PassiveTotal
本文提供指南,說明如何整合 PassiveTotal 與 Google SecOps。
設定 PassiveTotal 以與 Google Security Operations 搭配使用
憑證
如要進一步瞭解如何取得 API 金鑰,請參閱「開始使用 RiskIQ Community API」。
網路
| 功能 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
在 Google SecOps 中設定 PassiveTotal 整合
請參閱這篇說明文章,瞭解在 Google SecOps 中設定整合功能的詳細操作說明。
動作
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行日期
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 結果
N/A
WhoIs 地址信譽
說明
向 RiskIQ 索取地址信譽。
參數
不適用
用途
不適用
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 結果 | 如果 JSON 結果中存在,則傳回 |
| totalRecords | 如果 JSON 結果中存在,則傳回 |
| queryValue | 如果 JSON 結果中存在,則傳回 |
| 翻頁元素 | 如果 JSON 結果中存在,則傳回 |
| queryType | 如果 JSON 結果中存在,則傳回 |
| firstSeen | 如果 JSON 結果中存在,則傳回 |
| lastSeen | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
|---|---|---|
| 實體:Result | 不適用 | 不適用 |
JSON 結果
[
{
"EntityResult": {
"results": [{
"recordHash": "1cb21131ee1c1be14c862d446d149d43296fa8bfa9678374f25ea9ab3c38b777",
"resolve": "com-abhut.cricket",
"recordType": "A",
"resolveType": "domain",
"value": "1.1.1.1",
"source": ["virustotal"],
"lastSeen": "2015-11-09 00:00:00",
"collected": "2015-11-09 00:00:00",
"firstSeen": "2015-11-09 00:00:00"
}],
"totalRecords": 6912,
"queryValue": "1.1.1.1",
"pager": "None",
"queryType": "ip",
"firstSeen": "1970-01-01 00:00:00",
"lastSeen": "2019-01-24 09:43:20"
},
"Entity": "1.1.1.1"
}
]
WhoIs 掃描地址
說明
RiskIQ 地址 WHOIS 查詢。
參數
不適用
用途
不適用
執行日期
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| contactEmail | 如果 JSON 結果中存在,則傳回 |
| 網域 | 如果 JSON 結果中存在,則傳回 |
| 名稱 | 如果 JSON 結果中存在,則傳回 |
| 帳單 | 如果 JSON 結果中存在,則傳回 |
| 管理員 | 如果 JSON 結果中存在,則傳回 |
| 文字 | 如果 JSON 結果中存在,則傳回 |
| 已註冊 | 如果 JSON 結果中存在,則傳回 |
| lastLoadedAt | 如果 JSON 結果中存在,則傳回 |
| whoisServer | 如果 JSON 結果中存在,則傳回 |
| 電話 | 如果 JSON 結果中存在,則傳回 |
| registryUpdatedAt | 如果 JSON 結果中存在,則傳回 |
| nameServers | 如果 JSON 結果中存在,則傳回 |
| tech | 如果 JSON 結果中存在,則傳回 |
| 組織 | 如果 JSON 結果中存在,則傳回 |
| 註冊商 | 如果 JSON 結果中存在,則傳回 |
| 可用區 | 如果 JSON 結果中存在,則傳回 |
| 註冊者 | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
|---|---|---|
| 實體:Result | 不適用 | 不適用 |
JSON 結果
[
{
"EntityResult": {
"contactEmail": "john_doe@example.com",
"domain": "1.1.1.1",
"name": "N/A",
"billing": {},
"admin": {
"organization": "Abuse",
"email": "john_doe@example.com",
"telephone": "1-650-253-0000"
},
"text": "IANA WHOIS server for more information on IANA.",
"registered": "2014-03-14T00:00:00.000-0700",
"lastLoadedAt": "2018-06-22T10:35:52.694-0700",
"whoisServer": "whois.arin.net",
"telephone": "N/A",
"registryUpdatedAt": "1991-11-02T00:00:00.000-0800",
"nameServers": [],
"tech": {
"organization": "test LLC",
"email": "john_doe@example.com",
"telephone": "1-650-253-0000"
},
"organization": "test LLC",
"registrar": "Administered by ARIN",
"zone": {},
"registrant": {
"city": "Mountain View",
"country": "US",
"state": "CA",
"street": "1600 Amphitheatre Parkway",
"postalCode": "94043",
"organization": "test LLC"
}},
"Entity": "1.1.1.1"
}
]
WhoIs 掃描網域
說明
RiskIQ 網域 WHOIS 查詢。
參數
不適用
用途
不適用
執行日期
這項操作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 網域 | 如果 JSON 結果中存在,則傳回 |
| 名稱 | 如果 JSON 結果中存在,則傳回 |
| 帳單 | 如果 JSON 結果中存在,則傳回 |
| 管理員 | 如果 JSON 結果中存在,則傳回 |
| 文字 | 如果 JSON 結果中存在,則傳回 |
| 已註冊 | 如果 JSON 結果中存在,則傳回 |
| lastLoadedAt | 如果 JSON 結果中存在,則傳回 |
| whoisServer | 如果 JSON 結果中存在,則傳回 |
| 電話 | 如果 JSON 結果中存在,則傳回 |
| registryUpdatedAt | 如果 JSON 結果中存在,則傳回 |
| nameServers | 如果 JSON 結果中存在,則傳回 |
| expiresAt | 如果 JSON 結果中存在,則傳回 |
| tech | 如果 JSON 結果中存在,則傳回 |
| 組織 | 如果 JSON 結果中存在,則傳回 |
| 註冊商 | 如果 JSON 結果中存在,則傳回 |
| 可用區 | 如果 JSON 結果中存在,則傳回 |
| 註冊者 | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
|---|---|---|
| 實體:Result | 不適用 | 不適用 |
JSON 結果
[
{
"EntityResult": {
"domain": "example.com",
"name": "N/A",
"billing": {},
"admin": {},
"text": "Domain Name: test.COM Registry Domain ID: 2138514_DOMAIN_COM-VRSN.",
"registered": "1997-09-14T21:00:00.000-0700",
"lastLoadedAt": "2018-10-01T15:38:19.795-0700",
"whoisServer": "whois.markmonitor.com",
"telephone": "N/A",
"registryUpdatedAt": "2018-02-21T10:36:40.000-0800",
"nameServers": ["ns1.example.com", "ns2.example.com", "ns3.example.com"],
"expiresAt": "2020-09-13T21:00:00.000-0700",
"tech": {},
"organization": "N/A",
"registrar": "MarkMonitor Inc.",
"zone": {},
"registrant": {
}},
"Entity": "example.com"
}
]
WhoIs 主機信譽
說明
向 RiskIQ 索取主機信譽。
參數
不適用
用途
不適用
執行日期
這項操作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 結果 | 如果 JSON 結果中存在,則傳回 |
| totalRecords | 如果 JSON 結果中存在,則傳回 |
| queryValue | 如果 JSON 結果中存在,則傳回 |
| 翻頁元素 | 如果 JSON 結果中存在,則傳回 |
| queryType | 如果 JSON 結果中存在,則傳回 |
| firstSeen | 如果 JSON 結果中存在,則傳回 |
| lastSeen | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 範例 |
|---|---|---|
| 實體:Result | 不適用 | 不適用 |
JSON 結果
[
{
"EntityResult": {
"results": [
{
"recordHash": "0aad10e23953813834d28098db21c0902f01190c3eba7e38869f798ca56abda7",
"resolve": "1.1.1.1",
"recordType": "A",
"resolveType": "ip",
"value": "example.com",
"source": ["riskiq"],
"lastSeen": "2013-09-12 13:08:07",
"collected": "2019-01-24 12:36:12",
"firstSeen": "2013-09-12 13:08:07"
}],
"totalRecords": 5099,
"queryValue": "example.com",
"pager": "None",
"queryType": "domain",
"firstSeen": "2009-09-01 19:59:32",
"lastSeen": "2019-01-24 12:36:11"
},
"Entity": "example.com"
}
]
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。