Internet Storm Center
集成版本:3.0
在 Google Security Operations 中配置 Internet Storm Center 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 电子邮件地址 | 字符串 | name@example.com | 是 | 与 API 请求相关联的电子邮件地址。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Google 翻译服务器的连接所用的 SSL 证书是否有效。 |
产品使用场景
丰富实体。
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Internet Storm Center 的连接。
参数
不适用
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Internet Storm Center server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Internet Storm Center server! 错误为 {0}".format(exception.stacktrace) 如果响应不是 JSON:“Failed to connect to the Internet Storm Center server! 原因:请检查配置。此外,您的 IP 可能已被屏蔽。” |
常规 |
丰富实体
说明
使用 Internet Storm Center 中的信息丰富实体。支持的实体:IP 地址。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会创建一个包含有关实体的所有检索到的信息的分析洞见。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"ip": {
"number": "XXXX",
"count": ,
"attacks": ,
"maxdate": "2021-12-06",
"mindate": "2021-09-20",
"updated": "2021-12-06 09:19:16",
"comment": null,
"maxrisk": null,
"asabusecontact": "",
"as": 202425,
"asname": "",
"ascountry": "",
"assize": ,
"network": "89.248.165.0/24",
"threatfeeds": {
"ciarmy": {
"lastseen": "2021-12-02",
"firstseen": "2021-04-19"
},
"recyber": {
"lastseen": "2021-12-06",
"firstseen": "2021-03-29"
}
}
}
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 计数 | 以 JSON 格式提供时 |
| 攻击 | 以 JSON 格式提供时 |
| first_seen | 以 JSON 格式提供时 |
| last_seen | 以 JSON 格式提供时 |
| 评论 | 以 JSON 格式提供时 |
| maxrisk | 以 JSON 格式提供时 |
| asabuse_contact | 以 JSON 格式提供时 |
| as_name | 以 JSON 格式提供时 |
| as_country | 以 JSON 格式提供时 |
| 威胁 Feed | 以 JSON 格式提供时 |
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个实体有数据 (is_success=true):“已使用 Internet Storm Center 的信息成功扩充以下实体:{entity.identifier}。” 如果某个实体没有数据 (is_success=true):“Action wasn't able to enrich the following entities using information from Internet Storm Center: {entity.identifier}”(操作无法使用 Internet Storm Center 的信息扩充以下实体:{entity.identifier}) 如果并非所有实体都有数据 (is_success=false):“未扩充任何提供的实体。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格标题:{entity.identifier} 表格列:
|
实体 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。