Esta página se ha traducido con Cloud Translation API.

Siemplify ThreatFuse

Versión de integración: 14.0

Configurar la integración de Siemplify ThreatFuse en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz web	Cadena	https://siemplify.threatstream.com	Sí	Raíz web de la instancia de Siemplify ThreatFuse. Este parámetro se usa para crear enlaces de informes entre elementos de integración.
Raíz de la API	Cadena	https://api.threatstream.com	Sí	Raíz de la API de la instancia de Siemplify ThreatFuse.
Dirección de correo electrónico	Cadena	N/A	Sí	Dirección de correo de la cuenta de Siemplify ThreatFuse.
Clave de API	Contraseña	N/A	Sí	Clave de API de la cuenta de Siemplify ThreatFuse.
Verificar SSL	Casilla	Marcada	Sí	Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Siemplify ThreatFuse sea válido.

Para obtener la clave de API, sigue estos pasos:

En la configuración de tu cuenta de ThreatStream, ve a la pestaña Mi perfil.
Ve a la sección Información de la cuenta.
Copia el valor de Clave de API.

Casos prácticos

Enriquecer entidades.

Acciones

Ping

Descripción

Prueba la conectividad con Siemplify ThreatFuse con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!" (Se ha conectado correctamente al servidor de Siemplify ThreatFuse con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor de ThreatFuse de Siemplify. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!" (Se ha conectado correctamente al servidor de Siemplify ThreatFuse con los parámetros de conexión proporcionados).

La acción debería fallar y detener la ejecución de la guía:

Si no se resuelve correctamente: "No se ha podido conectar con el servidor de ThreatFuse de Siemplify. Error: {0}".format(exception.stacktrace)

General

Enriquecer entidades

Descripción

Obtiene información sobre IPs, URLs, hashes y direcciones de correo electrónico de Siemplify ThreatFuse. Si se encuentran varios registros de la misma entidad, la acción se enriquecerá con el registro más reciente.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de gravedad	DDL	Medio Valor posible: Muy alta Alta Medio Bajo	Sí	Especifica el umbral de gravedad de la entidad para marcarla como sospechosa. Si se encuentran varios registros de la misma entidad, la acción toma la gravedad más alta de todos los registros disponibles.
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza de la entidad para marcarla como sospechosa. El máximo es 100. Si se encuentran varios registros de la entidad, la acción calcula la media. Los registros activos tienen prioridad.
Ignorar el estado de falso positivo	Casilla	Desmarcada	No	Si está habilitada, la acción ignora el estado de falso positivo y marca la entidad como sospechosa en función de los parámetros "Umbral de gravedad" y "Umbral de confianza". Si está inhabilitada, la acción nunca etiquetará las entidades falsas positivas como sospechosas, independientemente de si cumplen o no las condiciones de "Umbral de gravedad" y "Umbral de confianza".
Add Threat Type To Case	Casilla	Desmarcada	No	Si se habilita, la acción añade los tipos de amenazas de la entidad de todos los registros como etiquetas al caso. Ejemplo: apt
Solo estadísticas de entidad sospechosa	Casilla	Desmarcada	Sí	Si está habilitada, la acción solo crea estadísticas de las entidades que han superado los parámetros "Umbral de gravedad" y "Umbral de confianza".
Crear estadística	Casilla	Desmarcada	Sí	Si se habilita, la acción añade una estadística por entidad procesada.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
TFuse_id	Cuando esté disponible en JSON
TFuse_status	Cuando esté disponible en JSON
TFuse_itype	Cuando esté disponible en JSON
TFuse_expiration_time	Cuando esté disponible en JSON
TFuse_ip	Cuando esté disponible en JSON
TFuse_feed_id	Cuando esté disponible en JSON
TFuse_confidence	Cuando esté disponible en JSON
TFuse_uuid	Cuando esté disponible en JSON
TFuse_retina_confidence	Cuando esté disponible en JSON
TFuse_trusted_circle_ids	Cuando esté disponible en JSON
TFuse_source	Cuando esté disponible en JSON
TFuse_latitude	Cuando esté disponible en JSON
TFuse_type	Cuando esté disponible en JSON
TFuse_description	Cuando esté disponible en JSON
TFuse_tags	Cuando esté disponible en JSON
TFuse_threat_score	Cuando esté disponible en JSON
TFuse_source_confidence	Cuando esté disponible en JSON
TFuse_modification_time	Cuando esté disponible en JSON
TFuse_org_name	Cuando esté disponible en JSON
TFuse_asn	Cuando esté disponible en JSON
TFuse_creation_time	Cuando esté disponible en JSON
TFuse_tlp	Cuando esté disponible en JSON
TFuse_country	Cuando esté disponible en JSON
TFuse_longitude	Cuando esté disponible en JSON
TFuse_severity	Cuando esté disponible en JSON
TFuse_subtype	Cuando esté disponible en JSON
TFuse_report	Cuando esté disponible en JSON

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Se han enriquecido correctamente las siguientes entidades con Siemplify ThreatFuse: \n {0}".format(entity.identifier list) Si no se pueden enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enriquecido ninguna entidad." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General
CSV	Nombre de la tabla: Enlaces de análisis relacionados: {entity_identifier} Columnas de tabla: Nombre: se asigna como clave en la segunda respuesta (por ejemplo, VirusTotal) Enlace: asignado como valor a la clave	General
CSV	Claves basadas en la tabla de enriquecimiento. El parámetro No Enrichment Prefix está escrito con mayúsculas.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Se han enriquecido correctamente las siguientes entidades con Siemplify ThreatFuse: \n {0}".format(entity.identifier list)

Si no se pueden enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enriquecido ninguna entidad."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

CSV

Nombre de la tabla: Enlaces de análisis relacionados: {entity_identifier}

Columnas de tabla:

Nombre: se asigna como clave en la segunda respuesta (por ejemplo, VirusTotal)
Enlace: asignado como valor a la clave

General

CSV

Claves basadas en la tabla de enriquecimiento.

El parámetro No Enrichment Prefix está escrito con mayúsculas.

General

Get Related Hashes

Descripción

Recupera los hashes relacionados con la entidad en función de las asociaciones de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla	Marcada	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción busca entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si está habilitada, la acción busca patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la acción busca entre las opciones.
Buscar identidades	Casilla	Marcada	No	Si está habilitada, la acción busca entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción busca entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si está habilitada, la acción busca entre malware.
Buscar firmas	Casilla	Marcada	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si está habilitada, la acción busca entre las TTPs.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción busca vulnerabilidades.
Número máximo de hashes que se devolverán	Entero	50	No	Especifica el número de hashes que se deben devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Atacante
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related hashes from Siemplify ThreatFuse" ("Se han recuperado correctamente los hashes relacionados de Siemplify ThreatFuse") Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ningún hash relacionado". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related hashes from Siemplify ThreatFuse"
("Se han recuperado correctamente los hashes relacionados de Siemplify ThreatFuse")

Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ningún hash relacionado".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Obtener URLs relacionadas

Descripción

Recupera URLs relacionadas con entidades en función de las asociaciones de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla	Marcada	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción busca entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si está habilitada, la acción busca patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la acción busca entre las opciones disponibles.
Buscar identidades	Casilla	Marcada	No	Si está habilitada, la acción busca entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción busca entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si está habilitada, la acción busca entre malware.
Buscar firmas	Casilla	Marcada	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si está habilitada, la acción busca entre las TTPs.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción busca vulnerabilidades.
Número máximo de URLs que se devolverán	Entero	50	No	Especifica el número de URLs que se deben devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Atacante
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos una URL en las entidades (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." (Se han recuperado correctamente las URLs relacionadas de Siemplify ThreatFuse). Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ninguna URL relacionada." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener URLs relacionadas". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos una URL en las entidades (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." (Se han recuperado correctamente las URLs relacionadas de Siemplify ThreatFuse).

Si no se encuentra ningún hash (is_success=false): "No se ha encontrado ninguna URL relacionada."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener URLs relacionadas". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Get Related Domains

Descripción

Recupera los dominios relacionados con entidades en función de las asociaciones de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla	Marcada	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción busca entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si está habilitada, la acción busca patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la acción busca entre las opciones disponibles.
Buscar identidades	Casilla	Marcada	No	Si está habilitada, la acción busca entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción busca entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si está habilitada, la acción busca entre malware.
Buscar firmas	Casilla	Marcada	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si está habilitada, la acción busca entre las TTPs.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción busca vulnerabilidades.
Número máximo de dominios que se devolverán	Entero	50	No	Especifica el número de dominios que se van a devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Atacante
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"domains": ["www.google.com"]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." (Se han recuperado correctamente los dominios relacionados de Siemplify ThreatFuse). Si no se encuentra ningún hash (issuccess=false): "No se han encontrado dominios relacionados." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Domains". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." (Se han recuperado correctamente los dominios relacionados de Siemplify ThreatFuse).

Si no se encuentra ningún hash (issuccess=false): "No se han encontrado dominios relacionados."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Domains". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Obtener direcciones de correo relacionadas

Descripción

Recupera las direcciones de correo relacionadas con una entidad en función de las asociaciones de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla	Marcada	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción busca entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si está habilitada, la acción busca patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la acción busca entre las opciones disponibles.
Buscar identidades	Casilla	Marcada	No	Si está habilitada, la acción busca entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción busca entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si está habilitada, la acción busca entre malware.
Buscar firmas	Casilla	Marcada	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si está habilitada, la acción busca entre las TTPs.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción busca vulnerabilidades.
Número máximo de dominios que se devolverán	Entero	50	No	Especifica el número de dominios que se van a devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Atacante
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse." ("Se han recuperado correctamente las direcciones de correo relacionadas de Siemplify ThreatFuse"). Si no se encuentra ningún hash (issuccess=false): "No se ha encontrado ninguna dirección de correo relacionada". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener direcciones de correo relacionadas". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse."
("Se han recuperado correctamente las direcciones de correo relacionadas de Siemplify ThreatFuse").

Si no se encuentra ningún hash (issuccess=false): "No se ha encontrado ninguna dirección de correo relacionada".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener direcciones de correo relacionadas". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Get Related IPs

Descripción

Recupera las direcciones IP relacionadas con entidades en función de las asociaciones de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla	Marcada	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla	Marcada	No	Si está habilitada, la acción busca entre los actores.
Buscar patrones de ataque	Casilla	Marcada	No	Si está habilitada, la acción busca patrones de ataque.
Campañas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla	Marcada	No	Si está habilitada, la búsqueda de acciones entre las posibles.
Buscar identidades	Casilla	Marcada	No	Si está habilitada, la acción busca entre las identidades.
Buscar incidentes	Casilla	Marcada	No	Si está habilitada, la acción busca entre los incidentes.
Buscar infraestructuras	Casilla	Marcada	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusiones	Casilla	Marcada	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar malware	Casilla	Marcada	No	Si está habilitada, la acción busca entre malware.
Buscar firmas	Casilla	Marcada	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla	Marcada	No	Si está habilitada, la acción busca entre las herramientas.
Buscar TTPs	Casilla	Marcada	No	Si está habilitada, la acción busca entre las TTPs.
Buscar vulnerabilidades	Casilla	Marcada	No	Si está habilitada, la acción busca vulnerabilidades.
Número máximo de dominios que se devolverán	Entero	50	No	Especifica el número de dominios que se van a devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Atacante
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida\*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse." Si no se encuentra ningún hash (is_success=false): "No se han encontrado IPs relacionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related IPs". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida\*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse."

Si no se encuentra ningún hash (is_success=false): "No se han encontrado IPs relacionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related IPs". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está comprendido entre 0 y 100: "El valor de "Umbral de confianza" debe estar comprendido entre 0 y 100".

General

Get Related Associations

Descripción

Recupera asociaciones relacionadas con entidades de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Return Campaigns	Casilla	Marcada	No	Si se habilita, la acción obtiene las campañas relacionadas y sus detalles.
Devuelve los boletines de amenazas	Casilla	Desmarcada	No	Si se habilita, la acción obtiene los boletines de amenazas relacionados y sus detalles.
Actores de retorno	Casilla	Desmarcada	No	Si se habilita, la acción obtiene los actores relacionados y detalles sobre ellos.
Devuelve los patrones de ataque	Casilla	Desmarcada	No	Si se habilita, la acción obtiene patrones de ataque relacionados y detalles sobre ellos.
Return Courses Of Action	Casilla	Desmarcada	No	Si se habilita, la acción obtiene las medidas relacionadas y los detalles sobre ellas.
Return Identities	Casilla	Desmarcada	No	Si se habilita, la acción obtiene las identidades relacionadas y detalles sobre ellas.
Devolver incidentes	Casilla	Desmarcada	No	Si se habilita, la acción obtiene los incidentes relacionados y sus detalles.
Return Infrastructure	Casilla	Desmarcada	No	Si está habilitada, la acción obtiene la infraestructura relacionada y detalles sobre ella.
Return Intrusion Sets	Casilla	Desmarcada	No	Si se habilita, la acción obtiene los conjuntos de intrusiones relacionados y detalles sobre ellos.
Return Malware	Casilla	Desmarcada	No	Si se habilita, la acción obtiene malware relacionado y detalles sobre él.
Return Signatures	Casilla	Desmarcada	No	Si se habilita, la acción obtiene las firmas relacionadas y los detalles sobre ellas.
Herramientas de devolución	Casilla	Desmarcada	No	Si se habilita, la acción obtiene las herramientas relacionadas y detalles sobre ellas.
Devolver TTPs	Casilla	Desmarcada	No	Si está habilitada, la acción obtiene las TTPs relacionadas y detalles sobre ellas.
Return Vulnerabilities	Casilla	Marcada	No	Si se habilita, la acción obtiene las vulnerabilidades relacionadas y sus detalles.
Crear entidad de campaña	Casilla	Desmarcada	No	Si se habilita, la acción crea una entidad a partir de las asociaciones de "Campaña" disponibles.
Crear entidad Actors	Casilla	Desmarcada	No	Si se habilita, la acción crea una entidad a partir de las asociaciones "Actor" disponibles.
Crear entidad de firma	Casilla	Desmarcada	No	Si se habilita, la acción crea una entidad a partir de las asociaciones de "Firma" disponibles.
Crear entidad de vulnerabilidad	Casilla	Desmarcada	No	Si se habilita, la acción crea una entidad a partir de las asociaciones "Vulnerability" disponibles.
Crear estadística	Casilla	Marcada	No	Si está habilitada, la acción crea una estadística basada en los resultados.
Crear etiqueta de caso	Casilla	Marcada	No	Si se habilita, la acción crea etiquetas de caso en función de los resultados.
Número máximo de asociaciones que se devolverán	Entero	N/A	No	Especifica el número de asociaciones que se devolverán por tipo.
Número máximo de estadísticas que se devolverán	Entero	3	No	Especifica el número de resultados de estadísticas principales sobre IOCs que se devolverán. Nota: La acción procesa un máximo de 1000 IOCs relacionados con la asociación. Si proporciona "0", la acción no intentará obtener información de las estadísticas.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha realizado correctamente y se ha encontrado al menos una asociación entre entidades (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" ("Se han recuperado correctamente las asociaciones relacionadas de Siemplify ThreatFuse") Si no se encuentra ninguna asociación (is_success=false): "No related associations were found." Mensaje asíncrono: esperando a que se recuperen todos los detalles de la asociación" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Association". Motivo: {0}''.format(error.Stacktrace)	General
CSV	Nombre: "Asociaciones relacionadas" Columnas: ID Nombre Tipo (nombre de la asociación) Estado (asignado como status/display_name)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha realizado correctamente y se ha encontrado al menos una asociación entre entidades (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" ("Se han recuperado correctamente las asociaciones relacionadas de Siemplify ThreatFuse")

Si no se encuentra ninguna asociación (is_success=false): "No related associations were found."

Mensaje asíncrono: esperando a que se recuperen todos los detalles de la asociación"

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Related Association". Motivo: {0}''.format(error.Stacktrace)

General

CSV

Nombre: "Asociaciones relacionadas"

Columnas:

ID
Nombre
Tipo (nombre de la asociación)
Estado (asignado como status/display_name)

General

Enviar observables

Descripción

Envía un observable a Siemplify ThreatFuse basado en las entidades IP, URL, Hash y Email.

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, localízalo en Siemplify ThreatFuse y haz clic en su nombre. La URL que se muestra en la barra de direcciones muestra el ID.

Por ejemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Clasificación	DDL	Privado Valores posibles: Público Privado	Sí	Especifica la clasificación del observable.
Tipo de amenaza	DDL	APT Valores posibles APT Adware Anómalos Anonimización Bot Brute C2 Vulnerado Crypto Fugas de datos DDOS DNS dinámico Exfil Exploits fraude Herramienta de hacking I2P Informativa Malware P2 Aparcado Phish Examinar Sumidero Redes sociales Spam Suprimir Sospechoso TOR VPS	Sí	Especifica el tipo de amenaza de los observables.
Fuente	Cadena	Siemplify	No	Especifica la fuente de información de la observable.
Fecha de caducidad	Entero	N/A	No	Especifica la fecha de vencimiento en días del observable. Si no se especifica nada, la acción crea un observable que nunca caduca.
IDs de círculos de confianza	CSV	N/A	No	Especifica una lista separada por comas de IDs de círculos de confianza. Los observables se comparten con esos círculos de confianza.
TLP	DDL	Selecciona una opción. Valores posibles: Selecciona una opción. Rojo Verde Ámbar Blanca	No	Especifica el TLP de tus observables.
Confianza	Entero	N/A	No	Especifica la confianza del observable. Nota: Este parámetro solo funciona si creas observables en tu organización y el parámetro "Override System Confidence" está habilitado.
Anular la confianza del sistema	Casilla	Desmarcada	No	Si se habilita, los observables creados tienen la confianza especificada en el parámetro "Confidence". Nota: Si este parámetro está habilitado, no puedes compartir observables en círculos de confianza ni públicamente.
Envío anónimo	Casilla	Desmarcada	No	Si se habilita, la acción envía la información de forma anónima.
Etiquetas	CSV	N/A	No	Especifica una lista de etiquetas separada por comas que quieras añadir al observable.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Si se produce un error en algunas entidades (entidades rechazadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enviado ninguna entidad a Siemplify ThreatFuse." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar observable". Motivo: {0}''.format(error.Stacktrace) Si se devuelve el código de estado 400: "Error al ejecutar la acción "Enviar observable". Motivo: {0}''.format(message)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Si se produce un error en algunas entidades (entidades rechazadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success=false): "No se ha enviado ninguna entidad a Siemplify ThreatFuse."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar observable". Motivo: {0}''.format(error.Stacktrace)

Si se devuelve el código de estado 400: "Error al ejecutar la acción "Enviar observable". Motivo: {0}''.format(message)

General

Informar de falso positivo

Descripción

Denuncia entidades en Siemplify ThreatFuse como falsos positivos.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Motivo	Cadena	N/A	Sí	Especifica el motivo por el que quieres marcar entidades como falsos positivos.
Comentario	Cadena	N/A	Sí	Especifica información adicional relacionada con tu decisión de marcar la entidad como falso positivo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) ("No se ha podido informar de las siguientes entidades como falsos positivos en Siemplify ThreatFuse\n: {0}".format([entity.identifier]) ) Si no se puede enriquecer ninguna entidad (issuccess=false): "No se ha informado de ninguna entidad como falso positivo." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Informar de falso positivo". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha encontrado al menos un hash en las entidades (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier])
("No se ha podido informar de las siguientes entidades como falsos positivos en Siemplify ThreatFuse\n: {0}".format([entity.identifier])
)

Si no se puede enriquecer ninguna entidad (issuccess=false): "No se ha informado de ninguna entidad como falso positivo."

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Informar de falso positivo". Motivo: {0}''.format(error.Stacktrace)

General

Conector

Configurar el conector Observables de Siemplify ThreatFuse

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Siemplify ThreatFuse - Observables Connector

Extrae observables de Siemplify ThreatFuse.

Recomendaciones

Al configurar el conector, se recomienda usar un entorno independiente para que los analistas no reciban todas las alertas especulativas.

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, localízalo en Siemplify ThreatFuse y haz clic en su nombre. La URL que se muestra en la barra de direcciones muestra el ID.

Por ejemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento	Cadena	tipo	Sí	Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de expresión regular del entorno	Cadena	.*	No	Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	300	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	https://api.threat stream.com	Sí	Raíz de la API de la instancia de Siemplify ThreatFuse.
Dirección de correo electrónico	Cadena	N/A	Sí	Dirección de correo de la cuenta de Siemplify ThreatFuse.
Clave de API	Contraseña	N/A	Sí	Clave de API de la cuenta de ThreatFuse de Siemplify.
Gravedad mínima que se va a obtener	Cadena	Alta	Sí	Gravedad mínima que se usará para obtener observables. Valores posibles: Bajo Medio Alta Muy alto
Confianza mínima para obtener	Entero	50	Sí	Confianza más baja que se usará para obtener observables. El valor máximo es 100.
Filtro de feed de origen	CSV	N/A	No	Lista separada por comas de los IDs de las fuentes que se deben usar para ingerir observables. Ejemplo: 515,4129
Filtro de tipo observable	CSV	url, domain, email, hash, ip, ipv6	No	Lista separada por comas de los tipos de observables que se deben ingerir. Ejemplo: url, dominio Valores posibles: url, domain, email, hash, ip, ipv6
Filtro de estado observable	CSV	activa	No	Lista separada por comas de los estados observables que se deben usar para ingerir datos nuevos. Ejemplo: activo,inactivo Valores posibles: active,inactive,falsepos
Filtro por tipo de amenaza	CSV	N/A	No	Lista separada por comas de los tipos de amenazas que se deben usar para ingerir observables. Ejemplo: аdware,anomalous,anonymization,apt Valores posibles: adware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filtro de círculo de confianza	CSV	N/A	No	Lista separada por comas de IDs de círculos de confianza que se deben usar para ingerir observables. Ejemplo: 146,147
Filtro de nombre de etiqueta	CSV	N/A	No	Lista de nombres de etiquetas separadas por comas asociadas a observables que se deben usar con la ingestión. Ejemplo: credenciales de Microsoft, phishing.
Agrupación de feeds de origen	Casilla	Desmarcada	No	Si está habilitada, el conector agrupará los observables de la misma fuente en la misma alerta de Siemplify.
Fetch Max Days Backwards	Entero	1	No	Número de días a partir de los cuales se obtienen los observables.
Número máximo de observables por alerta	Entero	100	No	¿Cuántos observables deben formar parte de una alerta de Siemplify? El máximo es 200.
Usar la lista blanca como lista negra	Casilla	Desmarcada	Sí	Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL	Casilla	Desmarcada	Sí	Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Siemplify Threatfuse es válido.
Dirección del servidor proxy	Cadena	N/A	No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena	N/A	No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña	N/A	No	La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxies

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.