Internet Storm Center

Questo documento fornisce indicazioni su come integrare l'Internet Storm Center con Google SecOps.

Configura l'integrazione di Internet Storm Center in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Indirizzo email	Stringa	name@example.com	Sì	Indirizzo email associato alle richieste API.
Verifica SSL	Casella di controllo	Selezionata	Sì	Se abilitata, verifica che il certificato SSL per la connessione al server di Google Traduttore sia valido.

Casi d'uso del prodotto

Arricchisci le entità.

Azioni

Dindin

Descrizione

Verifica la connettività a Internet Storm Center con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Run On

Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

N/A

Arricchimento delle entità

N/D

Approfondimenti

N/D

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione riuscita al server dell'Internet Storm Center con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server dell'Internet Storm Center. Error is {0}".format(exception.stacktrace) Se la risposta non è JSON: "Impossibile connettersi al server dell'Internet Storm Center. Motivo: controlla la configurazione. Inoltre, il tuo IP potrebbe essere stato bloccato."	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione riuscita al server dell'Internet Storm Center con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se l'operazione non va a buon fine: "Impossibile connettersi al server dell'Internet Storm Center. Error is {0}".format(exception.stacktrace)

Se la risposta non è JSON: "Impossibile connettersi al server dell'Internet Storm Center. Motivo: controlla la configurazione. Inoltre, il tuo IP potrebbe essere stato bloccato."

Generale

Arricchisci le entità

Descrizione

Arricchisci le entità utilizzando le informazioni dell'Internet Storm Center. Entità supportate: indirizzo IP.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Crea approfondimento	Casella di controllo	Selezionata	No	Se attivata, l'azione crea un insight contenente tutte le informazioni recuperate sull'entità.

Pubblica su

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
    "ip": {
        "number": "XXXX",
        "count": ,
        "attacks": ,
        "maxdate": "2021-12-06",
        "mindate": "2021-09-20",
        "updated": "2021-12-06 09:19:16",
        "comment": null,
        "maxrisk": null,
        "asabusecontact": "",
        "as": 202425,
        "asname": "",
        "ascountry": "",
        "assize": ,
        "network": "89.248.165.0/24",
        "threatfeeds": {
            "ciarmy": {
                "lastseen": "2021-12-02",
                "firstseen": "2021-04-19"
            },
            "recyber": {
                "lastseen": "2021-12-06",
                "firstseen": "2021-03-29"
            }
        }
    }
}

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
conteggio	Se disponibile in formato JSON
attacchi	Se disponibile in formato JSON
first_seen	Se disponibile in formato JSON
last_seen	Se disponibile in formato JSON
commento	Se disponibile in formato JSON
maxrisk	Se disponibile in formato JSON
asabuse_contact	Se disponibile in formato JSON
as_name	Se disponibile in formato JSON
as_country	Se disponibile in formato JSON
threatfeeds	Se disponibile in formato JSON

Approfondimenti

N/D

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni dell'Internet Storm Center: {entity.identifier}." Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni dell'Internet Storm Center: {entity.identifier}" Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)	Generale
Tabella Bacheca casi	Titolo della tabella: {entity.identifier} Colonne della tabella: Chiave Valore	Entità

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni dell'Internet Storm Center: {entity.identifier}."

Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni dell'Internet Storm Center: {entity.identifier}"

Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)

Generale

Tabella Bacheca casi

Titolo della tabella: {entity.identifier}

Colonne della tabella:

Chiave
Valore

Entità

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.