Recorded Future
Versión de integración: 16.0
Casos prácticos
- Priorización de vulnerabilidades.
- Investigación, enriquecimiento y respuesta de indicadores de amenazas.
Configurar Recorded Future para que funcione con Google Security Operations
Permiso de producto
Se usa un token de API para la autenticación, que es específico del usuario y está vinculado a la implementación empresarial del usuario.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apitoken |
Configurar la integración de Recorded Future en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| URL de API | Sring | https://api.recordedfuture.com | Sí | Dirección de la instancia de Recorded Future. |
| Clave de API | Cadena | N/A | Sí | Generado en la consola de Recorded Future. |
| Verificar SSL | Casilla | Desmarcada | No | Marca esta casilla si tu conexión de Recorded Future requiere una verificación SSL. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Enriquecer IOC
Descripción
Obtener información sobre varias entidades de diferentes tipos de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación de riesgo | Entero | 25 | Sí | Representa la puntuación de riesgo malicioso mínima que debe tener cada entidad para marcarse como sospechosa. |
Fecha de ejecución
La acción debe tomar cada una de las siguientes entidades y enviarlas al enriquecimiento con el futuro registrado:
- Dirección IP
- URL
- Filehash
- CVE
- DOomain
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| isSuspicious | Si supera el parámetro de umbral | Cuando esté disponible en JSON |
| RF_id | Results[ ].Entity.id | Cuando esté disponible en JSON |
| RF_name | Results[ ].Entity.name | Cuando esté disponible en JSON |
| RF_type | Results[ ].Entity.type | Cuando esté disponible en JSON |
| RF_descrription | Results[ ].Entity.description | Cuando esté disponible en JSON |
| RF_risk_level | Results[ ].Risk.level | Cuando esté disponible en JSON |
| RF_risk_score | Results[ ].Risk.score | Cuando esté disponible en JSON |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | Cuando esté disponible en JSON |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | Cuando esté disponible en JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se ha enriquecido ninguna entidad (is_success=false): Imprime "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Imprime "Error al ejecutar la acción "Enrich IOC". Motivo: {0}''.format(error.Stacktrace) Si recibimos el código HTTP 401 (no autorizado): Imprime "Unauthorized - please check your API token and try again" ("No autorizado. Comprueba tu token de API y vuelve a intentarlo") |
General |
Enriquecer CVE
Descripción
Esta acción permite a los usuarios enviar un CVE para buscar información sobre inteligencia de amenazas que resuma la reputación del CVE.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación de riesgo | Cadena | 25 | Sí | Representa la puntuación mínima de riesgo de malware para que un CVE se marque como malicioso. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un intervalo de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90-99 Malicioso: 65-89 Sospechoso: 25-64 Inusual: 5-24 No hay contenido malicioso: 0. |
Casos prácticos
Un analista de seguridad realiza una evaluación de seguridad en su infraestructura de tecnologías de la información. El usuario descubre a partir de los resultados que su sistema de información es vulnerable a una vulnerabilidad identificada cuyo ID de CVE se conoce. El analista no tiene más detalles sobre la vulnerabilidad y quiere saber cuál es su reputación. El usuario puede usar Recorded Future para buscar la reputación CVE de la vulnerabilidad.
Fecha de ejecución
Esta acción se ejecuta en la entidad CVE.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del hash enriquecido. La información se creará cuando el número de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
Enrich Hash
Descripción
Esta acción permite a un usuario enviar un hash para buscar información sobre inteligencia de amenazas que resuma la reputación del hash.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de puntuación de riesgo | Cadena | 25 | Representa la puntuación mínima de riesgo de malware para que un CVE se marque como malicioso. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un intervalo de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90-99 Malicioso: 65-89 Sospechoso: 25-64 Inusual: 5-24 No hay contenido malicioso: 0. |
Casos prácticos
Se sospecha que un archivo está infectado por un virus en un endpoint. Con Recorded Future, un usuario envía el hash de los archivos, cuya reputación se puede obtener mediante una búsqueda.
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
| Algoritmo hash | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la puntuación de riesgo sea igual o superior al umbral mínimo de puntuación de riesgo sospechoso. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Enrich Host
Descripción
Esta acción permite que un usuario envíe un nombre de host para buscar información sobre inteligencia de amenazas que resuma la reputación del host.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de puntuación de riesgo | Cadena | 25 | Representa la puntuación mínima de riesgo de malware para que un CVE se marque como malicioso. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un intervalo de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90-99 Malicioso: 65-89 Sospechoso: 25-64 Inusual: 5-24 No hay contenido malicioso: 0. |
Casos prácticos
Un usuario recibe un correo que le redirige a una réplica del dominio web de su propio dominio. El dominio afirma ser el registrador del dominio que les solicita que introduzcan las credenciales para acceder, mientras que el dominio falso tiene fines de phishing. El usuario puede usar Recorded Future para buscar la reputación del dominio.
Fecha de ejecución
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del hash enriquecido. La información se creará cuando el número de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
Enriquecer IP
Descripción
Esta acción permite a un usuario enviar una dirección IP para buscar información sobre inteligencia de amenazas que resuma la reputación de la IP.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de puntuación de riesgo | Cadena | 25 | Representa la puntuación mínima de riesgo de malware para que un CVE se marque como malicioso. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un intervalo de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90-99 Malicioso: 65-89 Sospechoso: 25-64 Inusual: 5-24 No hay contenido malicioso: 0. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
| Geo-City | Devuelve si existe en el resultado JSON. |
| Geo-Country | Devuelve si existe en el resultado JSON. |
| Organización | Devuelve si existe en el resultado JSON. |
| Asn | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del hash enriquecido. La información se creará cuando el número de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL de enriquecimiento
Descripción
Esta acción permite a los usuarios enviar una URL para buscar información sobre inteligencia de amenazas que resuma la reputación de la URL.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de puntuación de riesgo | cadena | 25 | Representa la puntuación mínima de riesgo de malware para que un CVE se marque como malicioso. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un intervalo de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90-99 Malicioso: 65-89 Sospechoso: 25-64 Inusual: 5-24 No hay contenido malicioso: 0. |
Casos prácticos
Un usuario abre su buzón y encuentra un correo sospechoso con instrucciones para seguir una URL determinada con el fin de llevar a cabo un cambio de contraseña o una actualización de software crucial. El usuario puede usar Recorded Future para buscar la reputación de la URL.
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del hash enriquecido. La información se creará cuando el número de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
Get Alert Details
Descripción
Obtiene información sobre una alerta específica y devuelve los resultados al caso.
Usa la acción para obtener más información sobre las alertas de Recorded Future: documentos, entidades relacionadas, pruebas, etc.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifique el ID de la alerta de la que quiere obtener los detalles. |
Fecha de ejecución
Esta acción no debe ejecutarse en entidades, sino solo en Google SecOps TicketId, que será el ID de alerta futuro registrado.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: La acción debería fallar y detener la ejecución de una guía:
Si no tenemos forma de diferenciar entre los casos :
Si recibimos el código HTTP 401 (no autorizado): Imprime "Unauthorized - please check your API token and try again" (Sin autorización. Comprueba tu token de API y vuelve a intentarlo). |
General |
Obtener entidades relacionadas con CVE
Descripción
Esta acción permite a los usuarios enviar un CVE para buscar todas las entidades relacionadas con él. La información muy importante, que es información sin procesar que es importante para tomar decisiones, se puede obtener de la información de contexto proporcionada.
Parámetros
N/A
Casos prácticos
Durante una evaluación de vulnerabilidades del sistema, un analista se da cuenta de que su sistema es vulnerable a un CVE. El analista realiza una búsqueda y se determina que la CVE es maliciosa. El analista decide obtener información sobre las entidades relacionadas para obtener más información sobre las tecnologías y los vectores utilizados por la CVE.
Fecha de ejecución
Esta acción se ejecuta en la entidad CVE.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Get Hash Related Entities
Descripción
Consulta RecordedFuture para obtener las entidades relacionadas con el hash.
Parámetros
N/A
Casos prácticos
Un usuario identifica un hash malicioso en la cuarentena del antivirus de uno de los endpoints de su organización. Quieren obtener más información sobre el hash para poder encontrar una forma de mitigar el problema. Con Recorded Future, puede obtener más información sobre la amenaza.
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Get Host Related Entities
Descripción
La acción permite a un usuario enviar un host para buscar todas las entidades relacionadas con el host. Se puede obtener información muy importante del contexto, que es información sin procesar que resulta importante para tomar decisiones.
Parámetros
N/A
Casos prácticos
Un usuario identifica un hash malicioso en la cuarentena antivirus de uno de los endpoints de su organización. El usuario quiere obtener más información sobre el hash para encontrar una forma de mitigar el problema. Con Recorded Future puede obtener más información sobre la amenaza.
Fecha de ejecución
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Get IP Related Entities
Descripción
Esta acción permite a un usuario enviar una dirección IP para buscar todas las entidades relacionadas con ella. La información recogida permite a los usuarios obtener información valiosa sobre quién les está atacando, cuáles son sus motivaciones y capacidades, y qué indicadores de vulneración hay en sus sistemas. Gracias a esta información, los usuarios pueden tomar decisiones fundamentadas sobre la seguridad.
Parámetros
N/A
Casos prácticos
Un WAF (cortafuegos de aplicaciones web) crea una entrada de registro para el tráfico web sospechoso de una dirección IP. Una vez que el analista confirma la entrada de registro, la dirección IP se envía a Recorded Future para que la enriquezca con el fin de determinar su reputación. Si se determina que la IP es arriesgada, el playbook la bloqueará.
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Añadir nota del analista
Descripción
Añadir una nota de analista a entidades enriquecidas anteriormente en Google SecOps, a entidades de Recorded Future. La acción añadirá la nota a las entidades del ámbito correspondiente.
.Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Título de la nota | Cadena | Título de la nota | Sí | Especifica el título de la nota |
| Texto de la nota | Cadena | Texto de la nota | Sí | Especifica el texto de la nota. |
| Fuente de la nota | Cadena | N/A | Sí | Especifica el ID de RF de la fuente de la nota. El explorador de APIs muestra los IDs de RF a los que puede acceder el usuario cuyo token de API está habilitado. Por ejemplo, VWKdVr es el ID de RF de una nota de analista y solo está disponible para los usuarios de la misma cuenta de empresa en Recorded Future. |
| Tema | DDL (consulta la tabla que aparece más abajo) |
Ninguno | No | Si es necesario, especifica el tema de la nota pertinente en la lista. |
| ¿Enriquecer entidad? | Casilla | Marcada | Sí | Especifica si la acción debe enriquecer la entidad con el resultado "Enriquecer IOC". |
Valores de DDL del campo "Tema"
| Texto visible | Cadena que se enviará en la solicitud |
|---|---|
| Ninguna (opción predeterminada) | No enviar nada |
| Perfil de usuario ejecutante | TXSFt2 |
| Informe de analista bajo demanda | VlIhvH |
| Análisis de ciberamenazas | TXSFt1 |
| Informe urgente | TXSFt0 |
| Indicador | TXSFt4 |
| Informativa | UrMRnT |
| Perfil de malware o herramienta | UX0YlU |
| Perfil de origen | UZmDut |
| Responsable de amenazas | TXSFt3 |
| Evento de Intelligence validado | TXSFt5 |
| Panorama de amenazas semanal | VlIhvG |
| Regla de YARA | VTrvnW |
Fecha de ejecución
Esta acción se ejecuta en los siguientes tipos de entidades:
- Dirección IP
- URL
- Filehash
- CVE
- Dominio
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| RF_doc_id | Cuando esté disponible en JSON. |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se ha encontrado al menos una entidad en Recorded Future al ejecutar Enriquecer IoC: "Las siguientes entidades no existen en Recorded Future: {non_existing_entities} La acción debería fallar : Si ninguna entidad tenía un RF_ID y no se encontraron en enrich IOC: "Recorded Future no ha encontrado ninguna de las entidades proporcionadas en "Enrich IOC" y, por lo tanto, no ha podido publicar la nota del analista". Si recibimos el código HTTP 401 (no autorizado): "No autorizado. Comprueba tu token de API e inténtalo de nuevo". |
General |
Actualizar alerta
Descripción
Actualizar alerta en Recorded Future.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Estado | DDL | Selecciona una opción. Valores posibles: Sin asignar Asignada Pendiente Ignorada Nuevo Resuelto Marcar para ajuste |
No | Especifica el nuevo estado de la alerta. |
| Asignar a | Cadena | No | Especifica a quién quieres asignar la alerta. Puedes proporcionar el ID, el nombre de usuario, el hash de usuario o el correo electrónico. | |
| Nota | Cadena | Especifica una nota que se deba actualizar en la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si la lista de errores no está vacía: "Error al ejecutar la acción "Actualizar alerta". Motivo: {0}''.format(error/reason) Si el estado es "Seleccionar uno" y no se proporciona ninguno de los otros valores: "Error al ejecutar la acción "Actualizar alerta". Motivo: al menos uno de los parámetros de acción debe tener un valor. |
General |
Conectores
Recorded Future - Security Alerts Connector
Descripción
Extrae alertas de seguridad de Recorded Future.
Las listas blancas y negras funcionan con los nombres de las reglas de Recorded Future.
Configurar el conector de alertas de seguridad de Recorded Future en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | title | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | ID | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
Nombre del campo de entorno |
Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
Patrón de expresión regular del entorno |
Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| URL de API | Cadena | https://api.recordedfuture.com | Sí | Raíz de la API de la instancia de Recorded Future. |
| Clave de API | Contraseña | N/A | Sí | Clave de API de Recorded Future. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se deben obtener los eventos. |
| Número máximo de alertas que se van a obtener | Entero | 100 | No | Número de alertas que se procesarán por cada iteración del conector. |
| Gravedad | Cadena | Medio | Sí | La gravedad será uno de los siguientes valores: baja, media, alta o crítica. |
| Obtener detalles de la alerta | Casilla | Desmarcada | Sí | Consulta todos los detalles de la alerta en Recorded Future. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Recorded Future sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.