PassiveTotal

In diesem Dokument finden Sie eine Anleitung zur Integration von PassiveTotal in Google SecOps.

PassiveTotal für die Verwendung mit Google Security Operations konfigurieren

Anmeldedaten

Weitere Informationen zum Abrufen von API-Schlüsseln finden Sie unter Erste Schritte mit der RiskIQ Community API.

Netzwerk

Funktion	Standardport	Richtung	Protokoll
API	Mehrfachwerte	Ausgehend	apikey

PassiveTotal-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Ping

Beschreibung

Verbindung testen

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_succeed	Wahr/falsch	is_succeed:False

JSON-Ergebnis

N/A

WhoIs-Adressenreputation

Beschreibung

Fordern Sie eine Adressbewertung von RiskIQ an.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Ergebnisse	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
totalRecords	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
queryValue	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Pager	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
queryType	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
firstSeen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
lastSeen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Entität:Ergebnis	–	–

JSON-Ergebnis

[
    {
    "EntityResult": {
        "results": [{
            "recordHash": "1cb21131ee1c1be14c862d446d149d43296fa8bfa9678374f25ea9ab3c38b777",
            "resolve": "com-abhut.cricket",
            "recordType": "A",
            "resolveType": "domain",
            "value": "1.1.1.1",
            "source": ["virustotal"],
            "lastSeen": "2015-11-09 00:00:00",
            "collected": "2015-11-09 00:00:00",
            "firstSeen": "2015-11-09 00:00:00"
        }],
        "totalRecords": 6912,
        "queryValue": "1.1.1.1",
        "pager": "None",
        "queryType": "ip",
        "firstSeen": "1970-01-01 00:00:00",
        "lastSeen": "2019-01-24 09:43:20"
    },
        "Entity": "1.1.1.1"
    }
]

WhoIs-Scanadresse

Beschreibung

RiskIQ-Adresse für WHOIS-Abfragen.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
contactEmail	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Domain	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Name	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Abrechnung	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
admin	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Text	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
registriert	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
lastLoadedAt	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
whoisServer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Telefon	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
registryUpdatedAt	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
nameServers	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Tech	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Organisation	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Registrator	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Zone	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Domaininhaber	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Entität:Ergebnis	–	–

JSON-Ergebnis

[
    {
        "EntityResult": {
            "contactEmail": "john_doe@example.com",
            "domain": "1.1.1.1",
            "name": "N/A",
            "billing": {},
            "admin": {
                "organization": "Abuse",
                "email": "john_doe@example.com",
                "telephone": "1-650-253-0000"
            },
            "text": "IANA WHOIS server for more information on IANA.",
            "registered": "2014-03-14T00:00:00.000-0700",
            "lastLoadedAt": "2018-06-22T10:35:52.694-0700",
            "whoisServer": "whois.arin.net",
            "telephone": "N/A",
            "registryUpdatedAt": "1991-11-02T00:00:00.000-0800",
            "nameServers": [],
            "tech": {
                "organization": "test LLC",
                "email": "john_doe@example.com",
                "telephone": "1-650-253-0000"
            },
            "organization": "test LLC",
            "registrar": "Administered by ARIN",
            "zone": {},
            "registrant": {
                "city": "Mountain View",
                "country": "US",
                "state": "CA",
                "street": "1600 Amphitheatre Parkway",
                "postalCode": "94043",
                "organization": "test LLC"
            }},
        "Entity": "1.1.1.1"
    }
]

Whois-Scan-Domain

Beschreibung

RiskIQ-Domain-WHOIS-Abfrage.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die Hostname-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Domain	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Name	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Abrechnung	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
admin	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Text	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
registriert	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
lastLoadedAt	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
whoisServer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Telefon	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
registryUpdatedAt	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
nameServers	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
expiresAt	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Tech	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Organisation	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Registrator	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Zone	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Domaininhaber	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Entität:Ergebnis	–	–

JSON-Ergebnis

[
    {
        "EntityResult": {
            "domain": "example.com",
            "name": "N/A",
            "billing": {},
            "admin": {},
            "text": "Domain Name: test.COM   Registry Domain ID: 2138514_DOMAIN_COM-VRSN.",
            "registered": "1997-09-14T21:00:00.000-0700",
            "lastLoadedAt": "2018-10-01T15:38:19.795-0700",
            "whoisServer": "whois.markmonitor.com",
            "telephone": "N/A",
            "registryUpdatedAt": "2018-02-21T10:36:40.000-0800",
            "nameServers": ["ns1.example.com", "ns2.example.com", "ns3.example.com"],
            "expiresAt": "2020-09-13T21:00:00.000-0700",
            "tech": {},
            "organization": "N/A",
            "registrar": "MarkMonitor Inc.",
            "zone": {},
            "registrant": {
            }},
        "Entity": "example.com"
    }
]

WhoIs-Host-Reputation

Beschreibung

Host-Reputation bei RiskIQ anfordern

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die Hostname-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Ergebnisse	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
totalRecords	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
queryValue	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Pager	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
queryType	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
firstSeen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
lastSeen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Entität:Ergebnis	–	–

JSON-Ergebnis

[
    {
        "EntityResult": {
            "results": [
                {
                    "recordHash": "0aad10e23953813834d28098db21c0902f01190c3eba7e38869f798ca56abda7",
                    "resolve": "1.1.1.1",
                    "recordType": "A",
                    "resolveType": "ip",
                    "value": "example.com",
                    "source": ["riskiq"],
                    "lastSeen": "2013-09-12 13:08:07",
                    "collected": "2019-01-24 12:36:12",
                    "firstSeen": "2013-09-12 13:08:07"
                }],
            "totalRecords": 5099,
            "queryValue": "example.com",
            "pager": "None",
            "queryType": "domain",
            "firstSeen": "2009-09-01 19:59:32",
            "lastSeen": "2019-01-24 12:36:11"
        },
        "Entity": "example.com"
    }
]

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten