Recorded Future
Versión de la integración: 16.0
Casos de uso
- Priorización de vulnerabilidades
- Investigación, enriquecimiento y respuesta ante indicadores de amenazas
Configura Recorded Future para que funcione con Google Security Operations
Permiso del producto
Se usa un token de API para la autenticación, que es específico del usuario y está vinculado a la implementación empresarial de los usuarios.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apitoken |
Configura la integración de Recorded Future en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| URL de API | Sring | https://api.recordedfuture.com | Sí | Dirección de la instancia de Recorded Future. |
| Clave de API | String | N/A | Sí | Se genera en la consola de Recorded Future. |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Usa esta casilla de verificación si tu conexión de Recorded Future requiere una verificación SSL. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Enriquece el IOC
Descripción
Recupera información sobre varias entidades, con diferentes tipos, de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de la puntuación de riesgo | Número entero | 25 | Sí | Representa la puntuación de riesgo de actividad maliciosa mínima para que cada entidad se marque como sospechosa. |
Ejecutar en
La acción debe tomar cada una de las siguientes entidades y enviarlas al enriquecimiento con el futuro registrado:
- Dirección IP
- URL
- Filehash
- CVE
- DOomain
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| isSuspicious | Si se supera el parámetro de umbral | Cuando está disponible en JSON |
| RF_id | Results[ ].Entity.id | Cuando está disponible en JSON |
| RF_name | Results[ ].Entity.name | Cuando está disponible en JSON |
| RF_type | Results[ ].Entity.type | Cuando está disponible en JSON |
| RF_descrription | Results[ ].Entity.description | Cuando está disponible en JSON |
| RF_risk_level | Results[ ].Risk.level | Cuando está disponible en JSON |
| RF_risk_score | Results[ ].Risk.score | Cuando está disponible en JSON |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | Cuando está disponible en JSON |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | Cuando está disponible en JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se enriqueció ninguna entidad (is_success=false): Imprime "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Imprime "Error executing action "Enrich IOC". Motivo: {0}''.format(error.Stacktrace) Si recibimos el código HTTP 401 (no autorizado): Se imprimirá el mensaje "Unauthorized - please check your API token and try again". |
General |
Enriquece la CVE
Descripción
La acción permite que un usuario envíe un CVE para buscar información sobre amenazas que resuma la reputación del CVE.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de la puntuación de riesgo | String | 25 | Sí | Representa la puntuación de riesgo de software malicioso mínima para que una CVE se marque como maliciosa. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un rango de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90 a 99 Malicioso: 65 a 89 Sospechoso: 25 a 64 Inusual: 5 a 24 No hay contenido malicioso: 0. |
Casos de uso
Un analista de seguridad ejecuta una evaluación de seguridad en su infraestructura de tecnología de la información. El usuario descubre a partir de los hallazgos que su sistema de información es vulnerable a una vulnerabilidad identificada cuya identidad de CVE es conocida. El analista no tiene más detalles sobre la vulnerabilidad y le gustaría conocer su reputación. El usuario puede usar Recorded Future para buscar la reputación del CVE de la vulnerabilidad.
Ejecutar en
Esta acción se ejecuta en la entidad de CVE.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
Hash de enriquecimiento
Descripción
La acción permite que un usuario envíe un hash para buscar información sobre inteligencia de amenazas que resuma la reputación del hash.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de la puntuación de riesgo | String | 25 | Representa la puntuación de riesgo de software malicioso mínima para que una CVE se marque como maliciosa. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un rango de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90 a 99 Malicioso: 65 a 89 Sospechoso: 25 a 64 Inusual: 5 a 24 No hay contenido malicioso: 0. |
Casos de uso
Se sospecha que un archivo está infectado con un virus en un extremo. Con Recorded Future, un usuario envía el hash de los archivos, cuya reputación se puede obtener a través de una búsqueda.
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
| Algoritmo hash | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la puntuación de riesgo sea igual o superior al umbral mínimo de puntuación de riesgo sospechoso. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Host de enriquecimiento
Descripción
La acción permite que un usuario envíe un nombre de host para buscar información sobre inteligencia de amenazas que resuma la reputación del host.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de la puntuación de riesgo | String | 25 | Representa la puntuación de riesgo de software malicioso mínima para que una CVE se marque como maliciosa. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un rango de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90 a 99 Malicioso: 65 a 89 Sospechoso: 25 a 64 Inusual: 5 a 24 No hay contenido malicioso: 0. |
Casos de uso
Un usuario recibe un correo electrónico que lo redirecciona a una réplica del dominio web de su propio dominio. El dominio afirma ser el registrador del dominio que le solicita al usuario que ingrese credenciales para acceder, mientras que el dominio falso tiene la intención de realizar phishing. El usuario puede usar Recorded Future para buscar la reputación del dominio.
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
Enriquecer IP
Descripción
La acción permite que un usuario envíe una dirección IP para buscar información sobre amenazas que resuma la reputación de la IP.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de la puntuación de riesgo | String | 25 | Representa la puntuación de riesgo de software malicioso mínima para que una CVE se marque como maliciosa. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un rango de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90 a 99 Malicioso: 65 a 89 Sospechoso: 25 a 64 Inusual: 5 a 24 No hay contenido malicioso: 0. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Última referencia | Devuelve si existe en el resultado JSON. |
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Primera referencia | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
| Geo-City | Devuelve si existe en el resultado JSON. |
| País geográfico | Devuelve si existe en el resultado JSON. |
| Org. | Devuelve si existe en el resultado JSON. |
| Asn | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL de enriquecimiento
Descripción
La acción permite que un usuario envíe una URL para buscar información sobre amenazas que resuma la reputación de la URL.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral de la puntuación de riesgo | cadena | 25 | Representa la puntuación de riesgo de software malicioso mínima para que una CVE se marque como maliciosa. El umbral de la puntuación de riesgo debe ser un valor numérico. Tiene un rango de 0 a 99. A continuación, se muestran los niveles de la banda: Muy malicioso: 90 a 99 Malicioso: 65 a 89 Sospechoso: 25 a 64 Inusual: 5 a 24 No hay contenido malicioso: 0. |
Casos de uso
Un usuario abre su buzón y encuentra un correo electrónico sospechoso con instrucciones para seguir una URL determinada y realizar un cambio de contraseña o una actualización de software crucial. El usuario puede usar Recorded Future para buscar la reputación de la URL.
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Reglas activadas | Devuelve si existe en el resultado JSON. |
| Puntuación de riesgo | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo sospechoso establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
Obtén detalles de la alerta
Descripción
Recupera información sobre una alerta específica y devuelve los resultados al caso.
Usa la acción para obtener más información disponible sobre las alertas de Recorded Future: documentos, entidades relacionadas, evidencia, etcétera.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta de la que deseas recuperar los detalles. |
Ejecutar en
Esta acción no debe ejecutarse en entidades, sino solo en Google SecOps TicketId, que será Recorded future alertID.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de la guía:
Si no tenemos una forma de diferenciar los casos, haz lo siguiente :
Si recibimos el código HTTP 401 (no autorizado): Imprime "No autorizado. Verifica tu token de API y vuelve a intentarlo". |
General |
Obtén entidades relacionadas con CVE
Descripción
La acción permite que un usuario envíe un CVE para buscar todas las entidades relacionadas con el CVE. Se puede recopilar información muy importante, es decir, información sin procesar que es importante para las decisiones, a partir de la información de contexto proporcionada.
Parámetros
N/A
Casos de uso
Durante una evaluación de vulnerabilidades del sistema, un analista se da cuenta de que su sistema es vulnerable a una CVE. El analista realiza una acción de búsqueda y se determina que el CVE es malicioso. El analista decide obtener información sobre las entidades relacionadas para obtener más detalles sobre las tecnologías y los vectores que usa el CVE.
Ejecutar en
Esta acción se ejecuta en la entidad de CVE.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Obtén entidades relacionadas con el hash
Descripción
Consulta RecordedFuture para obtener entidades relacionadas con el hash.
Parámetros
N/A
Casos de uso
Un usuario identifica un hash malicioso en la cuarentena del antivirus de uno de los extremos de su organización. Le gustaría obtener más información sobre el hash que pueda ayudarlo a encontrar una forma de mitigar el problema. Con Recorded Future, puede obtener más información sobre la amenaza.
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Obtén entidades relacionadas con el host
Descripción
La acción permite que un usuario envíe un host para buscar todas las entidades relacionadas con él. Se puede recopilar información muy importante del contexto proporcionado, que es información sin procesar que es importante para la toma de decisiones.
Parámetros
N/A
Casos de uso
Un usuario identifica un hash malicioso en la cuarentena del antivirus de uno de los endpoints de su organización y desea obtener más información sobre el hash que pueda ayudarlo a encontrar una forma de mitigar el problema. Con Recorded Future, puede obtener más información sobre la amenaza.
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Obtén entidades relacionadas con la IP
Descripción
La acción permite que un usuario envíe una dirección IP para buscar todas las entidades relacionadas con ella. La información recopilada permite que un usuario obtenga estadísticas vitales sobre quién lo ataca, cuáles son sus motivaciones y capacidades, y qué indicadores de vulneración hay en sus sistemas. Con la información, el usuario puede tomar una decisión fundamentada sobre la seguridad.
Parámetros
N/A
Casos de uso
Un WAF (firewall de aplicación web) crea una entrada de registro para el tráfico web sospechoso de una dirección IP. Una vez que el analista confirma la entrada de registro, Recorded Future envía la dirección IP para enriquecerla y determinar su reputación. Si se detecta que la IP es riesgosa, el playbook la bloqueará.
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_successful | Verdadero/Falso | is_successful:False |
Agregar nota del analista
Descripción
Agrega una nota del analista a las entidades enriquecidas anteriormente en Google SecOps, a las entidades de Recorded Future. La acción agregará la nota a las entidades de alcance pertinentes.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Título de la nota | String | Título de la nota | Sí | Especifica el título de la nota |
| Texto de la nota | String | Texto de la nota | Sí | Especifica el texto de la nota. |
| Fuente de la nota | String | N/A | Sí | Especifica el ID de RF de la fuente de la nota. El Explorador de APIs muestra a qué IDs de RF puede acceder el usuario cuyo token de API está habilitado. Por ejemplo, VWKdVr es el ID de RF de una nota de analista y solo está disponible para el usuario de la misma cuenta empresarial en Recorded Future. |
| Tema | DDL (consulta la tabla a continuación) |
Ninguno | No | Si es necesario, especifica el tema de la nota pertinente en la lista. |
| ¿Enriquecer la entidad? | Casilla de verificación | Marcado | Sí | Especifica si la acción debe enriquecer la entidad con el resultado "Enrich IOC". |
Valores de DDL para el campo "Tema"
| Texto visible | Cadena para enviar en la solicitud |
|---|---|
| Ninguna (predeterminada) | No enviar nada |
| Perfil del actor | TXSFt2 |
| Informe de Analyst On-Demand | VlIhvH |
| Análisis de ciberamenazas | TXSFt1 |
| Informe flash | TXSFt0 |
| Indicador | TXSFt4 |
| Informativo | UrMRnT |
| Perfil de herramienta o software malicioso | UX0YlU |
| Perfil de origen | UZmDut |
| Líder de amenazas | TXSFt3 |
| Evento de Intelligence validado | TXSFt5 |
| Panorama de amenazas semanal | VlIhvG |
| Regla de YARA | VTrvnW |
Ejecutar en
Esta acción se ejecuta en los siguientes tipos de entidades:
- Dirección IP
- URL
- Filehash
- CVE
- Dominio
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| RF_doc_id | Cuando está disponible en JSON. |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se encontró al menos una entidad en Recorded Future cuando se ejecutó Enrich IOC, "Las siguientes entidades no existen en Recorded Future: {non_existing_entities} La acción debería fallar : Si ninguna entidad tenía un RF_ID y no se encontraron en el enriquecimiento de IOC , haz lo siguiente: "Recorded Future no pudo encontrar ninguna de las entidades proporcionadas en "Enrich IOC" y, por lo tanto, no pudo publicar la nota del analista". Si recibimos el código HTTP 401 (no autorizado), "No autorizado. Comprueba tu token de API y vuelve a intentarlo". |
General |
Actualizar alerta
Descripción
Actualización de alerta en Recorded Future.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Estado | DDL | Selecciona una opción Valores posibles: Sin asignar Asignado Pendiente Descartada Nuevo Resuelto Flag For Tuning |
No | Especifica el nuevo estado de la alerta. |
| Asignar a | String | No | Especifica a quién se le asignará la alerta. Puedes proporcionar el ID, el nombre de usuario, el hash del usuario o el correo electrónico. | |
| Nota | String | Especifica una nota que se debe actualizar en la alerta. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución del playbook: Si la lista de errores no está vacía: "Error al ejecutar la acción "Update Alert". Motivo: {0}''.format(error/reason) Si el estado es "Seleccionar uno" y no se proporciona ninguno de los otros valores: "Se produjo un error al ejecutar la acción "Actualizar alerta". Motivo: Al menos uno de los parámetros de acción debe tener un valor proporcionado. |
General |
Conectores
Recorded Future: conector de alertas de seguridad
Descripción
Extrae alertas de seguridad de Recorded Future.
Las listas blancas y negras funcionan con los nombres de las reglas de Recorded Future.
Configura el conector de alertas de seguridad de Recorded Future en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | título | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | ID | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
Nombre del campo del entorno |
String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Patrón de regex del entorno |
String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| URL de API | String | https://api.recordedfuture.com | Sí | Es la raíz de la API de la instancia de Recorded Future. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de Recorded Future. |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan los eventos. |
| Cantidad máxima de alertas para recuperar | Número entero | 100 | No | Cantidad de alertas que se procesarán por iteración del conector. |
| Gravedad | String | Medio | Sí | La gravedad será uno de los siguientes valores: Bajo, Medio, Alto o Crítico. |
| Obtén los detalles de la alerta | Casilla de verificación | Desmarcado | Sí | Obtén los detalles completos de la alerta de Recorded Future. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Recorded Future sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.