PassiveTotal
Questo documento fornisce indicazioni su come integrare PassiveTotal con Google SecOps.
Configura PassiveTotal in modo che funzioni con Google Security Operations
Credenziali
Per saperne di più su come ottenere le chiavi API, consulta Guida introduttiva all'API RiskIQ Community.
Rete
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Configura l'integrazione di PassiveTotal in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Azioni
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
N/A
Reputazione indirizzo WhoIs
Descrizione
Richiedi una reputazione dell'indirizzo a RiskIQ.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| risultati | Restituisce se esiste nel risultato JSON |
| totalRecords | Restituisce se esiste nel risultato JSON |
| queryValue | Restituisce se esiste nel risultato JSON |
| pager | Restituisce se esiste nel risultato JSON |
| queryType | Restituisce se esiste nel risultato JSON |
| firstSeen | Restituisce se esiste nel risultato JSON |
| lastSeen | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Entità:Result | N/D | N/D |
Risultato JSON
[
{
"EntityResult": {
"results": [{
"recordHash": "1cb21131ee1c1be14c862d446d149d43296fa8bfa9678374f25ea9ab3c38b777",
"resolve": "com-abhut.cricket",
"recordType": "A",
"resolveType": "domain",
"value": "1.1.1.1",
"source": ["virustotal"],
"lastSeen": "2015-11-09 00:00:00",
"collected": "2015-11-09 00:00:00",
"firstSeen": "2015-11-09 00:00:00"
}],
"totalRecords": 6912,
"queryValue": "1.1.1.1",
"pager": "None",
"queryType": "ip",
"firstSeen": "1970-01-01 00:00:00",
"lastSeen": "2019-01-24 09:43:20"
},
"Entity": "1.1.1.1"
}
]
Indirizzo di scansione WhoIs
Descrizione
Query WHOIS dell'indirizzo RiskIQ.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| contactEmail | Restituisce se esiste nel risultato JSON |
| dominio | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
| fatturazione | Restituisce se esiste nel risultato JSON |
| amministratore | Restituisce se esiste nel risultato JSON |
| testo | Restituisce se esiste nel risultato JSON |
| registrato | Restituisce se esiste nel risultato JSON |
| lastLoadedAt | Restituisce se esiste nel risultato JSON |
| whoisServer | Restituisce se esiste nel risultato JSON |
| telefono | Restituisce se esiste nel risultato JSON |
| registryUpdatedAt | Restituisce se esiste nel risultato JSON |
| nameServers | Restituisce se esiste nel risultato JSON |
| tech | Restituisce se esiste nel risultato JSON |
| organizzazione | Restituisce se esiste nel risultato JSON |
| registrar | Restituisce se esiste nel risultato JSON |
| zona | Restituisce se esiste nel risultato JSON |
| registrante | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Entità:Result | N/D | N/D |
Risultato JSON
[
{
"EntityResult": {
"contactEmail": "john_doe@example.com",
"domain": "1.1.1.1",
"name": "N/A",
"billing": {},
"admin": {
"organization": "Abuse",
"email": "john_doe@example.com",
"telephone": "1-650-253-0000"
},
"text": "IANA WHOIS server for more information on IANA.",
"registered": "2014-03-14T00:00:00.000-0700",
"lastLoadedAt": "2018-06-22T10:35:52.694-0700",
"whoisServer": "whois.arin.net",
"telephone": "N/A",
"registryUpdatedAt": "1991-11-02T00:00:00.000-0800",
"nameServers": [],
"tech": {
"organization": "test LLC",
"email": "john_doe@example.com",
"telephone": "1-650-253-0000"
},
"organization": "test LLC",
"registrar": "Administered by ARIN",
"zone": {},
"registrant": {
"city": "Mountain View",
"country": "US",
"state": "CA",
"street": "1600 Amphitheatre Parkway",
"postalCode": "94043",
"organization": "test LLC"
}},
"Entity": "1.1.1.1"
}
]
WhoIs Scan Domain
Descrizione
Query WHOIS del dominio RiskIQ.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| dominio | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
| fatturazione | Restituisce se esiste nel risultato JSON |
| amministratore | Restituisce se esiste nel risultato JSON |
| testo | Restituisce se esiste nel risultato JSON |
| registrato | Restituisce se esiste nel risultato JSON |
| lastLoadedAt | Restituisce se esiste nel risultato JSON |
| whoisServer | Restituisce se esiste nel risultato JSON |
| telefono | Restituisce se esiste nel risultato JSON |
| registryUpdatedAt | Restituisce se esiste nel risultato JSON |
| nameServers | Restituisce se esiste nel risultato JSON |
| expiresAt | Restituisce se esiste nel risultato JSON |
| tech | Restituisce se esiste nel risultato JSON |
| organizzazione | Restituisce se esiste nel risultato JSON |
| registrar | Restituisce se esiste nel risultato JSON |
| zona | Restituisce se esiste nel risultato JSON |
| registrante | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Entità:Result | N/D | N/D |
Risultato JSON
[
{
"EntityResult": {
"domain": "example.com",
"name": "N/A",
"billing": {},
"admin": {},
"text": "Domain Name: test.COM Registry Domain ID: 2138514_DOMAIN_COM-VRSN.",
"registered": "1997-09-14T21:00:00.000-0700",
"lastLoadedAt": "2018-10-01T15:38:19.795-0700",
"whoisServer": "whois.markmonitor.com",
"telephone": "N/A",
"registryUpdatedAt": "2018-02-21T10:36:40.000-0800",
"nameServers": ["ns1.example.com", "ns2.example.com", "ns3.example.com"],
"expiresAt": "2020-09-13T21:00:00.000-0700",
"tech": {},
"organization": "N/A",
"registrar": "MarkMonitor Inc.",
"zone": {},
"registrant": {
}},
"Entity": "example.com"
}
]
Reputazione host WhoIs
Descrizione
Richiedi la reputazione dell'host a RiskIQ.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| risultati | Restituisce se esiste nel risultato JSON |
| totalRecords | Restituisce se esiste nel risultato JSON |
| queryValue | Restituisce se esiste nel risultato JSON |
| pager | Restituisce se esiste nel risultato JSON |
| queryType | Restituisce se esiste nel risultato JSON |
| firstSeen | Restituisce se esiste nel risultato JSON |
| lastSeen | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Entità:Result | N/D | N/D |
Risultato JSON
[
{
"EntityResult": {
"results": [
{
"recordHash": "0aad10e23953813834d28098db21c0902f01190c3eba7e38869f798ca56abda7",
"resolve": "1.1.1.1",
"recordType": "A",
"resolveType": "ip",
"value": "example.com",
"source": ["riskiq"],
"lastSeen": "2013-09-12 13:08:07",
"collected": "2019-01-24 12:36:12",
"firstSeen": "2013-09-12 13:08:07"
}],
"totalRecords": 5099,
"queryValue": "example.com",
"pager": "None",
"queryType": "domain",
"firstSeen": "2009-09-01 19:59:32",
"lastSeen": "2019-01-24 12:36:11"
},
"Entity": "example.com"
}
]
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.