Internet Storm Center
Versão da integração: 3.0
Configurar a integração da Internet Storm Center no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Endereço de e-mail | String | name@example.com | Sim | Endereço de e-mail associado às solicitações de API. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do Google Tradutor é válido. |
Casos de uso de produtos
Enriquecer entidades.
Ações
Ping
Descrição
Teste a conectividade com o Internet Storm Center usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor do Internet Storm Center usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor do Internet Storm Center! O erro é {0}".format(exception.stacktrace) Se a resposta não for JSON: "Não foi possível se conectar ao servidor do Internet Storm Center. Motivo: verifique a configuração. Além disso, seu IP pode ter sido bloqueado." |
Geral |
Enriquecer entidades
Descrição
Aprimore entidades usando informações do Internet Storm Center. Entidades compatíveis: endereço IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade. |
Data de execução
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"ip": {
"number": "XXXX",
"count": ,
"attacks": ,
"maxdate": "2021-12-06",
"mindate": "2021-09-20",
"updated": "2021-12-06 09:19:16",
"comment": null,
"maxrisk": null,
"asabusecontact": "",
"as": 202425,
"asname": "",
"ascountry": "",
"assize": ,
"network": "89.248.165.0/24",
"threatfeeds": {
"ciarmy": {
"lastseen": "2021-12-02",
"firstseen": "2021-04-19"
},
"recyber": {
"lastseen": "2021-12-06",
"firstseen": "2021-03-29"
}
}
}
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| contagem | Quando disponível em JSON |
| ataques | Quando disponível em JSON |
| first_seen | Quando disponível em JSON |
| last_seen | Quando disponível em JSON |
| comentário | Quando disponível em JSON |
| maxrisk | Quando disponível em JSON |
| asabuse_contact | Quando disponível em JSON |
| as_name | Quando disponível em JSON |
| as_country | Quando disponível em JSON |
| threatfeeds | Quando disponível em JSON |
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com sucesso usando informações do Internet Storm Center: {entity.identifier}." Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Internet Storm Center: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false):Nenhuma das entidades fornecidas foi enriquecida. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Título da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.