Recorded Future
Versão da integração: 16.0
Casos de uso
- Priorização de vulnerabilidades.
- Investigação, enriquecimento e resposta a indicadores de ameaças.
Configurar o Recorded Future para trabalhar com o Google Security Operations
Permissão de produto
Um token de API é usado para autenticação, que é específica do usuário e vinculada à implantação empresarial dos usuários.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apitoken |
Configurar a integração do Recorded Future no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| URL da API | Sring | https://api.recordedfuture.com | Sim | Endereço da instância do Recorded Future. |
| Chave de API | String | N/A | Sim | Gerado no console da Recorded Future. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Use esta caixa de seleção se a conexão do Recorded Future exigir uma verificação SSL. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Enriquecer IOC
Descrição
Extrair informações sobre várias entidades, com diferentes tipos, do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | Número inteiro | 25 | Sim | Representa a pontuação mínima de risco malicioso para que cada entidade seja marcada como suspeita. |
Executar em
A ação precisa pegar cada uma das seguintes entidades e enviá-las para o enriquecimento com futuro gravado:
- Endereço IP
- URL
- Filehash
- CVE
- DOomain
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| isSuspicious | Se exceder o parâmetro de limite | Quando disponível em JSON |
| RF_id | Results[ ].Entity.id | Quando disponível em JSON |
| RF_name | Results[ ].Entity.name | Quando disponível em JSON |
| RF_type | Results[ ].Entity.type | Quando disponível em JSON |
| RF_descrription | Results[ ].Entity.description | Quando disponível em JSON |
| RF_risk_level | Results[ ].Risk.level | Quando disponível em JSON |
| RF_risk_score | Results[ ].Risk.score | Quando disponível em JSON |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | Quando disponível em JSON |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | Quando disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se nenhuma entidade foi enriquecida (is_success=false): Imprima "Nenhuma entidade foi enriquecida". A ação deve falhar e interromper a execução de um playbook: Imprima "Erro ao executar a ação "Enriquecer IOC". Motivo: {0}''.format(error.Stacktrace) Se recebermos o código HTTP 401 (não autorizado): Imprima "Não autorizado. Verifique seu token de API e tente de novo" |
Geral |
Aperfeiçoar CVE
Descrição
A ação permite que um usuário envie um CVE para pesquisar informações de inteligência de ameaças que resumem a reputação do CVE.
Parâmetros
| Parâmetros | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | String | 25 | Sim | Representa a pontuação mínima de risco malicioso para que uma CVE seja marcada como maliciosa. O limite de pontuação de risco precisa ser um valor numérico. Tem um intervalo de 0 a 99. Confira abaixo os níveis de faixa: Muito malicioso: 90 a 99 Malicioso: 65 a 89 Suspeito: 25 a 64 Incomum: 5 a 24 Nenhum conteúdo malicioso: 0. |
Casos de uso
Um analista de segurança executa uma avaliação de segurança na infraestrutura de tecnologia da informação. O usuário descobre pelas descobertas que o sistema de informações dele está vulnerável a uma vulnerabilidade identificada cujo ID de CVE é conhecido. O analista não tem mais detalhes sobre a vulnerabilidade e quer saber a reputação dela. O usuário pode usar o Recorded Future para pesquisar a reputação do CVE da vulnerabilidade.
Executar em
Essa ação é executada na entidade CVE.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Última referência | Retorna se ele existe no resultado JSON |
| Regras acionadas | Retorna se ele existe no resultado JSON |
| Primeira referência | Retorna se ele existe no resultado JSON |
| Pontuação de risco | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_risky | Verdadeiro/Falso | is_risky:False |
Resultado do JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
Enriquecer hash
Descrição
A ação permite que um usuário envie um hash para pesquisar informações de inteligência de ameaças que resumem a reputação do hash.
Parâmetros
| Parâmetros | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite da pontuação de risco | String | 25 | Representa a pontuação mínima de risco malicioso para que uma CVE seja marcada como maliciosa. O limite de pontuação de risco precisa ser um valor numérico. Tem um intervalo de 0 a 99. Confira abaixo os níveis de faixa: Muito malicioso: 90 a 99 Malicioso: 65 a 89 Suspeito: 25 a 64 Incomum: 5 a 24 Nenhum conteúdo malicioso: 0. |
Casos de uso
Suspeita-se que um arquivo esteja infectado com um vírus em um endpoint. Usando o Recorded Future, um usuário envia o hash dos arquivos, e a reputação deles pode ser obtida por pesquisa.
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Última referência | Retorna se ele existe no resultado JSON |
| Regras acionadas | Retorna se ele existe no resultado JSON |
| Primeira referência | Retorna se ele existe no resultado JSON |
| Pontuação de risco | Retorna se ele existe no resultado JSON |
| Algoritmo de hash | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando a pontuação de risco for igual ou exceder o limite mínimo de pontuação de risco suspeito. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_risky | Verdadeiro/Falso | is_risky:False |
Resultado do JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Enrich Host
Descrição
Com essa ação, um usuário pode enviar um nome de host para pesquisar informações de inteligência de ameaças que resumem a reputação do host.
Parâmetros
| Parâmetros | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite da pontuação de risco | String | 25 | Representa a pontuação mínima de risco malicioso para que uma CVE seja marcada como maliciosa. O limite de pontuação de risco precisa ser um valor numérico. Tem um intervalo de 0 a 99. Confira abaixo os níveis de faixa: Muito malicioso: 90 a 99 Malicioso: 65 a 89 Suspeito: 25 a 64 Incomum: 5 a 24 Nenhum conteúdo malicioso: 0. |
Casos de uso
Um usuário recebe um e-mail redirecionando para uma réplica de domínio da Web do próprio domínio. O domínio afirma ser do registrador do domínio, pedindo que ele insira credenciais para acesso, enquanto o domínio falso tem intenção de phishing. O usuário pode usar o Recorded Future para pesquisar a reputação do domínio.
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Última referência | Retorna se ele existe no resultado JSON |
| Regras acionadas | Retorna se ele existe no resultado JSON |
| Primeira referência | Retorna se ele existe no resultado JSON |
| Pontuação de risco | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_risky | Verdadeiro/Falso | is_risky:False |
Resultado do JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
Enriquecer IP
Descrição
A ação permite que um usuário envie um endereço IP para pesquisar informações de inteligência de ameaças que resumem a reputação dos IPs.
Parâmetros
| Parâmetros | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite da pontuação de risco | String | 25 | Representa a pontuação mínima de risco malicioso para que uma CVE seja marcada como maliciosa. O limite de pontuação de risco precisa ser um valor numérico. Tem um intervalo de 0 a 99. Confira abaixo os níveis de faixa: Muito malicioso: 90 a 99 Malicioso: 65 a 89 Suspeito: 25 a 64 Incomum: 5 a 24 Nenhum conteúdo malicioso: 0. |
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Última referência | Retorna se ele existe no resultado JSON |
| Regras acionadas | Retorna se ele existe no resultado JSON |
| Primeira referência | Retorna se ele existe no resultado JSON |
| Pontuação de risco | Retorna se ele existe no resultado JSON |
| Geo-City | Retorna se ele existe no resultado JSON |
| País geográfico | Retorna se ele existe no resultado JSON |
| Organização | Retorna se ele existe no resultado JSON |
| Asn | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_risky | Verdadeiro/Falso | is_risky:False |
Resultado do JSON
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
Aperfeiçoar URL
Descrição
A ação permite que um usuário envie um URL para pesquisar informações de inteligência de ameaças que resumem a reputação do URL.
Parâmetros
| Parâmetros | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite da pontuação de risco | string | 25 | Representa a pontuação mínima de risco malicioso para que uma CVE seja marcada como maliciosa. O limite de pontuação de risco precisa ser um valor numérico. Tem um intervalo de 0 a 99. Confira abaixo os níveis de faixa: Muito malicioso: 90 a 99 Malicioso: 65 a 89 Suspeito: 25 a 64 Incomum: 5 a 24 Nenhum conteúdo malicioso: 0. |
Casos de uso
Um usuário abre a caixa de correio e encontra um e-mail suspeito com instruções para seguir um determinado URL e fazer uma mudança de senha ou atualização de software importante. O usuário pode usar o Recorded Future para pesquisar a reputação do URL.
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Regras acionadas | Retorna se ele existe no resultado JSON |
| Pontuação de risco | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_risky | Verdadeiro/Falso | is_risky:False |
Resultado do JSON
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
Receber detalhes do alerta
Descrição
Extrair informações sobre um alerta específico e retornar resultados ao caso.
Use a ação para ter mais informações disponíveis sobre os alertas do Recorded Future: documentos, entidades relacionadas, evidências etc.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta para o qual você quer buscar detalhes. |
Executar em
Essa ação não deve ser executada em entidades, apenas em Google SecOps TicketId, que será Recorded future alertID.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação precisa falhar e interromper a execução de um playbook:
Se não houver como diferenciar os casos :
Se recebermos o código HTTP 401 (não autorizado): Imprima "Não autorizado. Verifique seu token de API e tente de novo" |
Geral |
Receber entidades relacionadas a CVE
Descrição
A ação permite que um usuário envie um CVE para pesquisar todas as entidades relacionadas a CVEs. Informações muito importantes, que são dados brutos relevantes para decisões, podem ser coletadas com base nas informações de contexto fornecidas.
Parâmetros
N/A
Casos de uso
Durante uma avaliação de vulnerabilidade do sistema, um analista percebe que o sistema está vulnerável a um CVE. O analista realiza uma ação de pesquisa e a CVE é considerada maliciosa. O analista decide coletar informações sobre entidades relacionadas para saber mais sobre as tecnologias e os vetores usados pela CVE.
Executar em
Essa ação é executada na entidade CVE.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_successful | Verdadeiro/Falso | is_successful:False |
Get Hash Related Entities
Descrição
Consulte o RecordedFuture para receber entidades relacionadas ao hash.
Parâmetros
N/A
Casos de uso
Um usuário identifica um hash malicioso na quarentena de antivírus de um dos endpoints da organização. Ele quer mais informações sobre o hash para ajudar a encontrar uma maneira de mitigar o problema. Usando o Recorded Future, ele pode receber mais informações sobre ameaças.
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_successful | Verdadeiro/Falso | is_successful:False |
Receber entidades relacionadas ao host
Descrição
A ação permite que um usuário envie um host para pesquisar todas as entidades relacionadas a ele. Informações muito importantes podem ser coletadas no contexto fornecido, que são dados brutos importantes para a tomada de decisões.
Parâmetros
N/A
Casos de uso
Um usuário identifica um hash malicioso em uma das quarentenas de antivírus de endpoint na organização. Ele quer mais informações sobre o hash para ajudar a encontrar uma maneira de mitigar o problema. Usando o Recorded Future, ele pode receber mais informações sobre a ameaça.
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_successful | Verdadeiro/Falso | is_successful:False |
Receber entidades relacionadas ao IP
Descrição
A ação permite que um usuário envie um endereço IP para pesquisar todas as entidades relacionadas a ele. As informações coletadas permitem que um usuário adquira insights importantes sobre quem está atacando, qual é a motivação e os recursos do invasor e quais indicadores de comprometimento estão nos seus sistemas. Com essas informações, o usuário pode tomar uma decisão embasada sobre segurança.
Parâmetros
N/A
Casos de uso
Um WAF (firewall de aplicativos da Web) faz uma entrada de registro para tráfego da Web suspeito de um endereço IP. Depois que a entrada de registro é confirmada pelo analista, o endereço IP é enviado para enriquecimento pela Recorded Future em uma tentativa de encontrar a reputação dele. Se o IP for considerado arriscado, o playbook vai bloqueá-lo.
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_successful | Verdadeiro/Falso | is_successful:False |
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_successful | Verdadeiro/Falso | is_successful:False |
Adicionar observação do analista
Descrição
Adicione uma observação do analista a entidades enriquecidas anteriormente no Google SecOps e a entidades do Recorded Future. A ação vai adicionar a nota às entidades de escopo relevantes.
.Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Título da observação | String | Título da observação | Sim | Especifique o título da nota |
| Texto da nota | String | Texto da nota | Sim | Especifique o texto da nota |
| Origem da nota | String | N/A | Sim | Especifique o ID de RF da fonte da observação. O API Explorer mostra quais IDs de RF estão acessíveis ao usuário com o token de API ativado. Por exemplo, VWKdVr é o ID de RF de uma observação de analista e só está disponível para usuários na mesma conta corporativa no Recorded Future. |
| Tópico | DDL (consulte a tabela abaixo) |
Nenhum | Não | Se necessário, especifique o tópico relevante da lista. |
| Enriquecer entidade? | Caixa de seleção | Selecionado | Sim | Especifique se a ação deve enriquecer a entidade com a saída "Enriquecer IOC". |
Valores da DDL para o campo "Assunto"
| Texto de exibição | String to send in the request |
|---|---|
| Nenhuma (padrão) | Não enviar nada |
| Perfil do ator | TXSFt2 |
| Relatório de analistas sob demanda | VlIhvH |
| Análise de ameaças cibernéticas | TXSFt1 |
| Relatório rápido | TXSFt0 |
| Indicador | TXSFt4 |
| Informativa | UrMRnT |
| Perfil de malware/ferramenta | UX0YlU |
| Perfil de origem | UZmDut |
| Líder de ameaças | TXSFt3 |
| Evento de inteligência validado | TXSFt5 |
| Cenário de ameaças semanal | VlIhvG |
| Regra YARA | VTrvnW |
Executar em
Essa ação é executada nos seguintes tipos de entidade:
- Endereço IP
- URL
- Filehash
- CVE
- Domínio
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| RF_doc_id | Quando disponível em JSON. |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível encontrar pelo menos uma entidade no Recorded Future ao executar o enriquecimento de IOCs: "As seguintes entidades não existem no Recorded Future: {non_existing_entities} A ação vai falhar : Se nenhuma entidade tiver um RF_ID e não for encontrada no enriquecimento de IOC: "A Recorded Future não encontrou nenhuma das entidades fornecidas em "Enriquecer IOC" e, portanto, não conseguiu publicar a observação do analista." Se recebermos o código HTTP 401 (não autorizado): "Não autorizado. Verifique seu token de API e tente de novo" |
Geral |
Atualizar alerta
Descrição
Atualize o alerta no Recorded Future.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta que precisa ser atualizado. |
| Status | DDL | Selecione uma opção. Valores possíveis: Não atribuído Atribuído Pendente Dispensado Novo Resolvido Sinalizar para ajuste |
Não | Especifique o novo status do alerta. |
| Atribuir a | String | Não | Especifique a quem atribuir o alerta. Você pode fornecer ID, nome de usuário, hash do usuário ou e-mail. | |
| Observação | String | Especifique uma observação que precisa ser atualizada no alerta. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação vai falhar e interromper a execução de um playbook: Se a lista de erros não estiver vazia: "Erro ao executar a ação "Atualizar alerta". Motivo: {0}''.format(error/reason) Se o status for "Selecione um" e nenhum dos outros valores for fornecido: "Erro ao executar a ação "Atualizar alerta". Motivo: pelo menos um dos parâmetros de ação precisa ter um valor informado. |
Geral |
Conectores
Recorded Future: conector de alertas de segurança
Descrição
Extrai alertas de segurança do Recorded Future.
As listas de permissões e proibições funcionam com nomes de regras do Recorded Future.
Configurar o conector de alertas de segurança do Recorded Future no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | título | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | ID | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
Nome do campo de ambiente |
String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Padrão de regex do ambiente |
String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| URL da API | String | https://api.recordedfuture.com | Sim | Raiz da API da instância do Recorded Future. |
| Chave de API | Senha | N/A | Sim | Chave de API da Recorded Future. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar eventos. |
| Número máximo de alertas a serem buscados | Número inteiro | 100 | Não | Quantos alertas processar por iteração de conector. |
| Gravidade | String | Médio | Sim | A gravidade será um dos seguintes valores: "Baixa", "Média", "Alta" ou "Crítica". |
| Receber detalhes do alerta | Caixa de seleção | Desmarcado | Sim | Receba todos os detalhes do alerta da Recorded Future. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor do Recorded Future é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.