Recorded Future
整合版本:16.0
應用實例
- 判斷安全漏洞處理順序。
- 威脅指標調查、強化和回應。
設定 Recorded Future 以與 Google Security Operations 搭配使用
產品權限
API 權杖用於驗證,且專屬於使用者,並與使用者的企業部署項目相關聯。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apitoken |
在 Google SecOps 中設定 Recorded Future 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 網址 | Sring | https://api.recordedfuture.com | 是 | Recorded Future 執行個體的地址。 |
| API 金鑰 | 字串 | 不適用 | 是 | 在 Recorded Future 控制台中產生。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果 Recorded Future 連線需要 SSL 驗證,請勾選這個核取方塊。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
充實 IOC
說明
從 Google SecOps 擷取多個不同類型實體的相關資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 風險分數門檻 | 整數 | 25 | 是 | 代表每個實體標示為可疑的最低惡意風險分數。 |
執行時間
動作應擷取下列每個實體,並傳送至記錄的未來擴充功能:
- IP 位址
- 網址
- Filehash
- CVE
- DOomain
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| isSuspicious | 如果超過門檻參數 | 以 JSON 格式提供時 |
| RF_id | Results[ ].Entity.id | 以 JSON 格式提供時 |
| RF_name | Results[ ].Entity.name | 以 JSON 格式提供時 |
| RF_type | Results[ ].Entity.type | 以 JSON 格式提供時 |
| RF_descrription | Results[ ].Entity.description | 以 JSON 格式提供時 |
| RF_risk_level | Results[ ].Risk.level | 以 JSON 格式提供時 |
| RF_risk_score | Results[ ].Risk.score | 以 JSON 格式提供時 |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | 以 JSON 格式提供時 |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | 以 JSON 格式提供時 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果無法擴充特定實體(is_success = true): 如果沒有任何實體經過擴充 (is_success=false): 列印「No entities were enriched.」(沒有實體經過擴充)。 動作應會失敗並停止執行應對手冊: Print "Error executing action "Enrich IOC". 原因:{0}''.format(error.Stacktrace) 如果我們收到 HTTP 程式碼 401 - 未經授權: 列印「Unauthorized - please check your API token and try again」(未經授權 - 請檢查 API 權杖並重試) |
一般 |
豐富 CVE 資訊
說明
使用者可以透過這項動作傳送 CVE,查詢威脅情報資訊,瞭解 CVE 的信譽摘要。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 風險分數門檻 | 字串 | 25 | 是 | 代表 CVE 標示為惡意時的最低惡意風險分數。風險分數門檻必須是數值。範圍為 0 到 99。樂團等級如下: 非常惡意:90-99 分 惡意:65-89 分 可疑:25 到 64 分 異常:5 至 24 沒有惡意內容:0。 |
用途
資安分析師對資訊科技基礎架構執行安全評估,使用者從發現項目得知,資訊系統容易受到已知 CVE ID 的安全漏洞影響。分析師缺乏安全漏洞的詳細資料,因此想瞭解該漏洞的信譽。使用者可以透過 Recorded Future 查詢該安全漏洞的 CVE 聲譽。
執行時間
這項操作會對 CVE 實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 最後一個參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 觸發的規則 | 如果 JSON 結果中存在該值,則傳回該值 |
| 首次參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 風險分數 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,通知您擴增雜湊的惡意狀態。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
充實雜湊
說明
使用者可透過這項動作傳送雜湊值,查詢威脅情報資訊,瞭解雜湊值的信譽摘要。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 風險分數門檻 | 字串 | 25 | 代表 CVE 標示為惡意時的最低惡意風險分數。風險分數門檻必須是數值。範圍為 0 到 99。樂隊等級如下: 非常惡意:90-99 分 惡意:65-89 分 可疑:25 至 64 分 異常:5 至 24 沒有惡意內容:0。 |
用途
端點上的檔案疑似感染病毒。使用者可以透過 Recorded Future 傳送檔案雜湊,並透過查詢取得信譽。
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 最後一個參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 觸發的規則 | 如果 JSON 結果中存在該值,則傳回該值 |
| 首次參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 風險分數 | 如果 JSON 結果中存在該值,則傳回該值 |
| 雜湊演算法 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,通知您擴充雜湊的惡意狀態。當風險分數等於或超過最低可疑風險分數門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
Enrich Host
說明
使用者可透過這項動作傳送主機名稱,查詢威脅情報資訊,瞭解主機的信譽摘要。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 風險分數門檻 | 字串 | 25 | 代表 CVE 標示為惡意時的最低惡意風險分數。風險分數門檻必須是數值。範圍為 0 到 99。樂團等級如下: 非常惡意:90-99 分 惡意:65-89 分 可疑:25 至 64 分 異常:5 至 24 沒有惡意內容:0。 |
用途
使用者會收到電子郵件,將他們重新導向至自己網域的網域副本。網域聲稱是要求使用者輸入憑證的網域註冊商,但實際上是為了進行網路釣魚。使用者可以透過 Recorded Future 查詢網域信譽。
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 最後一個參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 觸發的規則 | 如果 JSON 結果中存在該值,則傳回該值 |
| 首次參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 風險分數 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,通知您擴增雜湊的惡意狀態。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
充實 IP
說明
使用者可透過這項動作傳送 IP 位址,查詢威脅情資資訊,瞭解 IP 位址的信譽。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 風險分數門檻 | 字串 | 25 | 代表 CVE 標示為惡意時的最低惡意風險分數。風險分數門檻必須是數值。範圍為 0 到 99。樂團等級如下: 非常惡意:90-99 分 惡意:65-89 分 可疑:25 至 64 分 異常:5 至 24 沒有惡意內容:0。 |
用途
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 最後一個參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 觸發的規則 | 如果 JSON 結果中存在該值,則傳回該值 |
| 首次參照 | 如果 JSON 結果中存在該值,則傳回該值 |
| 風險分數 | 如果 JSON 結果中存在該值,則傳回該值 |
| Geo-City | 如果 JSON 結果中存在該值,則傳回該值 |
| 地理區域國家/地區 | 如果 JSON 結果中存在該值,則傳回該值 |
| 機構 | 如果 JSON 結果中存在該值,則傳回該值 |
| Asn | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,通知您擴增雜湊的惡意狀態。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
充實網址
說明
使用者可透過這項動作傳送網址,查詢威脅情資資訊,瞭解網址信譽摘要。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 風險分數門檻 | 字串 | 25 | 代表 CVE 標示為惡意時的最低惡意風險分數。風險分數門檻必須是數值。範圍為 0 到 99。樂團等級如下: 非常惡意:90-99 分 惡意:65-89 分 可疑:25 至 64 分 異常:5 至 24 沒有惡意內容:0。 |
用途
使用者開啟信箱,發現一封可疑電子郵件,內含指示,要求他們前往特定網址進行重要的密碼變更或軟體更新。使用者可以透過 Recorded Future 查詢網址信譽。
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 觸發的規則 | 如果 JSON 結果中存在該值,則傳回該值 |
| 風險分數 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,通知您擴增雜湊的惡意狀態。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
取得快訊詳細資料
說明
擷取特定快訊的相關資訊,並將結果傳回案件。
使用動作可取得更多有關 Recorded Future 快訊的資訊,例如文件、相關實體、證據等。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要擷取詳細資料的快訊 ID |
執行時間
這項動作不應在實體上執行,只能在 Google SecOps TicketId 上執行,這會是 Recorded Future 警報 ID。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 動作應會失敗並停止應對手冊執行:
如果我們無法區分這兩種情況:
如果我們收到 HTTP 程式碼 401 - 未經授權: Print " Unauthorized - please check your API token and try again" |
一般 |
取得與 CVE 相關的實體
說明
使用者可以透過這項動作傳送 CVE,搜尋所有相關實體。 從提供的脈絡資訊中,可以收集對決策而言非常重要的原始資訊。
參數
不適用
用途
在系統安全漏洞評估期間,分析師發現系統容易受到 CVE 攻擊。分析師執行查詢動作,發現 CVE 具有惡意。分析師決定取得相關實體資訊,進一步瞭解 CVE 使用的技術和向量。
執行時間
這項操作會對 CVE 實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
取得雜湊相關實體
說明
查詢 RecordedFuture,取得雜湊的相關實體。
參數
不適用
用途
使用者在所屬機構的其中一個端點防毒隔離區中,發現惡意雜湊值。他們想進一步瞭解雜湊,以便找出減輕影響的方法。他可以使用 Recorded Future 取得更多相關威脅資訊。
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
取得主機相關實體
說明
這項動作可讓使用者傳送主機,以查詢與主機相關的所有實體。從提供的背景資訊 (即有助於決策的原始資訊) 中,可以收集到非常重要的資訊。
參數
不適用
用途
使用者在所屬機構的端點防毒隔離區中發現惡意雜湊值,並希望取得更多相關資訊,協助他們找出緩解方式。他可以使用 Recorded Future 取得更多威脅資訊。
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
取得 IP 相關實體
說明
這項操作可讓使用者傳送 IP 位址,以查詢與該 IP 相關的所有實體。收集到的資訊可讓使用者掌握重要洞察資料,瞭解攻擊者是誰、動機和能力為何,以及系統中是否有遭入侵的指標。使用者可根據這些資訊做出明智的安全性決策。
參數
不適用
用途
網頁應用程式防火牆 (WAF) 會針對來自 IP 位址的可疑網路流量建立記錄項目。分析師確認記錄項目後,系統會將 IP 位址傳送至 Recorded Future 進行擴充,以找出其信譽。如果發現 IP 有風險,劇本會封鎖該 IP。
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
新增分析師附註
說明
在 Google SecOps 中,為先前經過擴充的實體新增分析師附註,這項動作會將附註新增至相關範圍的實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 附註標題 | 字串 | 附註標題 | 是 | 指定記事標題 |
| 附註文字 | 字串 | 附註文字 | 是 | 指定附註的文字 |
| 附註來源 | 字串 | 不適用 | 是 | 指定記事來源的 RF ID;API 探索工具會顯示啟用 API 權杖的使用者可存取哪些 RF ID。舉例來說,VWKdVr 是分析師筆記的 RF ID,只有 Recorded Future 中相同企業帳戶的使用者可以存取。 |
| 主題 | DDL (請參閱下表) |
無 | 否 | 視需要從清單中指定相關的附註主題。 |
| 是否要充實實體? | 核取方塊 | 已勾選 | 是 | 指定動作是否應使用「Enrich IOC」輸出內容擴充實體。 |
「主題」欄位的 DDL 值
| 顯示文字 | 要求中要傳送的字串 |
|---|---|
| 無 (預設) | 不傳送任何內容 |
| 執行者設定檔 | TXSFt2 |
| 隨選分析師報告 | VlIhvH |
| 網路威脅分析 | TXSFt1 |
| 快訊 | TXSFt0 |
| 指標 | TXSFt4 |
| 參考用 | UrMRnT |
| 惡意軟體/工具設定檔 | UX0YlU |
| 來源設定檔 | UZmDut |
| 威脅領導者 | TXSFt3 |
| 已驗證的情報快訊事件 | TXSFt5 |
| 每週威脅情勢 | VlIhvG |
| YARA 規則 | VTrvnW |
執行時間
這項動作適用於下列實體類型:
- IP 位址
- 網址
- Filehash
- CVE
- 網域
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| RF_doc_id | 以 JSON 格式提供時。 |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果執行「Enrich IOC」時,在 Recorded Future 上找不到至少一個實體:「Following entities does not exist in Recorded Future -{non_existing_entities} 動作應會失敗: 如果沒有任何實體具有 RF_ID,且在豐富 IOC 中找不到這些實體: 「Recorded Future 找不到『Enrich IOC』中提供的任何實體,因此無法發布分析師附註。」 如果收到 HTTP 代碼 401 (未經授權) -「Unauthorized - please check your API token and try again」(未經授權 - 請檢查 API 權杖並重試) |
一般 |
更新警告內容
說明
更新 Recorded Future 中的快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要更新的快訊 ID。 |
| 狀態 | DDL | 請選取一項 可能的值: 未指派 已指派 待處理 已關閉 新增 已解決 Flag For Tuning |
否 | 指定快訊的新狀態。 |
| 指派對象 | 字串 | 否 | 指定要將快訊指派給誰。您可以提供 ID、使用者名稱、使用者雜湊或電子郵件。 | |
| 注意事項 | 字串 | 指定要在快訊中更新的附註。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 這項動作不應失敗,也不應停止劇本執行: 動作應會失敗並停止執行劇本: 如果錯誤清單不為空白:「執行動作『更新快訊』時發生錯誤。原因:{0}''.format(error/reason) 如果「狀態」為「請選取」,且未提供其他值: 「執行『更新快訊』動作時發生錯誤。原因:至少一個動作參數應提供值。 |
一般 |
連接器
Recorded Future - Security Alerts Connector
說明
從 Recorded Future 提取安全警示。
許可清單和黑名單會使用 Recorded Future 規則名稱。
在 Google SecOps 中設定 Recorded Future - Security Alerts 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | title | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | ID | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
環境欄位名稱 |
字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 網址 | 字串 | https://api.recordedfuture.com | 是 | Recorded Future 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Recorded Future 的 API 金鑰。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取事件的小時數。 |
| 要擷取的警告數上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的快訊數量。 |
| 嚴重性 | 字串 | 中 | 是 | 嚴重程度為下列其中一個值:低、中、高、嚴重。 |
| 取得快訊詳細資料 | 核取方塊 | 已取消勾選 | 是 | 從 Recorded Future 取得快訊的完整詳細資料。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,請確認連線至 Recorded Future 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。