Recorded Future

集成版本:16.0

使用场景

  1. 漏洞优先级划分。
  2. 威胁指示器调查、丰富和响应。

配置 Recorded Future 以与 Google Security Operations 搭配使用

产品权限

API 令牌用于身份验证,特定于用户,并且与用户的企业部署相关联。

网络

函数 默认端口 方向 协议
API 多值 出站 apitoken

在 Google SecOps 中配置 Recorded Future 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是必填字段 说明
实例名称 字符串 不适用 您打算为其配置集成的实例的名称。
说明 字符串 不适用 实例的说明。
API 网址 Sring https://api.recordedfuture.com Recorded Future 实例的地址。
API 密钥 字符串 不适用 在 Recorded Future 的控制台中生成。
验证 SSL 复选框 尚未核查 如果您的 Recorded Future 连接需要 SSL 验证,请选中此复选框。
远程运行 复选框 尚未核查 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。

操作

丰富 IOC

说明

从 Google SecOps 中提取有关多种不同类型实体的多条信息。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
风险得分阈值 整数 25 表示每个实体被标记为可疑的最低恶意风险得分。

运行于

操作应获取以下每个实体,并将其发送到“记录未来”的扩充服务:

  • IP 地址
  • 网址
  • Filehash
  • CVE
  • DOomain

操作执行结果

实体扩充
扩充项字段名称 来源(JSON 密钥) 逻辑 - 应用场景
isSuspicious 如果超出阈值参数 以 JSON 格式提供时
RF_id Results[ ].Entity.id 以 JSON 格式提供时
RF_name Results[ ].Entity.name 以 JSON 格式提供时
RF_type Results[ ].Entity.type 以 JSON 格式提供时
RF_descrription Results[ ].Entity.description 以 JSON 格式提供时
RF_risk_level Results[ ].Risk.level 以 JSON 格式提供时
RF_risk_score Results[ ].Risk.score 以 JSON 格式提供时
RF_number_of_matched_rules Results[ ].Risk.Rule.count 以 JSON 格式提供时
RF_most_critical_rule Results[ ].Risk.Rule.mostCritical 以 JSON 格式提供时
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "data": {
        "results": [
            {
                "entity": {
                    "id": "J_IWqd",
                    "name": "CVE-2012-1723",
                    "type": "CyberVulnerability",
                    "description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
                },
                "risk": {
                    "level": 5.0,
                    "rule": {
                        "count": 9,
                        "mostCritical": "Exploited in the Wild by Recently Active Malware",
                        "maxCount": 22,
                        "evidence": {
                            "linkedToCyberExploit": {
                                "count": 55.0,
                                "timestamp": "2019-06-18T13:19:28.000Z",
                                "description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
                                "rule": "Linked to Historical Cyber Exploit",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "recentMalwareActivity": {
                                "count": 1.0,
                                "timestamp": "2020-10-07T00:00:00.000Z",
                                "description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
                                "rule": "Exploited in the Wild by Recently Active Malware",
                                "mitigation": "",
                                "level": 5.0
                            },
                            "linkedToRAT": {
                                "count": 26.0,
                                "timestamp": "2020-08-03T00:00:00.000Z",
                                "description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
                                "rule": "Historically Linked to Remote Access Trojan",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "linkedToExploitKit": {
                                "count": 13.0,
                                "timestamp": "2019-07-30T01:01:59.793Z",
                                "description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
                                "rule": "Historically Linked to Exploit Kit",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "nistCritical": {
                                "count": 1.0,
                                "timestamp": "2020-10-01T03:03:20.930Z",
                                "description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
                                "rule": "NIST Severity: Critical",
                                "mitigation": "",
                                "level": 4.0
                            },
                            "pocVerifiedRemote": {
                                "count": 1.0,
                                "timestamp": "2012-07-11T00:00:00.000Z",
                                "description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
                                "rule": "Historical Verified Proof of Concept Available Using Remote Execution",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "linkedToIntrusionMethod": {
                                "count": 9.0,
                                "timestamp": "2019-06-18T13:19:28.000Z",
                                "description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
                                "rule": "Historically Linked to Malware",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "linkedToRecentCyberExploit": {
                                "count": 1.0,
                                "timestamp": "2020-10-05T17:19:29.000Z",
                                "description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
                                "rule": "Linked to Recent Cyber Exploit",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "scannerUptake": {
                                "count": 5.0,
                                "timestamp": "2019-10-01T02:58:24.000Z",
                                "description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
                                "rule": "Historically Linked to Penetration Testing Tools",
                                "mitigation": "",
                                "level": 1.0
                            }
                        },
                        "summary": [
                            {
                                "count": 1.0,
                                "level": 2.0
                            },
                            {
                                "count": 1.0,
                                "level": 5.0
                            },
                            {
                                "count": 1.0,
                                "level": 4.0
                            },
                            {
                                "count": 6.0,
                                "level": 1.0
                            }
                        ]
                    },
                    "context": {
                        "malware": {
                            "rule": {
                                "count": 1,
                                "maxCount": 2
                            },
                            "score": 90.0
                        },
                        "public": {
                            "rule": {
                                "maxCount": 22
                            },
                            "summary": [
                                {
                                    "count": 1.0,
                                    "level": 2.0
                                },
                                {
                                    "count": 1.0,
                                    "level": 5.0
                                },
                                {
                                    "count": 1.0,
                                    "level": 4.0
                                },
                                {
                                    "count": 6.0,
                                    "level": 1.0
                                }
                            ],
                            "mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
                            "score": 99.0
                        }
                    },
                    "score": 99.0
                }
            },
            {
                "entity": {
                    "id": "url:http://www.plexipr.com/vAHzWX.php",
                    "name": "http://www.plexipr.com/vAHzWX.php",
                    "type": "URL"
                },
                "risk": {
                    "level": 4.0,
                    "rule": {
                        "count": 3,
                        "mostCritical": "C&C URL",
                        "maxCount": 29,
                        "evidence": {
                            "cncUrl": {
                                "count": 1.0,
                                "timestamp": "2020-10-12T02:55:38.670Z",
                                "description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
                                "rule": "C&C URL",
                                "mitigation": "",
                                "level": 4.0
                            },
                            "maliciousSiteDetected": {
                                "count": 1.0,
                                "timestamp": "2019-09-13T18:53:31.000Z",
                                "description": "9 sightings on 1 source: Recorded Future URL Analysis.",
                                "rule": "Historically Detected Malicious Browser Exploits",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "malwareSiteDetected": {
                                "count": 1.0,
                                "timestamp": "2019-09-13T18:53:31.000Z",
                                "description": "9 sightings on 1 source: Recorded Future URL Analysis.",
                                "rule": "Historically Detected Malware Distribution",
                                "mitigation": "",
                                "level": 1.0
                            }
                        },
                        "summary": [
                            {
                                "count": 1.0,
                                "level": 4.0
                            },
                            {
                                "count": 2.0,
                                "level": 1.0
                            }
                        ]
                    },
                    "context": {
                        "malware": {
                            "rule": {
                                "count": 0,
                                "maxCount": 4
                            },
                            "score": 0.0
                        },
                        "public": {
                            "rule": {
                                "maxCount": 26
                            },
                            "summary": [
                                {
                                    "count": 1.0,
                                    "level": 4.0
                                },
                                {
                                    "count": 2.0,
                                    "level": 1.0
                                }
                            ],
                            "mostCriticalRule": "C&C URL",
                            "score": 91.0
                        },
                        "c2": {
                            "score": 90.0,
                            "rule": {
                                "maxCount": 1,
                                "count": 1
                            }
                        },
                        "phishing": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 3,
                                "count": 0
                            }
                        }
                    },
                    "score": 91.0
                }
            },
            {
                "entity": {
                    "id": "hash:44d88612fea8a8f36de82e1278abb02f",
                    "name": "44d88612fea8a8f36de82e1278abb02f",
                    "type": "Hash"
                },
                "risk": {
                    "level": 3.0,
                    "rule": {
                        "count": 4,
                        "mostCritical": "Positive Malware Verdict",
                        "maxCount": 13,
                        "evidence": {
                            "linkedToVuln": {
                                "count": 1.0,
                                "timestamp": "2019-09-21T12:00:07.000Z",
                                "description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
                                "rule": "Linked to Vulnerability",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "linkedToVector": {
                                "count": 2.0,
                                "timestamp": "2018-08-06T20:50:41.819Z",
                                "description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
                                "rule": "Linked to Attack Vector",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "linkedToMalware": {
                                "count": 4.0,
                                "timestamp": "2020-10-02T14:11:26.000Z",
                                "description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
                                "rule": "Linked to Malware",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "positiveMalwareVerdict": {
                                "count": 4.0,
                                "timestamp": "2020-10-10T00:34:03.497Z",
                                "description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
                                "rule": "Positive Malware Verdict",
                                "mitigation": "",
                                "level": 3.0
                            }
                        },
                        "summary": [
                            {
                                "count": 3.0,
                                "level": 2.0
                            },
                            {
                                "count": 1.0,
                                "level": 3.0
                            }
                        ]
                    },
                    "context": {
                        "malware": {
                            "rule": {
                                "count": 1,
                                "maxCount": 2
                            },
                            "score": 80.0
                        },
                        "public": {
                            "rule": {
                                "maxCount": 11
                            },
                            "summary": [
                                {
                                    "count": 3.0,
                                    "level": 2.0
                                },
                                {
                                    "count": 1.0,
                                    "level": 3.0
                                }
                            ],
                            "mostCriticalRule": "Positive Malware Verdict",
                            "score": 83.0
                        }
                    },
                    "score": 83.0
                }
            },
            {
                "entity": {
                    "id": "ip:66.240.205.34",
                    "name": "66.240.205.34",
                    "type": "IpAddress"
                },
                "risk": {
                    "level": 2.0,
                    "rule": {
                        "count": 13,
                        "mostCritical": "Recent Multicategory Blacklist",
                        "maxCount": 53,
                        "evidence": {
                            "cncServer": {
                                "count": 1.0,
                                "timestamp": "2020-09-23T01:46:30.620Z",
                                "description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
                                "rule": "Historical C&C Server",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "recentMultiBlacklist": {
                                "count": 2.0,
                                "timestamp": "2020-10-08T01:30:47.833Z",
                                "description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
                                "rule": "Recent Multicategory Blacklist",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "honeypot": {
                                "count": 8.0,
                                "timestamp": "2020-06-19T00:58:26.000Z",
                                "description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
                                "rule": "Historical Honeypot Sighting",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "linkedIntrusion": {
                                "count": 4.0,
                                "timestamp": "2019-08-05T19:06:11.000Z",
                                "description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
                                "rule": "Historically Linked to Intrusion Method",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "recentDhsAis": {
                                "count": 1.0,
                                "timestamp": "2020-10-09T12:44:44.895Z",
                                "description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
                                "rule": "Recently Reported by DHS AIS",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "linkedToCyberAttack": {
                                "count": 2.0,
                                "timestamp": "2019-06-15T09:01:52.000Z",
                                "description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
                                "rule": "Historically Linked to Cyber Attack",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "dhsAis": {
                                "count": 1.0,
                                "timestamp": "2020-09-14T11:12:55.000Z",
                                "description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
                                "rule": "Historically Reported by DHS AIS",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "recentLinkedIntrusion": {
                                "count": 1.0,
                                "timestamp": "2020-10-11T22:30:12.000Z",
                                "description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
                                "rule": "Recently Linked to Intrusion Method",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "historicalThreatListMembership": {
                                "count": 2.0,
                                "timestamp": "2020-10-11T23:18:11.344Z",
                                "description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
                                "rule": "Historically Reported in Threat List",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "rfTrending": {
                                "count": 1.0,
                                "timestamp": "2020-08-03T15:09:58.796Z",
                                "description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
                                "rule": "Trending in Recorded Future Analyst Community",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "maliciousPacketSource": {
                                "count": 1.0,
                                "timestamp": "2020-10-11T23:18:11.344Z",
                                "description": "1 sighting on 1 source: CINS: CI Army List.",
                                "rule": "Malicious Packet Source",
                                "mitigation": "",
                                "level": 2.0
                            },
                            "multiBlacklist": {
                                "count": 1.0,
                                "timestamp": "2017-04-28T10:00:20.345Z",
                                "description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
                                "rule": "Historical Multicategory Blacklist",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "spam": {
                                "count": 1.0,
                                "timestamp": "2019-04-16T13:04:45.428Z",
                                "description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
                                "rule": "Historical Spam Source",
                                "mitigation": "",
                                "level": 1.0
                            }
                        },
                        "summary": [
                            {
                                "count": 4.0,
                                "level": 2.0
                            },
                            {
                                "count": 9.0,
                                "level": 1.0
                            }
                        ]
                    },
                    "context": {
                        "public": {
                            "rule": {
                                "maxCount": 50
                            },
                            "summary": [
                                {
                                    "count": 3.0,
                                    "level": 2.0
                                },
                                {
                                    "count": 9.0,
                                    "level": 1.0
                                }
                            ],
                            "mostCriticalRule": "Recent Multicategory Blacklist",
                            "score": 59.0
                        },
                        "c2": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 2,
                                "count": 0
                            }
                        },
                        "phishing": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 1,
                                "count": 0
                            }
                        }
                    },
                    "score": 59.0
                }
            },
            {
                "entity": {
                    "id": "idn:passbolt.siemplify.co",
                    "name": "passbolt.siemplify.co",
                    "type": "InternetDomainName"
                },
                "risk": {
                    "level": 0.0,
                    "rule": {
                        "count": 0,
                        "mostCritical": "",
                        "summary": [],
                        "maxCount": 47
                    },
                    "context": {
                        "malware": {
                            "rule": {
                                "count": 0,
                                "maxCount": 2
                            },
                            "score": 0.0
                        },
                        "public": {
                            "rule": {
                                "maxCount": 41
                            },
                            "summary": [],
                            "mostCriticalRule": "",
                            "score": 0.0
                        },
                        "c2": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 2,
                                "count": 0
                            }
                        },
                        "phishing": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 2,
                                "count": 0
                            }
                        }
                    },
                    "score": 0.0
                }
            },
            {
                "entity": {
                    "id": "url:http://bolizarsospos.com/703hjdr3ez72",
                    "name": "http://bolizarsospos.com/703hjdr3ez72",
                    "type": "URL"
                },
                "risk": {
                    "level": 4.0,
                    "rule": {
                        "count": 3,
                        "mostCritical": "C&C URL",
                        "maxCount": 29,
                        "evidence": {
                            "cncUrl": {
                                "count": 1.0,
                                "timestamp": "2020-10-12T02:46:13.823Z",
                                "description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
                                "rule": "C&C URL",
                                "mitigation": "",
                                "level": 4.0
                            },
                            "maliciousSiteDetected": {
                                "count": 1.0,
                                "timestamp": "2019-12-07T23:10:05.000Z",
                                "description": "4 sightings on 1 source: Recorded Future URL Analysis.",
                                "rule": "Historically Detected Malicious Browser Exploits",
                                "mitigation": "",
                                "level": 1.0
                            },
                            "malwareSiteDetected": {
                                "count": 1.0,
                                "timestamp": "2019-12-07T23:10:05.000Z",
                                "description": "4 sightings on 1 source: Recorded Future URL Analysis.",
                                "rule": "Historically Detected Malware Distribution",
                                "mitigation": "",
                                "level": 1.0
                            }
                        },
                        "summary": [
                            {
                                "count": 1.0,
                                "level": 4.0
                            },
                            {
                                "count": 2.0,
                                "level": 1.0
                            }
                        ]
                    },
                    "context": {
                        "malware": {
                            "rule": {
                                "count": 0,
                                "maxCount": 4
                            },
                            "score": 0.0
                        },
                        "public": {
                            "rule": {
                                "maxCount": 26
                            },
                            "summary": [
                                {
                                    "count": 1.0,
                                    "level": 4.0
                                },
                                {
                                    "count": 2.0,
                                    "level": 1.0
                                }
                            ],
                            "mostCriticalRule": "C&C URL",
                            "score": 91.0
                        },
                        "c2": {
                            "score": 90.0,
                            "rule": {
                                "maxCount": 1,
                                "count": 1
                            }
                        },
                        "phishing": {
                            "score": 0.0,
                            "rule": {
                                "maxCount": 3,
                                "count": 0
                            }
                        }
                    },
                    "score": 91.0
                }
            }
        ]
    },
    "counts": {
        "returned": 6,
        "total": 6
    }
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行
如果成功且至少一个提供的实体已得到丰富(is_success = true)
打印“Successfully enriched the following entities in Recorded Future: \n {0}".format(entity.identifier list)

如果未能扩充特定实体(is_success = true)
打印“Action was not able to enrich the following entities in Recorded Future: \n {0}".format([entity.identifier])

如果没有实体得到丰富(is_success=false)

输出“No entities were enriched.”

操作应失败并停止 playbook 执行
如果不成功

打印“执行操作‘Enrich IOC’时出错。原因:{0}''.format(error.Stacktrace)

如果我们收到 HTTP 代码 401(未经授权)

打印“未经授权 - 请检查您的 API 令牌,然后重试”

 常规

丰富 CVE 信息

说明

此操作可让用户发送 CVE 来查找总结 CVE 声誉的威胁情报信息。

参数

参数 类型 默认值 是否为必需属性 说明
风险得分阈值 字符串 25

表示 CVE 被标记为恶意所需的最低恶意风险得分。风险得分阈值必须是数值。范围为 0-99。以下是频段级别:

非常恶意:90-99

恶意:65-89

可疑:25-64

异常:5-24

无恶意内容:0。

使用场景

安全分析师对其信息技术基础设施运行安全评估。用户从发现结果中得知,其信息系统容易受到已知漏洞(CVE 身份已知)的攻击。分析师缺乏有关该漏洞的更多详细信息,因此想了解其声誉。用户可以使用 Recorded Future 查找漏洞的 CVE 声誉。

运行于

此操作在 CVE 实体上运行。

操作执行结果

实体扩充

如果实体超过阈值,则标记为可疑 (True)。否则:False。

扩充项字段名称 逻辑 - 适用情形
上次参考 返回 JSON 结果中是否存在相应值
触发的规则 返回 JSON 结果中是否存在相应值
首次参考 返回 JSON 结果中是否存在相应值
风险得分 返回 JSON 结果中是否存在相应值
数据分析
严重程度 说明
警告 系统应创建警告数据分析,以告知富化哈希的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会生成数据分析。
脚本结果
脚本结果名称 值选项 示例
is_risky True/False is_risky:False
JSON 结果
[
    {
        "EntityResult":
        {
            "Last Reference": "2019-10-04T18:19:19.044Z",
            "Triggered Rules": "7/51",
            "First Reference": "16-05-25T11:47:06.812Z",
            "Risk Score": "45"
        },
        "Entity": "CVE-2019-9925"
    }
]

丰富哈希

说明

该操作可让用户发送哈希来查找总结哈希声誉的威胁情报信息。

参数

参数 类型 默认值 说明
风险得分阈值 字符串 25

表示 CVE 被标记为恶意所需的最低恶意风险得分。风险得分阈值必须是数值。范围为 0-99。以下是频段级别:

非常恶意:90-99

恶意:65-89

可疑:25-64

异常:5-24

无恶意内容:0。

使用场景

某个端点上的文件疑似感染了病毒。使用 Recorded Future,用户可以发送文件哈希,并通过查找获取其信誉。

运行于

此操作在 Filehash 实体上运行。

操作执行结果

实体扩充

如果实体超过阈值,则标记为可疑 (True)。否则:False。

扩充项字段名称 逻辑 - 适用情形
上次参考 返回 JSON 结果中是否存在相应值
触发的规则 返回 JSON 结果中是否存在相应值
首次参考 返回 JSON 结果中是否存在相应值
风险得分 返回 JSON 结果中是否存在相应值
哈希算法 返回 JSON 结果中是否存在相应值
数据分析
严重程度 说明
警告 系统将创建警告数据分析,以告知富集哈希的恶意状态。当风险得分达到或超过最低可疑风险得分阈值时,系统会生成相应的数据洞见。
脚本结果
脚本结果名称 值选项 示例
is_risky True/False is_risky:False
JSON 结果
[
     {
         "EntityResult":
         {
             "Last Reference": "2019-10-04T18:19:19.044Z",
             "Triggered Rules": "7/51",
             "First Reference": "16-05-25T11:47:06.812Z",
             "Risk Score": "45",
             "Hash Algorithm": "MD5"
         },
         "Entity": "MD5"
     }
]

丰富主机

说明

此操作可让用户发送主机名,以查找总结主机信誉的威胁情报信息。

参数

参数 类型 默认值 说明
风险得分阈值 字符串 25

表示 CVE 被标记为恶意所需的最低恶意风险得分。风险得分阈值必须是数值。范围为 0-99。以下是频段级别:

非常恶意:90-99

恶意:65-89

可疑:25-64

异常:5-24

无恶意内容:0。

使用场景

用户收到一封电子邮件,其中包含一个链接,可将用户重定向到其自有网域的网域副本。网域声称是其注册商的网域,要求用户输入凭据以进行访问,而假冒网域则具有网络钓鱼意图。用户可以使用 Recorded Future 查找网域声誉。

运行于

此操作在 Hostname 实体上运行。

操作执行结果

实体扩充

如果实体超过阈值,则标记为可疑 (True)。否则:False。

扩充项字段名称 逻辑 - 适用情形
上次参考 返回 JSON 结果中是否存在相应值
触发的规则 返回 JSON 结果中是否存在相应值
首次参考 返回 JSON 结果中是否存在相应值
风险得分 返回 JSON 结果中是否存在相应值
数据分析
严重程度 说明
警告 系统应创建警告数据分析,以告知富化哈希的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会生成数据分析。
脚本结果
脚本结果名称 值选项 示例
is_risky True/False is_risky:False
JSON 结果
[
    {
        "EntityResult":
        {
            "Last Reference": "2019-10-04T18:19:19.044Z",
            "Triggered Rules": "7/51",
            "First Reference": "16-05-25T11:47:06.812Z",
            "Risk Score": "45",
            "Geo-City": "Beijing",
            "Geo-Country": "China",
            "Org": "DigitalOcean",
            "Asn": "AS393406"
        },
        "Entity": "8.8.8.8"
    }
]

丰富 IP

说明

此操作可让用户发送 IP 地址,以查找总结 IP 声誉的威胁情报信息。

参数

参数 类型 默认值 说明
风险得分阈值 字符串 25

表示 CVE 被标记为恶意所需的最低恶意风险得分。风险得分阈值必须是数值。范围为 0-99。以下是频段级别:

非常恶意:90-99

恶意:65-89

可疑:25-64

异常:5-24

无恶意内容:0。

使用场景

不适用

运行于

此操作在 IP 地址实体上运行。

操作执行结果

实体扩充

如果实体超过阈值,则标记为可疑 (True)。否则:False。

扩充项字段名称 逻辑 - 适用情形
上次参考 返回 JSON 结果中是否存在相应值
触发的规则 返回 JSON 结果中是否存在相应值
首次参考 返回 JSON 结果中是否存在相应值
风险得分 返回 JSON 结果中是否存在相应值
地理位置-城市 返回 JSON 结果中是否存在相应值
地理位置 - 国家/地区 返回 JSON 结果中是否存在相应值
单位部门 返回 JSON 结果中是否存在相应值
Asn 返回 JSON 结果中是否存在相应值
数据分析
严重程度 说明
警告 系统应创建警告数据分析,以告知富化哈希的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会生成数据分析。
脚本结果
脚本结果名称 值选项 示例
is_risky True/False is_risky:False
JSON 结果
[
    {
        "EntityResult":
        {
            "Last Reference": "2019-10-04T18:19:19.044Z",
            "Triggered Rules": "7/51",
            "First Reference": "16-05-25T11:47:06.812Z",
            "Risk Score": "45",
            "Geo-City": "Beijing",
            "Geo-Country": "China",
            "Org": "DigitalOcean",
            "Asn": "AS393406"
        },
        "Entity": "8.8.8.8"
    }
]

丰富网址

说明

此操作可让用户发送网址以查找总结网址信誉的情报信息。

参数

参数 类型 默认值 说明
风险得分阈值 字符串 25

表示 CVE 被标记为恶意所需的最低恶意风险得分。风险得分阈值必须是数值。范围为 0-99。以下是频段级别:

非常恶意:90-99

恶意:65-89

可疑:25-64

异常:5-24

无恶意内容:0。

使用场景

用户打开自己的邮箱,发现一封可疑的电子邮件,其中包含指示用户访问特定网址以进行重要密码更改或软件更新的说明。用户可以使用 Recorded Future 查找网址信誉。

运行于

此操作在网址实体上运行。

操作执行结果

实体扩充

如果实体超过阈值,则标记为可疑 (True)。否则:False。

扩充项字段名称 逻辑 - 适用情形
触发的规则 返回 JSON 结果中是否存在相应值
风险得分 返回 JSON 结果中是否存在相应值
数据分析
严重程度 说明
警告 系统应创建警告数据分析,以告知富化哈希的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会生成数据分析。
脚本结果
脚本结果名称 值选项 示例
is_risky True/False is_risky:False
JSON 结果
[
    {
        "EntityResult":
        {
            "Triggered Rules": "7\/51",
            "Risk Score": "45"
        },
        "Entity": "8.8.8.8"
    }
]

获取提醒详细信息

说明

提取有关特定提醒的信息,并将结果返回给支持请求。

使用此操作可获取有关 Recorded Future 提醒的更多信息 - 文档、相关实体、证据等。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
提醒 ID 字符串 不适用 指定要提取详细信息的提醒的 ID

运行于

此操作不应在实体上运行,而只应在 Google SecOps TicketId 上运行,后者将是记录的未来 alertID。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "data": {
        "review": {
            "assignee": null,
            "noteAuthor": null,
            "note": null,
            "status": "no-action",
            "noteDate": null
        },
        "entities": [
            {
                "entity": {
                    "id": "idn:gmail.com.sabsepehlelic.com",
                    "name": "gmail.com.sabsepehlelic.com",
                    "type": "InternetDomainName"
                },
                "risk": {
                    "criticalityLabel": "Suspicious",
                    "score": null,
                    "documents": [
                        {
                            "references": [
                                {
                                    "fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
                                    "entities": [
                                        {
                                            "id": "idn:gmail.com.sabsepehlelic.com",
                                            "name": "gmail.com.sabsepehlelic.com",
                                            "type": "InternetDomainName"
                                        }
                                    ],
                                    "language": "eng"
                                }
                            ],
                            "source": {
                                "id": "beD_4-",
                                "name": "New Certificate Registrations",
                                "type": "Source"
                            },
                            "url": null,
                            "title": "Certificate Registration"
                        }
                    ],
                    "evidence": [
                        {
                            "mitigationString": "",
                            "timestamp": "2020-09-28T02:36:23.924Z",
                            "criticalityLabel": "Suspicious",
                            "evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
                            "rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
                            "criticality": 2
                        },
                        {
                            "mitigationString": "",
                            "timestamp": "2020-09-28T02:36:25.000Z",
                            "criticalityLabel": "Suspicious",
                            "evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
                            "rule": "Recent Typosquat Similarity - DNS Sandwich",
                            "criticality": 2
                        }
                    ],
                    "criticality": 2
                },
                "trend": {},
                "documents": []
            },
            {
                "entity": {
                    "id": "idn:www.gmail.com.sabsepehlelic.com",
                    "name": "www.gmail.com.sabsepehlelic.com",
                    "type": "InternetDomainName"
                },
                "risk": {
                    "criticalityLabel": "Suspicious",
                    "score": null,
                    "documents": [
                        {
                            "references": [
                                {
                                    "fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
                                    "entities": [
                                        {
                                            "id": "idn:www.gmail.com.sabsepehlelic.com",
                                            "name": "www.gmail.com.sabsepehlelic.com",
                                            "type": "InternetDomainName"
                                        }
                                    ],
                                    "language": "eng"
                                }
                            ],
                            "source": {
                                "id": "beD_4-",
                                "name": "New Certificate Registrations",
                                "type": "Source"
                            },
                            "url": null,
                            "title": "Certificate Registration"
                        }
                    ],
                    "evidence": [
                        {
                            "mitigationString": "",
                            "timestamp": "2020-09-28T02:36:23.924Z",
                            "criticalityLabel": "Suspicious",
                            "evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
                            "rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
                            "criticality": 2
                        },
                        {
                            "mitigationString": "",
                            "timestamp": "2020-09-28T02:36:25.000Z",
                            "criticalityLabel": "Suspicious",
                            "evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
                            "rule": "Recent Typosquat Similarity - DNS Sandwich",
                            "criticality": 2
                        }
                    ],
                    "criticality": 2
                },
                "trend": {},
                "documents": []
            }
        ],
        "url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
        "rule": {
            "url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
            "name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
            "id": "eOFFb0"
        },
        "triggered": "2020-09-28T10:13:40.466Z",
        "id": "feRS3x",
        "counts": {
            "references": 2,
            "entities": 2,
            "documents": 1
        },
        "title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
        "type": "ENTITY"
    }
}
案例墙
结果类型 值 / 说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功 (is_success = true)
打印“Successfully fetched the following Alert ID details from Recorded Future: \n {0}".format(AlertID)

操作应失败并停止 playbook 执行
请注意 - 如果找不到或缺少提醒 ID,Recorded Future 将返回 404 代码。不过,404 错误也可能表示存在其他问题。因此:
如果我们有办法区分以下情况:

  • 如果找不到提醒 ID,则打印“Requested Alert ID wasn't found in Recorded Future. 请检查提醒 ID,然后重试”
  • 如果发生其他 HTTP 问题,请输出“Error executing action "Get Alert's Details"”。原因:{0}''.format(error.Stacktrace)

如果我们无法区分以下情况:

  • 打印“在 Recorded Future 中未找到所请求的提醒 ID,或者在执行操作‘获取提醒的详细信息’时出现错误。”原因:{0}''.format(error.Stacktrace)

如果我们收到 HTTP 代码 401(未经授权)

打印“未经授权 - 请检查您的 API 令牌,然后重试”

 常规

说明

此操作允许用户发送 CVE 以搜索所有相关的 CVE 实体。 非常重要的信息(即对决策至关重要的原始信息)可以从提供的上下文信息中收集。

参数

不适用

使用场景

在系统漏洞评估期间,分析师意识到其系统容易受到某个 CVE 的攻击。分析师执行查找操作,发现该 CVE 为恶意。分析师决定获取相关实体信息,以详细了解 CVE 使用的技术和向量。

运行于

此操作在 CVE 实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果
脚本结果名称 值选项 示例
is_successful True/False is_successful:False

说明

查询 RecordedFuture 以获取哈希的相关实体。

参数

不适用

使用场景

用户在其组织的某个端点的防病毒隔离区中发现了一个恶意哈希。他们希望获得有关哈希的更多信息,以便找到缓解方法。使用 Recorded Future,他可以获取有关该威胁的更多信息。

运行于

此操作在 Filehash 实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_successful True/False is_successful:False

说明

该操作可让用户发送主机来查找与该主机相关的所有实体。您可以从提供的上下文信息中收集非常重要的信息,这些原始信息对于做出决策至关重要。

参数

不适用

使用场景

某用户发现其组织中某个端点的防病毒隔离区中存在恶意哈希。该用户希望获得有关该哈希的更多信息,以便找到缓解方法。借助 Recorded Future,他可以获取有关该威胁的更多信息。

运行于

此操作在 Hostname 实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_successful True/False is_successful:False

说明

此操作可让用户发送 IP 地址以查找与该 IP 相关的所有实体。通过收集的信息,用户可以获得重要的数据洞见,了解攻击者的身份、动机和能力,以及系统中的入侵迹象。通过这些信息,用户可以做出明智的安全决策。

参数

不适用

使用场景

WAF(Web 应用防火墙)会针对来自某个 IP 地址的可疑 Web 流量创建日志条目。分析师确认日志条目后,系统会将 IP 地址发送给 Recorded Future 以进行丰富,从而确定其声誉。如果发现 IP 存在风险,该 playbook 将屏蔽相应 IP。

运行于

此操作在 IP 地址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_successful True/False is_successful:False

Ping

说明

测试连接。

参数

不适用

运行于

此操作会在所有实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_successful True/False is_successful:False

添加分析师备注

说明

在 Google SecOps 中,为之前已扩充的实体添加分析师注释,以扩充 Recorded Future 实体。此操作会将备注添加到相关范围实体。

参数

参数显示名称 类型 默认值 是必填字段 说明
备注标题 字符串 备注标题 指定笔记的标题
备注文本 字符串 备注文本 指定注释的文本
注释来源 字符串 不适用

指定注释来源的 RF ID;API 浏览器会显示已启用 API 令牌的用户可访问哪些 RF ID。例如,VWKdVr 是分析师备注的 RF ID,仅供 Recorded Future 中同一企业账号的用户使用。
主题

DDL

(请参见下表)

 根据需要,从列表中指定相关的“备注”主题。
丰富实体? 复选框 勾选 指定操作是否应使用“丰富 IOC”输出丰富实体。

“主题”字段的 DDL 值

显示文本 请求中要发送的字符串
无(默认) 不发送任何内容
威胁行为者个人资料 TXSFt2
按需提供分析师报告 VlIhvH
网络威胁分析 TXSFt1
速报 TXSFt0
指标 TXSFt4
信息 UrMRnT
恶意软件/工具配置文件 UX0YlU
来源配置文件 UZmDut
威胁负责人 TXSFt3
已验证的智能事件 TXSFt5
每周威胁态势 VlIhvG
YARA 规则 VTrvnW
运行于

此操作适用于以下实体类型:

  • IP 地址
  • 网址
  • Filehash
  • CVE
  • 网域
操作执行结果
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
实体扩充
扩充项字段名称 逻辑 - 适用情形
RF_doc_id 以 JSON 格式提供时。
案例墙
结果类型 值/说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果至少一个提供的实体在 Recorded Future 中找到,或已具有 RF ID,并且成功添加了备注
“Successfully published analyst note with the following entities in Recorded Future: (entity.identifier list)

如果在运行“丰富 IOC”时,无法在 Recorded Future 上找到至少一个实体:“以下实体在 Recorded Future 中不存在 - {non_existing_entities}

操作应失败

If no entities had an RF_ID , and they weren't found in enrich IOC:

“Recorded Future 找不到‘Enrich IOC’中提供的任何实体,因此无法发布分析师备注。”

该操作应失败并停止 playbook 执行
如果不成功:打印“执行操作‘发布分析师备注’时出错”。原因:(error.Stacktrace)

如果我们收到 HTTP 代码 401(未经授权)-“未经授权 - 请检查您的 API 令牌,然后重试”

 常规

更新提醒

说明

Recorded Future 中的更新提醒。

参数

参数显示名称 类型 默认值 是必填字段 说明
提醒 ID 字符串 不适用 指定需要更新的提醒的 ID。
状态 DDL

选择一项

可能的值:

未分配

已分配

待处理

已拒绝

已解决

标记为调优

 为提醒指定新状态。
分配给 字符串 指定要将提醒分配给谁。您可以提供 ID、用户名、用户哈希或电子邮件地址。
注意 字符串 指定应在提醒中更新的备注。
运行于

此操作不会在实体上运行。

操作执行结果
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值/说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果已更新(is_success = true):“Successfully updated alert {id} in Recorded Future.

操作应失败并停止 playbook 执行
如果出现严重错误(例如凭据错误、无法连接到服务器、其他错误):“执行操作‘更新提醒’时出错。原因:{0}''.format(error.Stacktrace)

如果错误列表不为空:“Error executing action "Update Alert". 原因:{0}''.format(error/reason)

如果“状态”为“请选择”,但未提供任何其他值

“执行操作‘更新提醒’时出错。原因:至少一个操作参数应具有提供的值。

 常规

连接器

Recorded Future - 安全提醒连接器

说明

从 Recorded Future 拉取安全提醒。

白名单和黑名单适用于 Recorded Future 规则名称。

在 Google SecOps 中配置 Recorded Future - Security Alerts 连接器

有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器

连接器参数

使用以下参数配置连接器:

参数显示名称 类型 默认值 是否为必需属性 说明
商品字段名称 字符串 title 输入源字段名称,以便检索产品字段名称。
事件字段名称 字符串 ID 输入源字段名称,以便检索事件字段名称。

环境字段名称

 字符串 ""

描述存储环境名称的字段的名称。

如果找不到环境字段,则环境为默认环境。

环境正则表达式模式

 字符串 .*

要对“环境字段名称”字段中找到的值运行的正则表达式模式。

默认值为 .*,用于捕获所有内容并返回未更改的值。

用于允许用户通过正则表达式逻辑来操纵环境字段。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。
脚本超时(秒) 整数 180 运行当前脚本的 Python 进程的超时时间限制。
API 网址 字符串 https://api.recordedfuture.com Recorded Future 实例的 API 根。
API 密钥 密码 不适用 Recorded Future 的 API 密钥。
提取回溯的小时数上限 整数 1 提取事件的小时数。
要提取的提醒数量上限 整数 100 每次连接器迭代要处理的提醒数量。
严重程度 字符串

严重程度将是以下值之一:低、中、高、严重。
将分配给通过此连接器创建的 Google SecOps 提醒。
获取提醒的详细信息 复选框 尚未核查

从 Recorded Future 获取提醒的完整详细信息。
注意:每次查询都会“消耗”1 个 Recorded Future API 额度。
将白名单用作黑名单 复选框 尚未核查 如果启用,白名单将用作黑名单。
验证 SSL 复选框 尚未核查 如果启用,请验证与 Recorded Future 服务器的连接的 SSL 证书是否有效。
代理服务器地址 字符串 不适用 要使用的代理服务器的地址。
代理用户名 字符串 不适用 用于进行身份验证的代理用户名。
代理密码 密码 不适用 用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。