Internet Storm Center
整合版本:3.0
在 Google Security Operations 中設定 Internet Storm Center 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 電子郵件地址 | 字串 | name@example.com | 是 | 與 API 要求相關聯的電子郵件地址。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連線至 Google 翻譯伺服器的 SSL 憑證是否有效。 |
產品用途
充實實體。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 Internet Storm Center 的連線。
參數
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Internet Storm Center server with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Internet Storm Center 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the Internet Storm Center server! Error is {0}".format(exception.stacktrace) 如果回應不是 JSON:「Failed to connect to the Internet Storm Center server! 原因:請檢查設定。此外,您的 IP 可能遭到封鎖。」 |
一般 |
充實實體
說明
使用 Internet Storm Center 的資訊擴充實體。支援的實體:IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"ip": {
"number": "XXXX",
"count": ,
"attacks": ,
"maxdate": "2021-12-06",
"mindate": "2021-09-20",
"updated": "2021-12-06 09:19:16",
"comment": null,
"maxrisk": null,
"asabusecontact": "",
"as": 202425,
"asname": "",
"ascountry": "",
"assize": ,
"network": "89.248.165.0/24",
"threatfeeds": {
"ciarmy": {
"lastseen": "2021-12-02",
"firstseen": "2021-04-19"
},
"recyber": {
"lastseen": "2021-12-06",
"firstseen": "2021-03-29"
}
}
}
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 數量 | 以 JSON 格式提供時 |
| 攻擊 | 以 JSON 格式提供時 |
| first_seen | 以 JSON 格式提供時 |
| last_seen | 以 JSON 格式提供時 |
| 留言 | 以 JSON 格式提供時 |
| maxrisk | 以 JSON 格式提供時 |
| asabuse_contact | 以 JSON 格式提供時 |
| as_name | 以 JSON 格式提供時 |
| as_country | 以 JSON 格式提供時 |
| threatfeeds | 以 JSON 格式提供時 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果一個實體有資料 (is_success=true):「Successfully enriched the following entities using information from Internet Storm Center: {entity.identifier}.」(已使用 Internet Storm Center 的資訊,成功擴充下列實體:{entity.identifier}。) 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Internet Storm Center: {entity.identifier}」(動作無法使用 Internet Storm Center 的資訊擴充下列實體:{entity.identifier}) 如果並非所有實體都有資料 (is_success=false):「None of the provided entities were enriched.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。