Diese Seite wurde von der Cloud Translation API übersetzt.

Siemplify ThreatFuse

Integrationsversion: 14.0

Siemplify ThreatFuse-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Webstamm	String	https://siemplify.threatstream.com	Ja	Web-Root-Verzeichnis der Siemplify ThreatFuse-Instanz. Dieser Parameter wird verwendet, um Berichtslinks für Integrationsartikel zu erstellen.
API-Stamm	String	https://api.threatstream.com	Ja	API-Stammverzeichnis der Siemplify ThreatFuse-Instanz.
E-Mail-Adresse	String	–	Ja	E-Mail-Adresse des Siemplify ThreatFuse-Kontos.
API-Schlüssel	Passwort	–	Ja	API-Schlüssel des Siemplify ThreatFuse-Kontos.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Siemplify ThreatFuse-Server gültig ist.

So erhalten Sie den API-Schlüssel:

Rufen Sie in den ThreatStream-Kontoeinstellungen den Tab Mein Profil auf.
Rufen Sie den Bereich Kontoinformationen auf.
Kopieren Sie den Wert für API-Schlüssel.

Anwendungsbereiche

Entitäten anreichern.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Siemplify ThreatFuse mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!“ (Die Verbindung zum Siemplify ThreatFuse-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Siemplify ThreatFuse-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!“ (Die Verbindung zum Siemplify ThreatFuse-Server wurde mit den angegebenen Verbindungsparametern hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn das nicht funktioniert: „Verbindung zum Siemplify ThreatFuse-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

Allgemein

Entitäten anreichern

Beschreibung

Informationen zu IP-Adressen, URLs, Hashes und E-Mail-Adressen aus Siemplify ThreatFuse abrufen. Wenn mehrere Datensätze für dieselbe Einheit gefunden werden, wird die Aktion mit dem neuesten Datensatz angereichert.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Schwellenwert für Schweregrad	DDL	Mittel Möglicher Wert: Sehr hoch Hoch Mittel Niedrig	Ja	Geben Sie den Schweregradschwellenwert für die Entität an, damit sie als verdächtig markiert wird. Wenn mehrere Datensätze für dieselbe Einheit gefunden werden, wird die Aktion mit dem höchsten Schweregrad aus allen verfügbaren Datensätzen ausgeführt.
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert für die Entität an, um sie als verdächtig zu kennzeichnen. Der Höchstwert beträgt 100. Wenn mehrere Datensätze für die Einheit gefunden werden, wird der Durchschnittswert verwendet. Aktive Einträge haben Priorität.
Status „Falsch positiv“ ignorieren	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird der Status „Falsch positiv“ ignoriert und die Einheit wird basierend auf den Parametern „Schweregradschwellenwert“ und „Konfidenzwert“ als verdächtig markiert. Wenn diese Option deaktiviert ist, werden falsch positive Entitäten niemals als verdächtig gekennzeichnet, unabhängig davon, ob sie die Bedingungen für „Schweregradschwellenwert“ und „Vertrauensschwellenwert“ erfüllen.
Bedrohungstyp dem Fall hinzufügen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden dem Fall Bedrohungstypen der Entität aus allen Datensätzen als Tags hinzugefügt. Beispiel: apt
Nur Informationen zu verdächtigen Entitäten	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, werden nur für Entitäten, die die Parameter „Schweregradschwellenwert“ und „Zuverlässigkeitsschwellenwert“ überschritten haben, Statistiken erstellt.
Insight erstellen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird für jede verarbeitete Einheit eine Statistik hinzugefügt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
TFuse_id	Wenn in JSON verfügbar
TFuse_status	Wenn in JSON verfügbar
TFuse_itype	Wenn in JSON verfügbar
TFuse_expiration_time	Wenn in JSON verfügbar
TFuse_ip	Wenn in JSON verfügbar
TFuse_feed_id	Wenn in JSON verfügbar
TFuse_confidence	Wenn in JSON verfügbar
TFuse_uuid	Wenn in JSON verfügbar
TFuse_retina_confidence	Wenn in JSON verfügbar
TFuse_trusted_circle_ids	Wenn in JSON verfügbar
TFuse_source	Wenn in JSON verfügbar
TFuse_latitude	Wenn in JSON verfügbar
TFuse_type	Wenn in JSON verfügbar
TFuse_description	Wenn in JSON verfügbar
TFuse_tags	Wenn in JSON verfügbar
TFuse_threat_score	Wenn in JSON verfügbar
TFuse_source_confidence	Wenn in JSON verfügbar
TFuse_modification_time	Wenn in JSON verfügbar
TFuse_org_name	Wenn in JSON verfügbar
TFuse_asn	Wenn in JSON verfügbar
TFuse_creation_time	Wenn in JSON verfügbar
TFuse_tlp	Wenn in JSON verfügbar
TFuse_country	Wenn in JSON verfügbar
TFuse_longitude	Wenn in JSON verfügbar
TFuse_severity	Wenn in JSON verfügbar
TFuse_subtype	Wenn in JSON verfügbar
TFuse_report	Wenn in JSON verfügbar

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success=true): „Die folgenden Entitäten wurden mit Siemplify ThreatFuse angereichert: \n {0}“.format(entity.identifier list) Wenn bestimmte Entitäten nicht angereichert werden können (is_success=true): „Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}“.format([entity.identifier]) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „No entities were enriched.“ (Es wurden keine Entitäten angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“	Allgemein
CSV	Tabellenname:Links zu ähnlichen Analysen: {entity_identifier} Tabellenspalten: Name: wird als Schlüssel in der zweiten Antwort zugeordnet (Beispiel: VirusTotal) Link: , als Wert dem Schlüssel zugeordnet	Allgemein
CSV	Schlüssel basierend auf der Anreicherungstabelle. Das Präfix „No Enrichment“ (Keine Anreicherung) ist ein Parameter und wird großgeschrieben.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success=true): „Die folgenden Entitäten wurden mit Siemplify ThreatFuse angereichert: \n {0}“.format(entity.identifier list)

Wenn bestimmte Entitäten nicht angereichert werden können (is_success=true): „Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}“.format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „No entities were enriched.“ (Es wurden keine Entitäten angereichert.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“

Allgemein

CSV

Tabellenname:Links zu ähnlichen Analysen: {entity_identifier}

Tabellenspalten:

Name: wird als Schlüssel in der zweiten Antwort zugeordnet (Beispiel: VirusTotal)
Link: , als Wert dem Schlüssel zugeordnet

Allgemein

CSV

Schlüssel basierend auf der Anreicherungstabelle.

Das Präfix „No Enrichment“ (Keine Anreicherung) ist ein Parameter und wird großgeschrieben.

Allgemein

Zugehörige Hashes abrufen

Beschreibung

Rufen Sie entitätsbezogene Hashes basierend auf den Zuordnungen in Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Maximum: 100
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Schauspielern gesucht.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Angriffsmustern gesucht.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn aktiviert, werden Kampagnen durchsucht.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn die Funktion aktiviert ist, wird bei der Aktion nach möglichen Vorgehensweisen gesucht.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion für Identitäten ausgeführt.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion in Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche auch die Infrastruktur berücksichtigt.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach TTPs gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender Hashes	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Hashes an.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related hashes from Siemplify ThreatFuse“ (Zugehörige Hashes wurden erfolgreich aus Siemplify ThreatFuse abgerufen) Wenn keine Hashes gefunden werden (is_success=false): „No related hashes were found.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Get Related Hashes‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related hashes from Siemplify ThreatFuse“ (Zugehörige Hashes wurden erfolgreich aus Siemplify ThreatFuse abgerufen)

Wenn keine Hashes gefunden werden (is_success=false): „No related hashes were found.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Get Related Hashes‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“

Allgemein

Zugehörige URLs abrufen

Beschreibung

Rufen Sie unternehmensbezogene URLs basierend auf den Zuordnungen in Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Maximum: 100
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Schauspielern gesucht.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Angriffsmustern gesucht.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn aktiviert, werden Kampagnen durchsucht.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn aktiviert, sucht die Aktion nach Handlungsoptionen.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion für Identitäten ausgeführt.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion in Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche auch die Infrastruktur berücksichtigt.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach TTPs gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender URLs	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden URLs an.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine URL für alle Entitäten gefunden wird (is_success=true): „Successfully retrieved related urls from Siemplify ThreatFuse.“ Wenn keine Hashes gefunden werden (is_success=false): „No related URLs were found.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Ähnliche URLs abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine URL für alle Entitäten gefunden wird (is_success=true): „Successfully retrieved related urls from Siemplify ThreatFuse.“

Wenn keine Hashes gefunden werden (is_success=false): „No related URLs were found.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Ähnliche URLs abrufen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“

Allgemein

Zugehörige Domains abrufen

Beschreibung

Rufen Sie entitätsbezogene Domains basierend auf den Zuordnungen in Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Maximum: 100
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Schauspielern gesucht.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Angriffsmustern gesucht.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn aktiviert, werden Kampagnen durchsucht.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn aktiviert, sucht die Aktion nach Handlungsoptionen.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion für Identitäten ausgeführt.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion in Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche auch die Infrastruktur berücksichtigt.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach TTPs gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender Domains	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Domains an.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
"domains": ["www.google.com"]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (issuccess=true): „Successfully retrieved related domains from Siemplify ThreatFuse.“ Wenn keine Hashes gefunden werden (issuccess=false): „No related domains were found.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Zugehörige Domains abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (issuccess=true): „Successfully retrieved related domains from Siemplify ThreatFuse.“

Wenn keine Hashes gefunden werden (issuccess=false): „No related domains were found.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Zugehörige Domains abrufen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss im Bereich von 0 bis 100 liegen.“

Allgemein

Verknüpfte E‑Mail-Adressen abrufen

Beschreibung

Rufen Sie entitätsbezogene E‑Mail-Adressen basierend auf den Zuordnungen in Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Maximum: 100
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Schauspielern gesucht.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Angriffsmustern gesucht.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn aktiviert, werden Kampagnen durchsucht.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn aktiviert, sucht die Aktion nach Handlungsoptionen.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion für Identitäten ausgeführt.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion in Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche auch die Infrastruktur berücksichtigt.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach TTPs gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender Domains	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Domains an.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (issuccess=true): „Successfully retrieved related email addresses from Siemplify ThreatFuse.“ Wenn keine Hashes gefunden werden (issuccess=false): „Es wurden keine zugehörigen E‑Mail-Adressen gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Zugehörige E‑Mail-Adressen abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (issuccess=true): „Successfully retrieved related email addresses from Siemplify ThreatFuse.“

Wenn keine Hashes gefunden werden (issuccess=false): „Es wurden keine zugehörigen E‑Mail-Adressen gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Zugehörige E‑Mail-Adressen abrufen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“

Allgemein

Zugehörige IPs abrufen

Beschreibung

Rufen Sie die mit der Entität verknüpften IP-Adressen basierend auf den Zuordnungen in Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Konfidenzwert	Ganzzahl	–	Ja	Geben Sie den Konfidenzwert an. Maximum: 100
Bedrohungsbulletins durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird in den Threat Bulletins gesucht.
Schauspieler suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Schauspielern gesucht.
Nach Angriffsmustern suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Angriffsmustern gesucht.
Suchkampagnen	Kästchen	Aktiviert	Nein	Wenn aktiviert, werden Kampagnen durchsucht.
Mögliche Vorgehensweisen suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den möglichen Vorgehensweisen gesucht.
Suchidentitäten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion für Identitäten ausgeführt.
Vorfälle bei der Suche	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion in Vorfällen gesucht.
Infrastrukturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Suche auch die Infrastruktur berücksichtigt.
Nach Intrusion Sets suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Intrusion Sets gesucht.
Malware suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Malware gesucht.
Signaturen durchsuchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Signaturen gesucht.
Suchoptionen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion in den Tools gesucht.
TTPs suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach TTPs gesucht.
Nach Sicherheitslücken suchen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird bei der Aktion nach Sicherheitslücken gesucht.
Maximale Anzahl zurückzugebender Domains	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Domains an.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen
Bedrohungsakteur
CVE

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung\*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related IPs from Siemplify ThreatFuse.“ Wenn keine Hashes gefunden werden (is_success=false): „No related IPs were found.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related IPs‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung\*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Successfully retrieved related IPs from Siemplify ThreatFuse.“

Wenn keine Hashes gefunden werden (is_success=false): „No related IPs were found.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related IPs‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Konfidenzschwellenwert“ nicht im Bereich von 0 bis 100 liegt: „Der Wert für ‚Konfidenzschwellenwert‘ muss zwischen 0 und 100 liegen.“

Allgemein

Zugehörige Verknüpfungen abrufen

Beschreibung

Ruft entitätsbezogene Zuordnungen aus Siemplify ThreatFuse ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Rückgabekampagnen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Kampagnen und Details dazu abgerufen.
Bedrohungsbulletins zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden die zugehörigen Bedrohungsbulletins und Details dazu abgerufen.
Rückgabe von Schauspielern	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Akteure und Details zu ihnen abgerufen.
Angriffsmuster zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, ruft die Aktion zugehörige Angriffsmuster und Details dazu ab.
Return Courses Of Action	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Maßnahmen und Details dazu abgerufen.
Identitäten zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Identitäten und Details dazu abgerufen.
Vorfälle zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, ruft die Aktion zugehörige Vorfälle und Details dazu ab.
Infrastruktur zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Infrastruktur und Details dazu abgerufen.
Einbruchserkennung zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Intrusion Sets und Details dazu abgerufen.
Malware zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden zugehörige Malware und Details dazu abgerufen.
Rückgabesignaturen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, ruft die Aktion zugehörige Signaturen und Details dazu ab.
Rückgabe-Tools	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion zugehörige Tools und Details dazu abgerufen.
TTPs zurückgeben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, ruft die Aktion zugehörige TTPs und Details dazu ab.
Rückgabe von Sicherheitslücken	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden zugehörige Sicherheitslücken und Details dazu abgerufen.
Kampagnenentität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren „Kampagne“-Zuordnungen erstellt.
Entität „Schauspieler“ erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren „Actor“-Verknüpfungen erstellt.
Signatur-Entität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion eine Entität aus den verfügbaren „Signatur“-Verknüpfungen erstellt.
Sicherheitslückenentität erstellen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion ein Element aus den verfügbaren „Vulnerability“-Verknüpfungen erstellt.
Insight erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird auf Grundlage der Ergebnisse eine Statistik erstellt.
Tag für Anfragen erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden durch die Aktion Fall-Tags auf Grundlage der Ergebnisse erstellt.
Maximale Anzahl zurückzugebender Verknüpfungen	Ganzzahl	–	Nein	Geben Sie die Anzahl der Zuordnungen an, die pro Typ zurückgegeben werden sollen.
Maximale Anzahl zurückzugebender Statistiken	Ganzzahl	3	Nein	Geben Sie die Anzahl der wichtigsten Statistik-Ergebnisse zu IOCs an, die zurückgegeben werden sollen. Hinweis:Bei der Aktion werden maximal 1.000 IOCs verarbeitet, die mit der Zuordnung zusammenhängen. Wenn Sie „0“ angeben, wird nicht versucht, Statistiken abzurufen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine Verknüpfung zwischen Entitäten gefunden wird (is_success=true): „Successfully retrieved related associations from Siemplify ThreatFuse“ (Zugehörige Verknüpfungen wurden erfolgreich aus Siemplify ThreatFuse abgerufen) Wenn keine Verknüpfungen gefunden werden (is_success=false): „No related associations were found.“ (Es wurden keine zugehörigen Verknüpfungen gefunden.) Asynchrone Nachricht: „Warten auf das Abrufen aller Zuordnungsdetails“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Get Related Association‘. Grund: {0}''.format(error.Stacktrace)	Allgemein
CSV	Name: „Related Associations“ (Ähnliche Verknüpfungen) Spalten: ID Name Typ (Name der Verknüpfung) Status (wird als „status/display_name“ zugeordnet)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine Verknüpfung zwischen Entitäten gefunden wird (is_success=true): „Successfully retrieved related associations from Siemplify ThreatFuse“ (Zugehörige Verknüpfungen wurden erfolgreich aus Siemplify ThreatFuse abgerufen)

Wenn keine Verknüpfungen gefunden werden (is_success=false): „No related associations were found.“ (Es wurden keine zugehörigen Verknüpfungen gefunden.)

Asynchrone Nachricht: „Warten auf das Abrufen aller Zuordnungsdetails“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Get Related Association‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

CSV

Name: „Related Associations“ (Ähnliche Verknüpfungen)

Spalten:

ID
Name
Typ (Name der Verknüpfung)
Status (wird als „status/display_name“ zugeordnet)

Allgemein

Observables einreichen

Beschreibung

Senden Sie ein Observable an Siemplify ThreatFuse basierend auf den Entitäten „IP“, „URL“, „Hash“ und „E-Mail“.

Wo finde ich die IDs von vertrauenswürdigen Kreisen?

Suchen Sie den vertrauenswürdigen Kreis in Siemplify ThreatFuse und klicken Sie auf seinen Namen, um die ID zu finden. Die URL in der Adressleiste enthält die ID.

Beispiel: https://siemplify.threatstream.com/search?trustedcircles=13.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Klassifizierung	DDL	Privat Mögliche Werte: Öffentlich Privat	Ja	Geben Sie die Klassifizierung des beobachtbaren Elements an.
Bedrohungstyp	DDL	APT Mögliche Werte APT Adware Ungewöhnlich Anonymisierung Bot Brute C2 Gehackt Kryptowährungen Datenleck DDOS Dynamisches DNS Exfil Exploit Betrug Hacking-Tool I2P Informationell Malware P2 Geparkt Phish Scannen Sinkhole Soziale Netzwerke Spam Unterdrücken Verdächtig TOR VPS	Ja	Geben Sie den Bedrohungstyp für die Observables an.
Quelle	String	Siemplify	Nein	Geben Sie die Intelligence-Quelle für das Observable an.
Ablaufdatum	Ganzzahl	–	Nein	Geben Sie das Ablaufdatum für das Observable in Tagen an. Wenn hier nichts angegeben ist, wird durch die Aktion ein Observable erstellt, das nie abläuft.
IDs vertrauenswürdiger Kreise	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste vertrauenswürdiger Kreis-IDs an. Beobachtungen werden mit diesen vertrauenswürdigen Kreisen geteilt.
TLP	DDL	Wählen Sie eine Option aus. Mögliche Werte: Wählen Sie eine Option aus. Rot Grün Bernsteingelb Weiß	Nein	Geben Sie die TLP für Ihre Observables an.
Zuverlässigkeit	Ganzzahl	–	Nein	Geben Sie an, wie hoch die Konfidenz für die Beobachtung sein soll. Hinweis:Dieser Parameter funktioniert nur, wenn Sie in Ihrer Organisation Observables erstellen und der Parameter „Override System Confidence“ aktiviert ist.
System-Konfidenz überschreiben	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, haben erstellte Observables die im Parameter „Confidence“ (Konfidenz) angegebene Konfidenz. Hinweis:Wenn dieser Parameter aktiviert ist, können Sie keine Beobachtungen in vertrauenswürdigen Kreisen und öffentlich teilen.
Anonyme Einsendung	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird die Aktion anonym ausgeführt.
Tags	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Tags an, die Sie dem beobachtbaren Element hinzufügen möchten.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Wenn der Vorgang für einige Entitäten fehlschlägt (abgelehnte Entitäten) (is_success=true): „Die Aktion konnte die folgenden Entitäten in Siemplify ThreatFuse nicht erfolgreich senden und genehmigen:\n{0}“.format([entity.identifier]) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „Es wurden keine Entitäten an Siemplify ThreatFuse gesendet.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Observable senden‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Submit Observable‘. Grund: {0}''.format(message)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Wenn der Vorgang für einige Entitäten fehlschlägt (abgelehnte Entitäten) (is_success=true): „Die Aktion konnte die folgenden Entitäten in Siemplify ThreatFuse nicht erfolgreich senden und genehmigen:\n{0}“.format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success=false): „Es wurden keine Entitäten an Siemplify ThreatFuse gesendet.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Observable senden‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Submit Observable‘. Grund: {0}''.format(message)

Allgemein

Als falsch positiv melden

Beschreibung

Entitäten in Siemplify ThreatFuse als falsch positiv melden.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Grund	String	–	Ja	Geben Sie den Grund an, warum Sie Entitäten als falsch positiv markieren möchten.
Kommentar	String	–	Ja	Geben Sie zusätzliche Informationen zu Ihrer Entscheidung an, die Einheit als falsch positiv zu kennzeichnen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hash
IP-Adresse
URL
Reguläre Ausdrücke für Nutzernamen mit E‑Mail-Adressen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Die folgenden Entitäten wurden erfolgreich als Falschmeldungen in Siemplify ThreatFuse gemeldet:\n{0}“.format(entity.identifier list) Wenn bestimmte Entitäten nicht als Falsch positiv markiert werden können (is_success=true): „Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}“.format([entity.identifier]) Wenn die Anreicherung für alle Entitäten fehlschlägt (issuccess=false): „Es wurden keine Entitäten als falsch positiv gemeldet.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Als Falschmeldung melden‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens ein Hash für Entitäten gefunden wird (is_success=true): „Die folgenden Entitäten wurden erfolgreich als Falschmeldungen in Siemplify ThreatFuse gemeldet:\n{0}“.format(entity.identifier list)

Wenn bestimmte Entitäten nicht als Falsch positiv markiert werden können (is_success=true): „Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}“.format([entity.identifier])

Wenn die Anreicherung für alle Entitäten fehlschlägt (issuccess=false): „Es wurden keine Entitäten als falsch positiv gemeldet.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Als Falschmeldung melden‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Connector

Siemplify ThreatFuse – Observables Connector konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Siemplify ThreatFuse – Observables Connector

Beobachtbare Elemente aus Siemplify ThreatFuse abrufen.

Empfehlungen

Bei der Konfiguration des Connectors empfiehlt es sich, eine separate Umgebung zu verwenden, damit Analysten nicht mit allen spekulativen Benachrichtigungen überflutet werden.

Wo finde ich die IDs von vertrauenswürdigen Kreisen?

Suchen Sie den vertrauenswürdigen Kreis in Siemplify ThreatFuse und klicken Sie auf seinen Namen, um die ID zu finden. Die URL in der Adressleiste enthält die ID.

Beispiel: https://siemplify.threatstream.com/search?trustedcircles=13.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Typ	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	300	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	https://api.threat stream.com	Ja	API-Stammverzeichnis der Siemplify ThreatFuse-Instanz.
E-Mail-Adresse	String	–	Ja	E-Mail-Adresse des Siemplify ThreatFuse-Kontos.
API-Schlüssel	Passwort	–	Ja	API-Schlüssel des Siemplify ThreatFuse-Kontos.
Niedrigster abzurufender Schweregrad	String	Hoch	Ja	Niedrigster Schweregrad, der zum Abrufen von Observables verwendet wird. Mögliche Werte: Low Mittel Hoch Sehr hoch
Niedrigste Konfidenz zum Abrufen	Ganzzahl	50	Ja	Niedrigste Zuverlässigkeit, die zum Abrufen von Observables verwendet wird. Der Höchstwert ist 100.
Quellfeedfilter	CSV	–	Nein	Durch Kommas getrennte Liste der Feed-IDs, die zum Erfassen von Observables verwendet werden sollen. Beispiel: 515,4129
Filter für beobachtbare Typen	CSV	url, domain, email, hash, ip, ipv6	Nein	Durch Kommas getrennte Liste der zu erfassenden beobachtbaren Typen. Beispiel: url, domain Mögliche Werte: url, domain, email, hash, ip, ipv6
Filter für Observable-Status	CSV	Aktiv	Nein	Durch Kommas getrennte Liste der beobachtbaren Status, die zum Erfassen neuer Daten verwendet werden sollen. Beispiel: active,inactive Mögliche Werte: active,inactive,falsepos
Filter für Bedrohungstyp	CSV	–	Nein	Eine durch Kommas getrennte Liste der Bedrohungstypen, die zum Erfassen von Observables verwendet werden sollen. Beispiel: аdware,anomalous,anonymization,apt Mögliche Werte: adware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filter für vertrauenswürdige Kreise	CSV	–	Nein	Durch Kommas getrennte Liste der IDs vertrauenswürdiger Kreise, die zum Erfassen von Observables verwendet werden sollen. Beispiel: 146,147
Filter für Tag-Namen	CSV	–	Nein	Durch Kommas getrennte Liste von Tagnamen, die mit Observables verknüpft sind, die für die Aufnahme verwendet werden sollen. Beispiel: Microsoft-Anmeldedaten, Phishing.
Quellfeed-Gruppierung	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden beobachtbare Elemente aus derselben Quelle im selben Siemplify-Hinweis gruppiert.
Maximale Anzahl der Tage für den Rückwärtsabruf	Ganzzahl	1	Nein	Anzahl der Tage, ab denen Observables abgerufen werden sollen.
Maximale Anzahl von Beobachtungen pro Benachrichtigung	Ganzzahl	100	Nein	Wie viele Observables sollten Teil einer Siemplify-Benachrichtigung sein? Der Höchstwert beträgt 200.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Siemplify Threatfuse-Server geprüft.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung.

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten