "Security",
"name": "Malware Sites"
}
],
"reputation": 10,
"popularity": "UNRANKED",
"age": 82,
"threatHistory": 1,
"webrootCrawlHistory": [],
"domainHostedHashes": []
},
"type": "WEBROOT_DOMAIN"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 66,
"facets": {}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich URL".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
案件總覽連結
針對所有傳回資料的實體:
標題:完整數位足跡搜尋結果
連結:https://portal-digitalshadows.com/search?q=ENTITY
乒乓
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Digital Shadows 的連線。
這項動作可手動執行,且不會使用劇本。
實體
這項操作不會對實體執行。
動作輸入內容
不適用
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 不適用 |
| 指令碼結果 | 可用 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Digital Shadows with the provided
connection parameters! |
動作成功。 |
Error executing action "Ping".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
案件總覽連結
針對所有傳回資料的實體:
標題:完整數位足跡搜尋結果
連結:https://portal-digitalshadows.com/search?q=ENTITY
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
Digital Shadows - Incident Connector
將 Digital Shadows 的事件擷取至 Google SecOps。
連接器輸入內容
如要設定連接器,請使用下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
輸入來源欄位名稱,以擷取 預設值為 |
Event Field Name |
必要
輸入要擷取名稱的來源欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,系統會使用預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 預設值 這個參數可讓您使用規則運算式邏輯,操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,系統會使用預設環境。 |
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制。 預設值為 180 秒。 |
API Key |
必要
Digital Shadow API 金鑰。 |
API secret |
必要
Digital Shadow API 密鑰。 |
Client Secret |
必要
CrowdStrike 帳戶的用戶端密鑰。 |
Fetch Max Hours Backwards |
選填
從現在起回溯幾小時,以擷取事件。 預設值為 1 小時。 |
Lowest Severity To Fetch |
必要
要擷取的事件最低嚴重程度分數。 可能的值包括:
預設值為 |
Incident Type Filter |
選填
以半形逗號分隔的事件類型清單,這些類型應擷取至 Google SecOps。 根據預設,連接器會擷取所有事件類型。 可能的值包括:
|
Max Incidents To Fetch |
選填
每個連接器疊代要處理的事件數量。 預設值為 50。 |
Use whitelist as a blacklist |
必要
如果勾選,動態清單會做為封鎖清單使用。 (預設為不勾選)。 |
Verify SSL |
必要
如果勾選這個選項,系統會驗證連線至 CrowdStrike 伺服器的 SSL 憑證是否有效。 (預設為不勾選)。 |
Proxy Server Address |
選填
要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填
用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填
用於驗證的 Proxy 密碼。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。