Recorded Future
Integrationsversion: 16.0
Anwendungsbereiche
- Priorisierung von Sicherheitslücken.
- Untersuchung, Anreicherung und Reaktion auf Bedrohungsindikatoren.
Recorded Future für die Verwendung mit Google Security Operations konfigurieren
Produktberechtigung
Für die Authentifizierung wird ein API-Token verwendet, das nutzerspezifisch und an die Unternehmensbereitstellung des Nutzers gebunden ist.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apitoken |
Recorded Future-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-URL | Sring | https://api.recordedfuture.com | Ja | Adresse der Recorded Future-Instanz. |
| API-Schlüssel | String | – | Ja | In der Konsole von Recorded Future generiert. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Recorded Future-Verbindung eine SSL-Überprüfung erforderlich ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
IOC anreichern
Beschreibung
Informationen zu mehreren Entitäten mit unterschiedlichen Typen aus Google SecOps abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Grenzwert für Risikobewertung | Ganzzahl | 25 | Ja | Stellt die Mindest-Risikobewertung für böswillige Aktivitäten dar, die für jede Entität erforderlich ist, damit sie als verdächtig markiert wird. |
Ausführen am
Bei der Aktion sollten die folgenden Entitäten verwendet und zur Anreicherung mit aufgezeichneten zukünftigen Daten gesendet werden:
- IP-Adresse
- URL
- Filehash
- CVE
- DOomain
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| isSuspicious | Parameter „If exceeds threshold“ (Bei Überschreitung des Grenzwerts) | Wenn in JSON verfügbar |
| RF_id | Results[ ].Entity.id | Wenn in JSON verfügbar |
| RF_name | Results[ ].Entity.name | Wenn in JSON verfügbar |
| RF_type | Results[ ].Entity.type | Wenn in JSON verfügbar |
| RF_descrription | Results[ ].Entity.description | Wenn in JSON verfügbar |
| RF_risk_level | Results[ ].Risk.level | Wenn in JSON verfügbar |
| RF_risk_score | Results[ ].Risk.score | Wenn in JSON verfügbar |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | Wenn in JSON verfügbar |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | Wenn in JSON verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Wenn bestimmte Entitäten nicht angereichert werden können(is_success = true): Wenn keine Entitäten angereichert wurden (is_success=false): Gib „No entities were enriched.“ (Es wurden keine Entitäten angereichert.) aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Gibt „Fehler beim Ausführen der Aktion ‚IOC anreichern‘“ aus. Grund: {0}''.format(error.Stacktrace) Wenn wir den HTTP-Code 401 (nicht autorisiert) erhalten: „Unauthorized – please check your API token and try again“ (Nicht autorisiert – bitte überprüfen Sie Ihr API-Token und versuchen Sie es noch einmal) |
Allgemein |
CVE anreichern
Beschreibung
Mit der Aktion kann ein Nutzer eine CVE senden, um Informationen zur Bedrohungsanalyse abzurufen, die den Ruf der CVE zusammenfassen.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Grenzwert für Risikobewertung | String | 25 | Ja | Stellt die Mindest-Risikobewertung für eine CVE dar, damit sie als schädlich gekennzeichnet wird. Der Grenzwert für den Risikowert muss ein numerischer Wert sein. Der Bereich liegt zwischen 0 und 99. Hier sind die Bandstufen aufgeführt: Sehr schädlich: 90–99 Schädlich: 65–89 Verdächtig: 25–64 Ungewöhnlich: 5–24 Keine schädlichen Inhalte: 0. |
Anwendungsfälle
Ein Sicherheitsanalyst führt eine Sicherheitsbewertung der IT-Infrastruktur durch. Der Nutzer erfährt aus den Ergebnissen, dass sein Informationssystem anfällig für eine identifizierte Sicherheitslücke ist, deren CVE-Identität bekannt ist. Der Analyst benötigt weitere Details zur Sicherheitslücke und möchte ihren Ruf herausfinden. Der Nutzer kann mit Recorded Future nach dem CVE-Ruf der Sicherheitslücke suchen.
Ausführen am
Diese Aktion wird für die CVE-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Letzte Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Ausgelöste Regeln | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Erste Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Risikobewertung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
Hash anreichern
Beschreibung
Mit der Aktion kann ein Nutzer einen Hash senden, um Informationen zur Bedrohungsanalyse abzurufen, die den Ruf des Hash zusammenfassen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert für Risikobewertung | String | 25 | Stellt die Mindest-Risikobewertung für eine CVE dar, damit sie als schädlich gekennzeichnet wird. Der Grenzwert für den Risikowert muss ein numerischer Wert sein. Der Bereich liegt zwischen 0 und 99. Hier sind die Bandstufen aufgeführt: Sehr schädlich: 90–99 Schädlich: 65–89 Verdächtig: 25–64 Ungewöhnlich: 5–24 Keine schädlichen Inhalte: 0. |
Anwendungsfälle
Eine Datei auf einem Endpunkt ist möglicherweise mit einem Virus infiziert. Mit Recorded Future sendet ein Nutzer den Hash der Datei, dessen Reputation durch Nachschlagen abgerufen werden kann.
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Letzte Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Ausgelöste Regeln | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Erste Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Risikobewertung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Hash-Algorithmus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status des angereicherten Hash zu informieren. Der Insight wird erstellt, wenn der Risikowert den Mindestgrenzwert für verdächtige Risiken erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Host anreichern
Beschreibung
Mit der Aktion kann ein Nutzer einen Hostnamen senden, um Informationen zur Bedrohungsanalyse abzurufen, die den Ruf des Hosts zusammenfassen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert für Risikobewertung | String | 25 | Stellt die Mindest-Risikobewertung für eine CVE dar, damit sie als schädlich gekennzeichnet wird. Der Grenzwert für den Risikowert muss ein numerischer Wert sein. Der Bereich liegt zwischen 0 und 99. Hier sind die Bandstufen aufgeführt: Sehr schädlich: 90–99 Schädlich: 65–89 Verdächtig: 25–64 Ungewöhnlich: 5–24 Keine schädlichen Inhalte: 0. |
Anwendungsfälle
Ein Nutzer erhält eine E-Mail, in der er auf eine Webdomain weitergeleitet wird, die eine Replik seiner eigenen Domain ist. Die Domain gibt vor, vom Registrar der Domain zu stammen, der den Nutzer auffordert, Anmeldedaten für den Zugriff einzugeben, während die gefälschte Domain Phishing-Absichten hat. Der Nutzer kann Recorded Future verwenden, um die Reputation der Domain zu ermitteln.
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Letzte Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Ausgelöste Regeln | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Erste Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Risikobewertung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
IP anreichern
Beschreibung
Mit der Aktion kann ein Nutzer eine IP-Adresse senden, um Informationen zur Bedrohungsanalyse abzurufen, die den Ruf der IP-Adresse zusammenfassen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert für Risikobewertung | String | 25 | Stellt die Mindest-Risikobewertung für eine CVE dar, damit sie als schädlich gekennzeichnet wird. Der Grenzwert für den Risikowert muss ein numerischer Wert sein. Der Bereich liegt zwischen 0 und 99. Hier sind die Bandstufen aufgeführt: Sehr schädlich: 90–99 Schädlich: 65–89 Verdächtig: 25–64 Ungewöhnlich: 5–24 Keine schädlichen Inhalte: 0. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Letzte Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Ausgelöste Regeln | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Erste Referenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Risikobewertung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Geo-City | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Geo-Country | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Organisationseinheit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Asn | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL anreichern
Beschreibung
Mit der Aktion kann ein Nutzer eine URL senden, um Informationen zur Bedrohungsanalyse abzurufen, in denen der Ruf der URL zusammengefasst wird.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert für Risikobewertung | String | 25 | Stellt die Mindest-Risikobewertung für eine CVE dar, damit sie als schädlich gekennzeichnet wird. Der Grenzwert für den Risikowert muss ein numerischer Wert sein. Der Bereich liegt zwischen 0 und 99. Hier sind die Bandstufen aufgeführt: Sehr schädlich: 90–99 Schädlich: 65–89 Verdächtig: 25–64 Ungewöhnlich: 5–24 Keine schädlichen Inhalte: 0. |
Anwendungsfälle
Ein Nutzer öffnet sein Postfach und findet eine verdächtige E-Mail mit Anweisungen, in denen er aufgefordert wird, einer bestimmten URL zu folgen, um eine wichtige Passwortänderung oder ein Softwareupdate durchzuführen. Der Nutzer kann mit Recorded Future die URL-Reputation abrufen.
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Ausgelöste Regeln | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Risikobewertung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
Benachrichtigungsdetails abrufen
Beschreibung
Informationen zu einer bestimmten Benachrichtigung abrufen und Ergebnisse an den Fall zurückgeben.
Mit dieser Aktion können Sie weitere Informationen zu Recorded Future-Benachrichtigungen abrufen, z. B. Dokumente, zugehörige Einheiten und Beweise.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die ID der Benachrichtigung an, für die Sie Details abrufen möchten. |
Ausführen am
Diese Aktion sollte nicht für Entitäten, sondern nur für „Google SecOpsTicketId“ ausgeführt werden. Das ist die zukünftige „alertID“.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Wenn wir die Fälle nicht unterscheiden können :
Wenn wir den HTTP-Code 401 (nicht autorisiert) erhalten: „Unauthorized – please check your API token and try again“ (Nicht autorisiert – bitte überprüfen Sie Ihr API-Token und versuchen Sie es noch einmal) |
Allgemein |
CVE-bezogene Entitäten abrufen
Beschreibung
Mit der Aktion kann ein Nutzer eine CVE senden, um nach allen CVE-bezogenen Einheiten zu suchen. Aus den Kontextinformationen lassen sich sehr wichtige Informationen ableiten, die für Entscheidungen relevant sind.
Parameter
–
Anwendungsfälle
Bei der Bewertung der Systemanfälligkeit stellt ein Analyst fest, dass sein System anfällig für eine CVE ist. Der Analyst führt eine Suchaktion durch und die CVE wird als schädlich eingestuft. Der Analyst beschließt, Informationen zu verknüpften Einheiten abzurufen, um mehr über die Technologien und Vektoren zu erfahren, die vom CVE verwendet werden.
Ausführen am
Diese Aktion wird für die CVE-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_successful | Wahr/falsch | is_successful:False |
Hash-bezogene Entitäten abrufen
Beschreibung
Fragen Sie RecordedFuture nach zugehörigen Entitäten für den Hash.
Parameter
–
Anwendungsfälle
Ein Nutzer identifiziert einen schädlichen Hash in der Antiviren-Quarantäne eines der Endgeräte in seiner Organisation. Er möchte mehr Informationen zum Hash erhalten, um eine Möglichkeit zu finden, das Problem zu beheben. Mit Recorded Future kann er weitere Informationen zu Bedrohungen erhalten.
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_successful | Wahr/falsch | is_successful:False |
Hostbezogene Entitäten abrufen
Beschreibung
Mit der Aktion kann ein Nutzer einen Host senden, um alle mit dem Host verknüpften Einheiten zu suchen. Aus den Kontextinformationen lassen sich sehr wichtige Informationen gewinnen, die für die Entscheidungsfindung von Bedeutung sind.
Parameter
–
Anwendungsfälle
Ein Nutzer identifiziert in der Antiviren-Quarantäne eines der Endpunkte in seiner Organisation einen schädlichen Hash. Er möchte weitere Informationen zum Hash erhalten, die ihm helfen, eine Möglichkeit zur Eindämmung zu finden. Mit Recorded Future kann er weitere Informationen zu Bedrohungen abrufen.
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_successful | Wahr/falsch | is_successful:False |
IP-bezogene Entitäten abrufen
Beschreibung
Mit der Aktion kann ein Nutzer eine IP-Adresse senden, um alle mit der IP-Adresse verknüpften Einheiten zu suchen. Die gesammelten Informationen ermöglichen es einem Nutzer, wichtige Erkenntnisse darüber zu gewinnen, wer ihn angreift, was seine Motivation und Fähigkeiten sind und welche Anzeichen für Kompromittierungen in seinen Systemen vorliegen. Anhand der Informationen kann ein Nutzer eine fundierte Entscheidung zur Sicherheit treffen.
Parameter
–
Anwendungsfälle
Eine WAF (Web Application Firewall) erstellt einen Logeintrag für verdächtigen Web-Traffic von einer IP-Adresse. Sobald der Logeintrag vom Analysten bestätigt wurde, wird die IP-Adresse zur Anreicherung an Recorded Future gesendet, um ihren Ruf zu ermitteln. Wenn die IP als riskant eingestuft wird, wird sie durch das Playbook blockiert.
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_successful | Wahr/falsch | is_successful:False |
Ping
Beschreibung
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_successful | Wahr/falsch | is_successful:False |
Analystennotiz hinzufügen
Beschreibung
Fügen Sie zuvor angereicherten Entitäten in Google SecOps eine Analystennotiz hinzu, um Recorded Future-Entitäten zu erstellen. Durch die Aktion wird die Notiz den entsprechenden Bereichsentitäten hinzugefügt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Titel der Notiz | String | Titel der Notiz | Ja | Titel für die Notiz angeben |
| Notiztext | String | Notiztext | Ja | Text für die Notiz angeben |
| Notizquelle | String | – | Ja | Geben Sie die RF-ID für die Notizquelle an. Im API Explorer wird angezeigt, auf welche RF-IDs der Nutzer zugreifen kann, dessen API-Token aktiviert ist. VWKdVr ist beispielsweise die RF-ID für eine Analystennotiz und nur für Nutzer im selben Unternehmenskonto in Recorded Future verfügbar. |
| Thema | DDL (siehe Tabelle unten) |
Keine | Nein | Geben Sie bei Bedarf das entsprechende Thema der Anmerkung aus der Liste an. |
| Entität anreichern? | Kästchen | Aktiviert | Ja | Geben Sie an, ob die Entität durch die Aktion mit der Ausgabe „IOC anreichern“ angereichert werden soll. |
DDL-Werte für das Feld „Thema“
| Anzeigetext | String to send in the request (String, der in der Anfrage gesendet werden soll) |
|---|---|
| Keine (Standardeinstellung) | Nichts senden |
| Akteursprofil | TXSFt2 |
| Analyst On-Demand Report | VlIhvH |
| Analyse von Cyberbedrohungen | TXSFt1 |
| Flash-Bericht | TXSFt0 |
| Anzeige | TXSFt4 |
| Informationell | UrMRnT |
| Malware-/Tool-Profil | UX0YlU |
| Quellprofil | UZmDut |
| Threat Lead | TXSFt3 |
| Bestätigtes Informationsereignis | TXSFt5 |
| Wöchentliche Bedrohungslage | VlIhvG |
| YARA-Regel | VTrvnW |
Ausführen am
Diese Aktion wird für die folgenden Entitätstypen ausgeführt:
- IP-Adresse
- URL
- Filehash
- CVE
- Domain
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| RF_doc_id | Wenn in JSON verfügbar. |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion sollte nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen. Wenn bei der Ausführung von „IOC anreichern“ mindestens eine Entität in Recorded Future nicht gefunden wurde: „Die folgenden Entitäten sind in Recorded Future nicht vorhanden: {non_existing_entities} Die Aktion sollte fehlschlagen: Wenn keine Entitäten eine RF_ID hatten und sie nicht in „IOC anreichern“ gefunden wurden: „Recorded Future konnte keine der in ‚IOC anreichern‘ angegebenen Entitäten finden und konnte daher die Analystennotiz nicht veröffentlichen.“ Wenn wir den HTTP-Code 401 (nicht autorisiert) erhalten: „Nicht autorisiert – bitte prüfen Sie Ihr API-Token und versuchen Sie es noch einmal.“ |
Allgemein |
Benachrichtigung ändern
Beschreibung
Aktualisieren Sie die Benachrichtigung in Recorded Future.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die ID der zu aktualisierenden Benachrichtigung an. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte: Nicht zugewiesen Zugewiesen Ausstehend Abgelehnt Neu Behoben Zur Optimierung markieren |
Nein | Geben Sie den neuen Status für die Benachrichtigung an. |
| Zuweisen zu | String | Nein | Geben Sie an, wem die Benachrichtigung zugewiesen werden soll. Sie können die ID, den Nutzernamen, den Nutzer-Hash oder die E-Mail-Adresse angeben. | |
| Hinweis | String | Geben Sie eine Notiz an, die in der Benachrichtigung aktualisiert werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn die Fehlerliste nicht leer ist: „Fehler beim Ausführen der Aktion ‚Benachrichtigung aktualisieren‘. Grund: {0}''.format(error/reason) Wenn der Status „Select One“ lautet und keine der anderen Werte angegeben ist: „Fehler beim Ausführen der Aktion ‚Benachrichtigung aktualisieren‘. Grund: Für mindestens einen der Aktionsparameter muss ein Wert angegeben werden. |
Allgemein |
Connectors
Recorded Future – Connector für Sicherheitswarnungen
Beschreibung
Sicherheitswarnungen von Recorded Future abrufen
Zulassungs- und Sperrlisten funktionieren mit Recorded Future-Regelnamen.
Recorded Future – Security Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Titel | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | ID | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
Feldname der Umgebung |
String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
Regex-Muster für Umgebung |
String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-URL | String | https://api.recordedfuture.com | Ja | API-Stammverzeichnis der Recorded Future-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel von Recorded Future. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. |
| Max. Anzahl der abzurufenden Benachrichtigungen | Ganzzahl | 100 | Nein | Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. |
| Schweregrad | String | Mittel | Ja | Der Schweregrad kann einen der folgenden Werte haben: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. |
| Details zur Benachrichtigung abrufen | Kästchen | Deaktiviert | Ja | Rufen Sie die vollständigen Details der Benachrichtigung bei Recorded Future ab. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Recorded Future-Server geprüft. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten