Diese Seite wurde von der Cloud Translation API übersetzt.

Internet Storm Center

Integrationsversion: 3.0

Internet Storm Center-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
E-Mail-Adresse	String	name@example.com	Ja	E-Mail-Adresse, die mit API-Anfragen verknüpft ist.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Google Übersetzer-Server gültig ist.

Anwendungsfälle für Produkte

Entitäten anreichern.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zum Internet Storm Center mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Internet Storm Center server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Internet Storm Center-Server hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Internet Storm Center-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) Wenn die Antwort kein JSON ist: „Failed to connect to the Internet Storm Center server! Grund: Bitte prüfen Sie die Konfiguration. Außerdem wurde Ihre IP-Adresse möglicherweise blockiert.“	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Internet Storm Center server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Internet Storm Center-Server hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn das nicht funktioniert: „Verbindung zum Internet Storm Center-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

Wenn die Antwort kein JSON ist: „Failed to connect to the Internet Storm Center server! Grund: Bitte prüfen Sie die Konfiguration. Außerdem wurde Ihre IP-Adresse möglicherweise blockiert.“

Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus dem Internet Storm Center anreichern Unterstützte Einheiten: IP-Adresse.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Insight erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
    "ip": {
        "number": "XXXX",
        "count": ,
        "attacks": ,
        "maxdate": "2021-12-06",
        "mindate": "2021-09-20",
        "updated": "2021-12-06 09:19:16",
        "comment": null,
        "maxrisk": null,
        "asabusecontact": "",
        "as": 202425,
        "asname": "",
        "ascountry": "",
        "assize": ,
        "network": "89.248.165.0/24",
        "threatfeeds": {
            "ciarmy": {
                "lastseen": "2021-12-02",
                "firstseen": "2021-04-19"
            },
            "recyber": {
                "lastseen": "2021-12-06",
                "firstseen": "2021-03-29"
            }
        }
    }
}

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Anzahl	Wenn in JSON verfügbar
Angriffe	Wenn in JSON verfügbar
first_seen	Wenn in JSON verfügbar
last_seen	Wenn in JSON verfügbar
Kommentar	Wenn in JSON verfügbar
maxrisk	Wenn in JSON verfügbar
asabuse_contact	Wenn in JSON verfügbar
as_name	Wenn in JSON verfügbar
as_country	Wenn in JSON verfügbar
Threatfeeds	Wenn in JSON verfügbar

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from Internet Storm Center: {entity.identifier}.“ (Die folgenden Entitäten wurden mit Informationen aus dem Internet Storm Center angereichert: {entity.identifier}.) Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen aus dem Internet Storm Center anreichern: {entity.identifier}“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „Keine der angegebenen Entitäten wurde angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Tabellentitel: {entity.identifier} Tabellenspalten: Schlüssel Wert	Entität

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from Internet Storm Center: {entity.identifier}.“ (Die folgenden Entitäten wurden mit Informationen aus dem Internet Storm Center angereichert: {entity.identifier}.)

Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen aus dem Internet Storm Center anreichern: {entity.identifier}“

Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „Keine der angegebenen Entitäten wurde angereichert.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Tabellentitel: {entity.identifier}

Tabellenspalten:

Schlüssel
Wert

Entität

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten