Recorded Future
Versi integrasi: 16.0
Kasus Penggunaan
- Prioritas Kerentanan.
- Investigasi, Pengayaan, dan Respons Indikator Ancaman.
Mengonfigurasi Recorded Future agar dapat berfungsi dengan Google Security Operations
Izin Produk
Token API digunakan untuk autentikasi yang khusus pengguna dan terkait dengan deployment perusahaan pengguna.
Jaringan
| Fungsi | Port Default | Arah | Protokol |
|---|---|---|---|
| API | Multinilai | Keluar | apitoken |
Mengonfigurasi integrasi Recorded Future di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| URL API | Sring | https://api.recordedfuture.com | Ya | Alamat instance Recorded Future. |
| Kunci API | String | T/A | Ya | Dibuat di konsol Recorded Future. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Tidak | Gunakan kotak centang ini, jika koneksi Recorded Future Anda memerlukan verifikasi SSL. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Memperkaya IOC
Deskripsi
Mengambil informasi tentang beberapa entitas, dengan berbagai jenis, dari Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Batas Skor Risiko | Bilangan bulat | 25 | Ya | Mewakili skor risiko berbahaya minimum untuk setiap entity yang akan ditandai sebagai mencurigakan. |
Run On
Action harus mengambil setiap entity berikut dan mengirimkannya ke pengayaan dengan Recorded Future:
- Alamat IP
- URL
- Filehash
- CVE
- DOomain
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| isSuspicious | Jika parameter melebihi nilai minimum | Jika tersedia dalam JSON |
| RF_id | Results[ ].Entity.id | Jika tersedia dalam JSON |
| RF_name | Results[ ].Entity.name | Jika tersedia dalam JSON |
| RF_type | Results[ ].Entity.type | Jika tersedia dalam JSON |
| RF_descrription | Results[ ].Entity.description | Jika tersedia dalam JSON |
| RF_risk_level | Results[ ].Risk.level | Jika tersedia dalam JSON |
| RF_risk_score | Results[ ].Risk.score | Jika tersedia dalam JSON |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | Jika tersedia dalam JSON |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | Jika tersedia dalam JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika gagal memperkaya entitas tertentu(is_success = true): Jika tidak ada entitas yang di-enrich (is_success=false): Cetak "Tidak ada entitas yang dipertkaya". Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Enrich IOC". Alasan: {0}''.format(error.Stacktrace) Jika kita mendapatkan kode HTTP 401 - tidak sah: Mencetak "Unauthorized - please check your API token and try again" (Tidak sah - periksa token API Anda dan coba lagi) |
Umum |
Memperkaya CVE
Deskripsi
Tindakan ini memungkinkan pengguna mengirim CVE untuk mencari informasi intelijen ancaman yang merangkum reputasi CVE.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Batas Skor Risiko | String | 25 | Ya | Mewakili skor risiko berbahaya minimum agar CVE ditandai sebagai berbahaya. Nilai minimum skor risiko harus berupa nilai numerik. Memiliki rentang 0-99. Berikut adalah tingkat rentang: Sangat Berbahaya (Very Malicious): 90-99 Berbahaya: 65-89 Mencurigakan: 25-64 Tidak biasa: 5-24 Tidak ada Konten berbahaya: 0. |
Kasus penggunaan
Seorang analis keamanan menjalankan penilaian keamanan pada infrastruktur teknologi informasinya. Pengguna mengetahui dari temuan bahwa sistem informasinya rentan terhadap kerentanan yang teridentifikasi dan ID CVE-nya diketahui. Analis tidak memiliki detail selengkapnya tentang kerentanan dan ingin mengetahui reputasinya. Pengguna dapat menggunakan Recorded Future untuk mencari reputasi CVE kerentanan.
Run On
Tindakan ini dijalankan pada entity CVE.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Referensi Terakhir | Menampilkan apakah ada di hasil JSON |
| Aturan yang Dipicu | Menampilkan apakah ada di hasil JSON |
| Referensi Pertama | Menampilkan apakah ada di hasil JSON |
| Skor Risiko | Menampilkan apakah ada di hasil JSON |
Insight
| Keparahan | Deskripsi |
|---|---|
| Peringatan | Insight peringatan akan dibuat untuk menginformasikan status berbahaya dari hash yang telah di-enrich. Insight akan dibuat jika jumlah mesin yang terdeteksi sama dengan atau melebihi Nilai minimum kecurigaan yang ditetapkan sebelum pemindaian. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_risky | Benar/Salah | is_risky:False |
Hasil JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
Hash yang Diperkaya
Deskripsi
Tindakan ini memungkinkan pengguna mengirim hash untuk mencari informasi intelijen ancaman yang merangkum reputasi Hash.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Batas Skor Risiko | String | 25 | Mewakili skor risiko berbahaya minimum agar CVE ditandai sebagai berbahaya. Nilai minimum skor risiko harus berupa nilai numerik. Memiliki rentang 0-99. Berikut adalah tingkat rentang: Sangat Berbahaya (Very Malicious): 90-99 Berbahaya: 65-89 Mencurigakan: 25-64 Tidak biasa: 5-24 Tidak ada Konten berbahaya: 0. |
Kasus penggunaan
File diduga terinfeksi virus di endpoint. Dengan menggunakan Recorded Future, pengguna mengirimkan hash file yang reputasinya dapat diperoleh melalui pencarian.
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Referensi Terakhir | Menampilkan apakah ada di hasil JSON |
| Aturan yang Dipicu | Menampilkan apakah ada di hasil JSON |
| Referensi Pertama | Menampilkan apakah ada di hasil JSON |
| Skor Risiko | Menampilkan apakah ada di hasil JSON |
| Algoritma Hash | Menampilkan apakah ada di hasil JSON |
Insight
| Keparahan | Deskripsi |
|---|---|
| Peringatan | Insight peringatan akan dibuat untuk menginformasikan status berbahaya dari Hash yang telah di-enrich. Insight akan dibuat jika skor risiko sama dengan atau melebihi Nilai minimum risiko mencurigakan. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_risky | Benar/Salah | is_risky:False |
Hasil JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Host Pengayaan
Deskripsi
Tindakan ini memungkinkan pengguna mengirim nama host untuk mencari informasi intelijen ancaman yang merangkum reputasi host.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Batas Skor Risiko | String | 25 | Mewakili skor risiko berbahaya minimum agar CVE ditandai sebagai berbahaya. Nilai minimum skor risiko harus berupa nilai numerik. Memiliki rentang 0-99. Berikut adalah tingkat rentang: Sangat Berbahaya (Very Malicious): 90-99 Berbahaya: 65-89 Mencurigakan: 25-64 Tidak biasa: 5-24 Tidak ada Konten berbahaya: 0. |
Kasus penggunaan
Pengguna menerima email yang mengalihkan mereka ke replika domain web milik mereka sendiri. Domain tersebut mengklaim sebagai registrar domain yang meminta mereka memasukkan kredensial untuk mendapatkan akses, sementara domain palsu tersebut memiliki niat melakukan phishing. Pengguna dapat menggunakan Recorded Future untuk mencari reputasi domain.
Run On
Tindakan ini dijalankan pada entity Hostname.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Referensi Terakhir | Menampilkan apakah ada di hasil JSON |
| Aturan yang Dipicu | Menampilkan apakah ada di hasil JSON |
| Referensi Pertama | Menampilkan apakah ada di hasil JSON |
| Skor Risiko | Menampilkan apakah ada di hasil JSON |
Insight
| Keparahan | Deskripsi |
|---|---|
| Peringatan | Insight peringatan akan dibuat untuk menginformasikan status berbahaya dari hash yang telah di-enrich. Insight akan dibuat jika jumlah mesin yang terdeteksi sama dengan atau melebihi Nilai minimum kecurigaan yang ditetapkan sebelum pemindaian. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_risky | Benar/Salah | is_risky:False |
Hasil JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
Memperkaya IP
Deskripsi
Tindakan ini memungkinkan pengguna mengirim alamat IP untuk mencari informasi intelijen ancaman yang merangkum reputasi IP.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Batas Skor Risiko | String | 25 | Mewakili skor risiko berbahaya minimum agar CVE ditandai sebagai berbahaya. Nilai minimum skor risiko harus berupa nilai numerik. Memiliki rentang 0-99. Berikut adalah tingkat rentang: Sangat Berbahaya (Very Malicious): 90-99 Berbahaya: 65-89 Mencurigakan: 25-64 Tidak biasa: 5-24 Tidak ada Konten berbahaya: 0. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Referensi Terakhir | Menampilkan apakah ada di hasil JSON |
| Aturan yang Dipicu | Menampilkan apakah ada di hasil JSON |
| Referensi Pertama | Menampilkan apakah ada di hasil JSON |
| Skor Risiko | Menampilkan apakah ada di hasil JSON |
| Geo-City | Menampilkan apakah ada di hasil JSON |
| Geo-Negara | Menampilkan apakah ada di hasil JSON |
| Org | Menampilkan apakah ada di hasil JSON |
| Asn | Menampilkan apakah ada di hasil JSON |
Insight
| Keparahan | Deskripsi |
|---|---|
| Peringatan | Insight peringatan akan dibuat untuk menginformasikan status berbahaya dari hash yang telah di-enrich. Insight akan dibuat jika jumlah mesin yang terdeteksi sama dengan atau melebihi Nilai minimum kecurigaan yang ditetapkan sebelum pemindaian. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_risky | Benar/Salah | is_risky:False |
Hasil JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL Pengayaan
Deskripsi
Tindakan ini memungkinkan pengguna mengirim URL untuk mencari informasi intelijen ancaman yang merangkum reputasi URL.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Batas Skor Risiko | string | 25 | Mewakili skor risiko berbahaya minimum agar CVE ditandai sebagai berbahaya. Nilai minimum skor risiko harus berupa nilai numerik. Memiliki rentang 0-99. Berikut adalah tingkat rentang: Sangat Berbahaya (Very Malicious): 90-99 Berbahaya: 65-89 Mencurigakan: 25-64 Tidak biasa: 5-24 Tidak ada Konten berbahaya: 0. |
Kasus penggunaan
Pengguna membuka kotak suratnya dan menemukan email mencurigakan dengan petunjuk yang diberikan kepadanya yang mengarahkannya untuk membuka URL tertentu guna melakukan perubahan sandi atau update software yang penting. Pengguna dapat menggunakan Recorded Future untuk mencari reputasi URL.
Run On
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Aturan yang Dipicu | Menampilkan apakah ada di hasil JSON |
| Skor Risiko | Menampilkan apakah ada di hasil JSON |
Insight
| Keparahan | Deskripsi |
|---|---|
| Peringatan | Insight peringatan akan dibuat untuk menginformasikan status berbahaya dari hash yang telah di-enrich. Insight akan dibuat jika jumlah mesin yang terdeteksi sama dengan atau melebihi Nilai minimum kecurigaan yang ditetapkan sebelum pemindaian. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_risky | Benar/Salah | is_risky:False |
Hasil JSON
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
Mendapatkan Detail Notifikasi
Deskripsi
Mengambil informasi tentang Pemberitahuan tertentu dan menampilkan hasil ke kasus.
Gunakan tindakan untuk mendapatkan informasi selengkapnya yang tersedia terkait Notifikasi Recorded Future - Dokumen, Entitas Terkait, Bukti, dll.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang detailnya ingin Anda ambil |
Run On
Tindakan ini tidak boleh dijalankan pada entity, dan hanya pada Google SecOps TicketId - yang akan menjadi alertID Recorded Future.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook:
Jika kita tidak memiliki cara untuk membedakan antara kasus-kasus tersebut :
Jika kita mendapatkan kode HTTP 401 - tidak sah: Mencetak "Unauthorized - please check your API token and try again" |
Umum |
Mendapatkan Entitas Terkait CVE
Deskripsi
Tindakan ini memungkinkan pengguna mengirim CVE untuk menelusuri semua entitas terkait CVE. Informasi yang sangat penting, yaitu informasi mentah yang penting untuk pengambilan keputusan, dapat dikumpulkan dari informasi konteks yang diberikan.
Parameter
T/A
Kasus penggunaan
Selama penilaian kerentanan sistem, seorang analis menyadari bahwa sistemnya rentan terhadap CVE. Analis melakukan tindakan pencarian dan CVE ditemukan berbahaya. Analis memutuskan untuk mendapatkan informasi entitas terkait untuk mempelajari lebih lanjut teknologi dan vektor yang digunakan oleh CVE.
Run On
Tindakan ini dijalankan pada entity CVE.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_successful | Benar/Salah | is_successful:False |
Mendapatkan Entity Terkait Hash
Deskripsi
Kueri RecordedFuture untuk mendapatkan entity terkait untuk Hash.
Parameter
T/A
Kasus penggunaan
Pengguna mengidentifikasi hash berbahaya di karantina antivirus salah satu endpoint di organisasi mereka. Mereka ingin mendapatkan informasi lebih lanjut mengenai hash yang dapat membantu mereka menemukan cara untuk memitigasinya. Dengan menggunakan Recorded Future, dia bisa mendapatkan informasi ancaman lainnya.
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_successful | Benar/Salah | is_successful:False |
Mendapatkan Entity Terkait Host
Deskripsi
Tindakan ini memungkinkan pengguna mengirim host untuk mencari semua entitas yang terkait dengan host. Informasi yang sangat penting dapat dikumpulkan dari informasi konteks yang diberikan, yaitu informasi mentah yang penting untuk pengambilan keputusan.
Parameter
T/A
Kasus penggunaan
Pengguna mengidentifikasi hash berbahaya di karantina antivirus salah satu endpoint di organisasinya. Pengguna ingin mendapatkan informasi lebih lanjut mengenai hash tersebut yang dapat membantunya menemukan cara untuk memitigasinya. Dengan menggunakan Recorded Future, dia bisa mendapatkan informasi ancaman lebih lanjut tentangnya.
Run On
Tindakan ini dijalankan pada entity Hostname.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_successful | Benar/Salah | is_successful:False |
Mendapatkan Entitas Terkait IP
Deskripsi
Tindakan ini memungkinkan pengguna mengirim alamat IP untuk mencari semua entitas yang terkait dengan IP tersebut. Informasi yang dikumpulkan memungkinkan pengguna mendapatkan insight penting tentang siapa yang menyerang mereka, apa motivasi dan kemampuan mereka, serta apa indikator kompromi dalam sistem Anda. Melalui informasi tersebut, pengguna dapat membuat keputusan yang tepat terkait keamanan.
Parameter
T/A
Kasus penggunaan
WAF (Web Application Firewall) membuat entri log untuk traffic web yang mencurigakan dari alamat IP. Setelah entri log diakui oleh analis, alamat IP dikirim untuk pengayaan oleh Recorded Future dalam upaya menemukan reputasinya. Jika IP ditemukan berisiko, playbook akan memblokir IP tersebut.
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_successful | Benar/Salah | is_successful:False |
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_successful | Benar/Salah | is_successful:False |
Tambahkan Catatan Analis
Deskripsi
Menambahkan catatan analis ke entity yang sebelumnya diperkaya di Google SecOps, ke entity Recorded Future. Tindakan akan menambahkan catatan ke entitas cakupan yang relevan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Judul Catatan | String | Judul Catatan | Ya | Tentukan judul untuk catatan |
| Teks Catatan | String | Teks Catatan | Ya | Tentukan Teks untuk catatan |
| Sumber Catatan | String | T/A | Ya | Tentukan ID RF untuk sumber catatan; penjelajah API menampilkan ID RF yang dapat diakses oleh pengguna yang token API-nya diaktifkan. Misalnya, VWKdVr adalah ID RF untuk catatan analisis dan hanya tersedia bagi pengguna di akun perusahaan yang sama di Recorded Future. |
| Topik | DDL (lihat tabel di bawah) |
Tidak ada | Tidak | Tentukan topik Catatan yang relevan dari daftar, jika diperlukan. |
| Memperkaya Entitas? | Kotak centang | Dicentang | Ya | Tentukan apakah tindakan harus memperkaya entitas dengan output "Perkaya IOC". |
Nilai DDL untuk kolom "Topik"
| Teks tampilan | String yang akan dikirim dalam permintaan |
|---|---|
| Tidak ada (default) | Tidak mengirim apa pun |
| Profil Pelaku | TXSFt2 |
| Laporan Analis On-Demand | VlIhvH |
| Analisis Ancaman Cyber | TXSFt1 |
| Laporan Kilat | TXSFt0 |
| Indikator | TXSFt4 |
| Informatif | UrMRnT |
| Profil Malware/Alat | UX0YlU |
| Profil Sumber | UZmDut |
| Threat Lead | TXSFt3 |
| Peristiwa Intelijen yang Divalidasi | TXSFt5 |
| Lanskap Ancaman Mingguan | VlIhvG |
| Aturan YARA | VTrvnW |
Run On
Tindakan ini berjalan pada jenis entity berikut:
- Alamat IP
- URL
- Filehash
- CVE
- Domain
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| RF_doc_id | Jika tersedia dalam JSON. |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika tidak dapat menemukan setidaknya satu entitas di Recorded Future saat menjalankan Perkaya IOC,: "Entitas berikut tidak ada di Recorded Future -{non_existing_entities} Tindakan harus gagal : Jika tidak ada entitas yang memiliki RF_ID , dan entitas tersebut tidak ditemukan dalam IOC yang diperkaya: "Recorded Future tidak dapat menemukan entitas yang diberikan dalam "Enrich IOC", sehingga tidak dapat memublikasikan catatan analis." Jika kita mendapatkan kode HTTP 401 - tidak sah - "Unauthorized - please check your API token and try again" (Tidak sah - periksa token API Anda dan coba lagi) |
Umum |
Perbarui Notifikasi
Deskripsi
Pembaruan pemberitahuan di Recorded Future.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Status | DDL | Pilih Satu Nilai yang Mungkin: Belum ditetapkan Assigned Tertunda Ditolak Baru Selesai Tandai Untuk Penyesuaian |
Tidak | Tentukan status baru untuk pemberitahuan. |
| Tetapkan Kepada | String | Tidak | Tentukan kepada siapa pemberitahuan akan ditetapkan. Anda dapat memberikan ID, nama pengguna, hash pengguna, atau email. | |
| Catatan | String | Tentukan catatan yang harus diperbarui pada pemberitahuan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook: Jika daftar error tidak kosong: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: {0}''.format(error/reason) Jika Status adalah "Pilih Salah Satu" dan tidak ada nilai lain yang diberikan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: setidaknya salah satu parameter tindakan harus memiliki nilai yang diberikan. |
Umum |
Konektor
Recorded Future - Security Alerts Connector
Deskripsi
Tarik pemberitahuan keamanan dari Recorded Future.
Daftar yang diizinkan dan daftar yang tidak diizinkan berfungsi dengan nama aturan Recorded Future.
Mengonfigurasi Konektor Pemberitahuan Keamanan - Recorded Future di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | title | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | ID | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
Nama Kolom Lingkungan |
String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
Pola Regex Lingkungan |
String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| URL API | String | https://api.recordedfuture.com | Ya | Root API instance Recorded Future. |
| Kunci API | Sandi | T/A | Ya | Kunci API Recorded Future. |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan peristiwa. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 100 | Tidak | Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. |
| Keparahan | String | Sedang | Ya | Tingkat keparahan akan menjadi salah satu dari nilai berikut: Rendah, Sedang, Tinggi, Kritis. |
| Mendapatkan Detail Pemberitahuan | Kotak centang | Tidak dicentang | Ya | Dapatkan detail lengkap pemberitahuan dari Recorded Future. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Recorded Future valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.