Recorded Future
통합 버전: 16.0
사용 사례
- 취약점 우선순위 지정
- 위협 지표 조사, 보강, 대응
Google Security Operations와 함께 작동하도록 Recorded Future 구성
제품 권한
API 토큰은 사용자별이며 사용자의 엔터프라이즈 배포에 연결된 인증에 사용됩니다.
네트워크
| 함수 | 기본 포트 | 방향 | 프로토콜 |
|---|---|---|---|
| API | Multivalues | 아웃바운드 | apitoken |
Google SecOps에서 Recorded Future 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API URL | Sring | https://api.recordedfuture.com | 예 | Recorded Future 인스턴스의 주소입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | Recorded Future 콘솔에서 생성됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | Recorded Future 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
IOC 보강
설명
Google SecOps에서 유형이 다른 여러 항목에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위험 점수 기준 | 정수 | 25 | 예 | 각 항목이 의심스러운 것으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. |
실행
작업은 다음 각 항목을 가져와 기록된 미래로 보강에 전송해야 합니다.
- IP 주소
- URL
- Filehash
- CVE
- DOomain
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| isSuspicious | 기준 매개변수를 초과하는 경우 | JSON으로 제공되는 경우 |
| RF_id | Results[ ].Entity.id | JSON으로 제공되는 경우 |
| RF_name | Results[ ].Entity.name | JSON으로 제공되는 경우 |
| RF_type | Results[ ].Entity.type | JSON으로 제공되는 경우 |
| RF_descrription | Results[ ].Entity.description | JSON으로 제공되는 경우 |
| RF_risk_level | Results[ ].Risk.level | JSON으로 제공되는 경우 |
| RF_risk_score | Results[ ].Risk.score | JSON으로 제공되는 경우 |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | JSON으로 제공되는 경우 |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | JSON으로 제공되는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 특정 항목을 보강할 수 없는 경우(is_success = true): 보강된 항목이 없는 경우 (is_success=false): '보강된 항목이 없습니다'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 'IOC 보강' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}''.format(error.Stacktrace) HTTP 코드 401(승인되지 않음)이 표시되는 경우: 'Unauthorized - please check your API token and try again'을 출력합니다. |
일반 |
CVE 보강
설명
이 작업을 통해 사용자는 CVE를 전송하여 CVE의 평판을 요약하는 위협 인텔리전스 정보를 조회할 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위험 점수 기준 | 문자열 | 25 | 예 | CVE가 악성으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. 위험 점수 기준은 숫자여야 합니다. 범위는 0~99입니다. 아래는 밴드 수준입니다. 매우 악의적: 90~99 악성: 65~89 의심스러움: 25~64 특이: 5~24 악성 콘텐츠 없음: 0 |
사용 사례
보안 분석가가 정보 기술 인프라에 대한 보안 평가를 실행합니다. 사용자는 발견 항목에서 정보 시스템이 CVE ID가 알려진 식별된 취약점에 취약하다는 것을 알게 됩니다. 분석가에게 취약점에 관한 세부정보가 부족하며 평판을 확인하고 싶어 합니다. 사용자는 Recorded Future를 사용하여 취약점의 CVE 평판을 조회할 수 있습니다.
실행
이 작업은 CVE 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 임곗값을 초과하면 의심스러움 (True)으로 표시됩니다. 그 외: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 마지막 참조 | JSON 결과에 존재하는 경우에 반환 |
| 트리거된 규칙 | JSON 결과에 존재하는 경우에 반환 |
| 첫 번째 참조 | JSON 결과에 존재하는 경우에 반환 |
| 위험 점수 | JSON 결과에 존재하는 경우에 반환 |
통계
| 심각도 | 설명 |
|---|---|
| 경고 | 보강된 해시의 악성 상태를 알리기 위해 경고 통계가 생성됩니다. 감지된 엔진 수가 스캔 전에 설정된 최소 의심 기준점 이상이면 통계가 생성됩니다. |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
해시 보강
설명
이 작업을 통해 사용자는 해시를 전송하여 해시의 평판을 요약하는 위협 인텔리전스 정보를 조회할 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 위험 점수 기준 | 문자열 | 25 | CVE가 악성으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. 위험 점수 기준은 숫자여야 합니다. 범위는 0~99입니다. 아래는 밴드 수준입니다. 매우 악의적: 90~99 악성: 65~89 의심스러움: 25~64 특이: 5~24 악성 콘텐츠 없음: 0 |
사용 사례
엔드포인트의 파일이 바이러스에 감염된 것으로 의심됩니다. 사용자는 Recorded Future를 사용하여 조회로 평판을 얻을 수 있는 파일 해시를 전송합니다.
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 임곗값을 초과하면 의심스러움 (True)으로 표시됩니다. 그 외: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 마지막 참조 | JSON 결과에 존재하는 경우에 반환 |
| 트리거된 규칙 | JSON 결과에 존재하는 경우에 반환 |
| 첫 번째 참조 | JSON 결과에 존재하는 경우에 반환 |
| 위험 점수 | JSON 결과에 존재하는 경우에 반환 |
| 해시 알고리즘 | JSON 결과에 존재하는 경우에 반환 |
통계
| 심각도 | 설명 |
|---|---|
| 경고 | 보강된 해시의 악성 상태를 알리기 위해 경고 통계가 생성됩니다. 위험 점수가 최소 의심스러운 위험 점수 기준점 이상이면 통계가 생성됩니다. |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
호스트 보강
설명
이 작업을 통해 사용자는 호스트의 평판을 요약하는 위협 인텔리전스 정보를 조회할 호스트 이름을 보낼 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 위험 점수 기준 | 문자열 | 25 | CVE가 악성으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. 위험 점수 기준은 숫자여야 합니다. 범위는 0~99입니다. 아래는 밴드 수준입니다. 매우 악의적: 90~99 악성: 65~89 의심스러움: 25~64 특이: 5~24 악성 콘텐츠 없음: 0 |
사용 사례
사용자가 자신의 도메인과 유사한 웹 도메인으로 리디렉션되는 이메일을 받습니다. 도메인이 액세스 권한을 위한 사용자 인증 정보를 입력하도록 요청하는 도메인의 등록기관이라고 주장하지만 가짜 도메인은 피싱 의도가 있습니다. 사용자는 Recorded Future를 사용하여 도메인 평판을 조회할 수 있습니다.
실행
이 작업은 호스트 이름 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 임곗값을 초과하면 의심스러움 (True)으로 표시됩니다. 그 외: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 마지막 참조 | JSON 결과에 존재하는 경우에 반환 |
| 트리거된 규칙 | JSON 결과에 존재하는 경우에 반환 |
| 첫 번째 참조 | JSON 결과에 존재하는 경우에 반환 |
| 위험 점수 | JSON 결과에 존재하는 경우에 반환 |
통계
| 심각도 | 설명 |
|---|---|
| 경고 | 보강된 해시의 악성 상태를 알리기 위해 경고 통계가 생성됩니다. 감지된 엔진 수가 스캔 전에 설정된 최소 의심 기준점 이상이면 통계가 생성됩니다. |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
IP 보강
설명
이 작업을 통해 사용자는 IP 주소를 전송하여 IP 평판을 요약하는 위협 인텔리전스 정보를 조회할 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 위험 점수 기준 | 문자열 | 25 | CVE가 악성으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. 위험 점수 기준은 숫자여야 합니다. 범위는 0~99입니다. 아래는 밴드 수준입니다. 매우 악의적: 90~99 악성: 65~89 의심스러움: 25~64 특이: 5~24 악성 콘텐츠 없음: 0 |
사용 사례
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 임곗값을 초과하면 의심스러움 (True)으로 표시됩니다. 그 외: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 마지막 참조 | JSON 결과에 존재하는 경우에 반환 |
| 트리거된 규칙 | JSON 결과에 존재하는 경우에 반환 |
| 첫 번째 참조 | JSON 결과에 존재하는 경우에 반환 |
| 위험 점수 | JSON 결과에 존재하는 경우에 반환 |
| Geo-City | JSON 결과에 존재하는 경우에 반환 |
| Geo-Country(지역 국가) | JSON 결과에 존재하는 경우에 반환 |
| 조직 | JSON 결과에 존재하는 경우에 반환 |
| Asn | JSON 결과에 존재하는 경우에 반환 |
통계
| 심각도 | 설명 |
|---|---|
| 경고 | 보강된 해시의 악성 상태를 알리기 위해 경고 통계가 생성됩니다. 감지된 엔진 수가 스캔 전에 설정된 최소 의심 기준점 이상이면 통계가 생성됩니다. |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL 보강
설명
이 작업을 통해 사용자는 URL의 평판을 요약하는 위협 인텔리전스 정보를 조회하는 URL을 보낼 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 위험 점수 기준 | 문자열 | 25 | CVE가 악성으로 표시되기 위한 최소 악성 위험 점수를 나타냅니다. 위험 점수 기준은 숫자여야 합니다. 범위는 0~99입니다. 아래는 밴드 수준입니다. 매우 악의적: 90~99 악성: 65~89 의심스러움: 25~64 특이: 5~24 악성 콘텐츠 없음: 0 |
사용 사례
사용자가 메일함을 열어 중요한 비밀번호 변경이나 소프트웨어 업데이트를 위해 지정된 URL을 따라야 한다는 안내가 포함된 의심스러운 이메일을 발견합니다. 사용자는 Recorded Future를 사용하여 URL 평판을 조회할 수 있습니다.
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 임곗값을 초과하면 의심스러움 (True)으로 표시됩니다. 그 외: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 트리거된 규칙 | JSON 결과에 존재하는 경우에 반환 |
| 위험 점수 | JSON 결과에 존재하는 경우에 반환 |
통계
| 심각도 | 설명 |
|---|---|
| 경고 | 보강된 해시의 악성 상태를 알리기 위해 경고 통계가 생성됩니다. 감지된 엔진 수가 스캔 전에 설정된 최소 의심 기준점 이상이면 통계가 생성됩니다. |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
알림 세부정보 가져오기
설명
특정 알림에 관한 정보를 가져와 케이스에 결과를 반환합니다.
작업을 사용하여 Recorded Future 알림에 관한 추가 정보(문서, 관련 항목, 증거 등)를 확인할 수 있습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 가져올 알림의 ID를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않으며 Google SecOps TicketId에서만 실행됩니다. 이 ID는 향후 알림 ID로 기록됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 작업이 실패하고 플레이북 실행을 중지합니다.
케이스를 구분할 방법이 없는 경우 :
HTTP 코드 401(승인되지 않음)이 표시되는 경우: 'Unauthorized - please check your API token and try again'을 출력합니다. |
일반 |
CVE 관련 항목 가져오기
설명
이 작업을 통해 사용자는 CVE를 전송하여 모든 CVE 관련 항목을 검색할 수 있습니다. 결정에 중요한 원시 정보인 매우 중요한 정보는 제공된 컨텍스트 정보에서 수집할 수 있습니다.
매개변수
해당 사항 없음
사용 사례
시스템 취약점 평가 중에 분석가는 시스템이 CVE에 취약하다는 것을 알게 됩니다. 분석가가 조회 작업을 실행하고 CVE가 악성으로 확인됩니다. 분석가는 CVE에서 사용되는 기술과 벡터에 대해 자세히 알아보기 위해 관련 항목 정보를 가져오기로 결정합니다.
실행
이 작업은 CVE 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_successful | True/False | is_successful:False |
해시 관련 항목 가져오기
설명
RecordedFuture를 쿼리하여 해시의 관련 항목을 가져옵니다.
매개변수
해당 사항 없음
사용 사례
사용자가 조직의 엔드포인트 중 하나의 바이러스 백신 격리에서 악성 해시를 식별합니다. 해시와 관련된 자세한 정보를 얻어 이를 완화할 방법을 찾고 싶어 합니다. Recorded Future를 사용하면 이 문제에 관한 더 많은 위협 정보를 얻을 수 있습니다.
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_successful | True/False | is_successful:False |
호스트 관련 항목 가져오기
설명
이 작업을 통해 사용자는 호스트를 보내 호스트와 관련된 모든 항목을 조회할 수 있습니다. 제공된 컨텍스트 정보에서 매우 중요한 정보를 수집할 수 있습니다. 컨텍스트 정보는 의사 결정에 중요한 원시 정보입니다.
매개변수
해당 사항 없음
사용 사례
사용자가 조직의 엔드포인트 바이러스 백신 격리에서 악성 해시를 식별합니다. 사용자는 해시에 관한 자세한 정보를 얻어 이를 완화할 방법을 고안하고자 합니다. Recorded Future를 사용하면 위협에 관한 자세한 정보를 확인할 수 있습니다.
실행
이 작업은 호스트 이름 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_successful | True/False | is_successful:False |
IP 관련 항목 가져오기
설명
이 작업을 통해 사용자는 IP 주소를 전송하여 IP와 관련된 모든 항목을 조회할 수 있습니다. 수집된 정보를 통해 사용자는 자신을 공격하는 사람, 동기 및 기능, 시스템의 침해 지표에 관한 중요한 통계를 얻을 수 있습니다. 사용자는 이 정보를 통해 보안에 관한 정보에 입각한 결정을 내릴 수 있습니다.
매개변수
해당 사항 없음
사용 사례
WAF (웹 애플리케이션 방화벽)는 IP 주소에서 발생하는 의심스러운 웹 트래픽에 대한 로그 항목을 만듭니다. 분석가가 로그 항목을 확인하면 Recorded Future에서 평판을 찾기 위해 IP 주소를 전송하여 보강합니다. IP가 위험한 것으로 확인되면 플레이북에서 IP를 차단합니다.
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_successful | True/False | is_successful:False |
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_successful | True/False | is_successful:False |
분석가 메모 추가
설명
Google SecOps의 이전에 보강된 항목에 분석가 메모를 추가하여 Recorded Future 항목에 추가합니다. 작업은 관련 범위 엔티티에 메모를 추가합니다.
를 참고하세요.매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 메모 제목 | 문자열 | 메모 제목 | 예 | 메모 제목을 지정합니다. |
| 메모 텍스트 | 문자열 | 메모 텍스트 | 예 | 메모의 텍스트를 지정합니다. |
| 메모 소스 | 문자열 | 해당 사항 없음 | 예 | 메모 소스의 RF ID를 지정합니다. API 탐색기에는 API 토큰이 사용 설정된 사용자가 액세스할 수 있는 RF ID가 표시됩니다. 예를 들어 VWKdVr은 분석가 메모의 RF ID이며 Recorded Future의 동일한 엔터프라이즈 계정의 사용자에게만 제공됩니다. |
| 주제 | DDL (아래 표 참고) |
없음 | 아니요 | 필요한 경우 목록에서 관련 메모 주제를 지정합니다. |
| 항목을 보강하시겠어요? | 체크박스 | 선택 | 예 | 작업이 'IOC 보강' 출력으로 엔티티를 보강해야 하는지 여부를 지정합니다. |
'주제' 필드의 DDL 값
| 표시 텍스트 | 요청에 전송할 문자열 |
|---|---|
| 없음(기본값) | 아무것도 보내지 않음 |
| 작업 수행자 프로필 | TXSFt2 |
| 애널리스트 주문형 보고서 | VlIhvH |
| 사이버 위협 분석 | TXSFt1 |
| 플래시 보고서 | TXSFt0 |
| 표시기 | TXSFt4 |
| 정보 제공 | UrMRnT |
| 멀웨어/도구 프로필 | UX0YlU |
| 소스 프로필 | UZmDut |
| 위협 리드 | TXSFt3 |
| 검증된 인텔리전스 이벤트 | TXSFt5 |
| 주간 위협 환경 | VlIhvG |
| YARA 규칙 | VTrvnW |
실행
이 작업은 다음 항목 유형에서 실행됩니다.
- IP 주소
- URL
- Filehash
- CVE
- 도메인
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| RF_doc_id | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. IOC 보강을 실행할 때 Recorded Future에서 하나 이상의 항목을 찾을 수 없는 경우: '다음 항목이 Recorded Future에 없습니다. {non_existing_entities} 작업이 실패해야 합니다. 항목에 RF_ID가 없고 IOC 보강에서 찾을 수 없는 경우: 'Recorded Future에서 'IOC 보강'에 제공된 항목을 찾을 수 없어 분석가 메모를 게시할 수 없습니다.' HTTP 코드 401(인증되지 않음)이 표시되는 경우 '인증되지 않음 - API 토큰을 확인하고 다시 시도하세요' |
일반 |
알림 업데이트
설명
Recorded Future에서 알림을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 알림의 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다. 할당되지 않음 할당됨 대기 중 닫음 신규 해결됨 튜닝을 위해 플래그 지정 |
아니요 | 알림의 새 상태를 지정합니다. |
| 할당 대상 | 문자열 | 아니요 | 알림을 할당할 사용자를 지정합니다. ID, 사용자 이름, 사용자 해시 또는 이메일을 제공할 수 있습니다. | |
| 참고 | 문자열 | 알림에서 업데이트해야 하는 메모를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 오류 목록이 비어 있지 않은 경우: "Error executing action "Update Alert". 이유: {0}''.format(error/reason) 상태가 '하나 선택'이고 다른 값이 제공되지 않은 경우: '알림 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 작업 매개변수 중 하나 이상에 값이 제공되어야 합니다. |
일반 |
커넥터
Recorded Future - 보안 알림 커넥터
설명
Recorded Future에서 보안 알림을 가져옵니다.
화이트리스트 및 블랙리스트는 Recorded Future 규칙 이름과 함께 작동합니다.
Google SecOps에서 Recorded Future - Security Alerts Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제목 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | ID | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
환경 필드 이름 |
문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API URL | 문자열 | https://api.recordedfuture.com | 예 | Recorded Future 인스턴스의 API 루트입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | Recorded Future의 API 키입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | No | 이벤트를 가져올 위치의 시간입니다. |
| 가져올 최대 알림 수 | 정수 | 100 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. |
| 심각도 | 문자열 | 보통 | 예 | 심각도는 낮음, 보통, 높음, 심각 중 하나입니다. |
| 알림 세부정보 가져오기 | 체크박스 | 선택 해제 | 예 | Recorded Future에서 알림의 전체 세부정보를 가져옵니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Recorded Future 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.