Cette page a été traduite par l'API Cloud Translation.

Internet Storm Center

Version de l'intégration : 3.0

Configurer l'intégration d'Internet Storm Center dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Adresse e-mail	Chaîne	name@example.com	Oui	Adresse e-mail associée aux requêtes API.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Google Traduction est valide.

Cas d'utilisation des produits

enrichir des entités ;

Actions

Ping

Description

Testez la connectivité à Internet Storm Center avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Place de marché" de Google Security Operations.

Paramètres

N/A

Exécuter sur

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Internet Storm Center établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Internet Storm Center ! Error is {0}".format(exception.stacktrace) Si la réponse n'est pas au format JSON : "Échec de la connexion au serveur Internet Storm Center ! Motif : veuillez vérifier la configuration. De plus, votre adresse IP a peut-être été bloquée."	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Internet Storm Center établie avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Internet Storm Center ! Error is {0}".format(exception.stacktrace)

Si la réponse n'est pas au format JSON : "Échec de la connexion au serveur Internet Storm Center ! Motif : veuillez vérifier la configuration. De plus, votre adresse IP a peut-être été bloquée."

Général

Enrichir les entités

Description

Enrichissez les entités à l'aide des informations de l'Internet Storm Center. Entités acceptées : adresse IP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité.

Date d'exécution

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
    "ip": {
        "number": "XXXX",
        "count": ,
        "attacks": ,
        "maxdate": "2021-12-06",
        "mindate": "2021-09-20",
        "updated": "2021-12-06 09:19:16",
        "comment": null,
        "maxrisk": null,
        "asabusecontact": "",
        "as": 202425,
        "asname": "",
        "ascountry": "",
        "assize": ,
        "network": "89.248.165.0/24",
        "threatfeeds": {
            "ciarmy": {
                "lastseen": "2021-12-02",
                "firstseen": "2021-04-19"
            },
            "recyber": {
                "lastseen": "2021-12-06",
                "firstseen": "2021-03-29"
            }
        }
    }
}

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
nombre	Lorsqu'il est disponible au format JSON
attaques	Lorsqu'il est disponible au format JSON
first_seen	Lorsqu'il est disponible au format JSON
last_seen	Lorsqu'il est disponible au format JSON
commentaire	Lorsqu'il est disponible au format JSON
maxrisk	Lorsqu'il est disponible au format JSON
asabuse_contact	Lorsqu'il est disponible au format JSON
as_name	Lorsqu'il est disponible au format JSON
as_country	Lorsqu'il est disponible au format JSON
threatfeeds	Lorsqu'il est disponible au format JSON

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de l'Internet Storm Center : {entity.identifier}." Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations du centre Internet Storm : {entity.identifier}" Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Titre du tableau : {entity.identifier} Colonnes du tableau : Clé Valeur	Entité

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de l'Internet Storm Center : {entity.identifier}."

Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations du centre Internet Storm : {entity.identifier}"

Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

Général

Tableau du mur des cas

Titre du tableau : {entity.identifier}

Colonnes du tableau :

Clé
Valeur

Entité

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.