Se usó la API de Cloud Translation para traducir esta página.

Siemplify ThreatFuse

Versión de integración: 14.0

Configura la integración de Siemplify ThreatFuse en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz web	String	https://siemplify.threatstream.com	Sí	Es la raíz web de la instancia de Siemplify ThreatFuse. Este parámetro se usa para crear vínculos de informes en los elementos de integración.
Raíz de la API	String	https://api.threatstream.com	Sí	Es la raíz de la API de la instancia de Siemplify ThreatFuse.
Dirección de correo electrónico	String	N/A	Sí	Dirección de correo electrónico de la cuenta de Siemplify ThreatFuse.
Clave de API	Contraseña	N/A	Sí	Es la clave de API de la cuenta de Siemplify ThreatFuse.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Siemplify ThreatFuse sea válido.

Para obtener la clave de API, completa los siguientes pasos:

En la configuración de tu cuenta de ThreatStream, ve a la pestaña Mi perfil.
Ve a la sección Información de la cuenta.
Copia el valor de la clave de API.

Casos de uso

Enriquecer entidades

Acciones

Ping

Descripción

Prueba la conectividad con Siemplify ThreatFuse con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Ejecutar en

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!"

La acción debería fallar y detener la ejecución de la guía:

Si no se realiza correctamente: "No se pudo conectar al servidor de Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)

General

Enriquece entidades

Descripción

Recupera información sobre IPs, URLs, hashes y direcciones de correo electrónico de Siemplify ThreatFuse. Si se encuentran varios registros para la misma entidad, la acción se enriquecerá con el registro más reciente.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de gravedad	DDL	Medio Valor posible: Muy alta Alta Medio Baja	Sí	Especifica el umbral de gravedad para la entidad, de modo que se marque como sospechosa. Si se encuentran varios registros para la misma entidad, la acción toma la gravedad más alta de todos los registros disponibles.
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza para la entidad, de modo que se marque como sospechosa. El valor máximo es 100. Si se encuentran varios registros para la entidad, la acción toma el promedio. Los registros activos tienen prioridad.
Ignorar el estado de falso positivo	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción ignora el estado de falso positivo y marca la entidad como sospechosa según los parámetros "Umbral de gravedad" y "Umbral de confianza". Si se inhabilita, la acción nunca etiquetará las entidades de falso positivo como sospechosas, independientemente de si cumplen o no con las condiciones de "Umbral de gravedad" y "Umbral de confianza".
Agregar tipo de amenaza al caso	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción agrega los tipos de amenazas de la entidad de todos los registros como etiquetas al caso. Ejemplo: apt
Solo la estadística de entidad sospechosa	Casilla de verificación	Desmarcado	Sí	Si está habilitada, la acción solo crea estadísticas para las entidades que superaron los parámetros "Umbral de gravedad" y "Umbral de confianza".
Crear estadística	Casilla de verificación	Desmarcado	Sí	Si está habilitada, la acción agrega una estadística por entidad procesada.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
TFuse_id	Cuando está disponible en JSON
TFuse_status	Cuando está disponible en JSON
TFuse_itype	Cuando está disponible en JSON
TFuse_expiration_time	Cuando está disponible en JSON
TFuse_ip	Cuando está disponible en JSON
TFuse_feed_id	Cuando está disponible en JSON
TFuse_confidence	Cuando está disponible en JSON
TFuse_uuid	Cuando está disponible en JSON
TFuse_retina_confidence	Cuando está disponible en JSON
TFuse_trusted_circle_ids	Cuando está disponible en JSON
TFuse_source	Cuando está disponible en JSON
TFuse_latitude	Cuando está disponible en JSON
TFuse_type	Cuando está disponible en JSON
TFuse_description	Cuando está disponible en JSON
TFuse_tags	Cuando está disponible en JSON
TFuse_threat_score	Cuando está disponible en JSON
TFuse_source_confidence	Cuando está disponible en JSON
TFuse_modification_time	Cuando está disponible en JSON
TFuse_org_name	Cuando está disponible en JSON
TFuse_asn	Cuando está disponible en JSON
TFuse_creation_time	Cuando está disponible en JSON
TFuse_tlp	Cuando está disponible en JSON
TFuse_country	Cuando está disponible en JSON
TFuse_longitude	Cuando está disponible en JSON
TFuse_severity	Cuando está disponible en JSON
TFuse_subtype	Cuando está disponible en JSON
TFuse_report	Cuando está disponible en JSON

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Se enriquecieron correctamente las siguientes entidades con Siemplify ThreatFuse: \n {0}".format(lista de identificadores de la entidad) Si no se pueden enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success=false): "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General
CSV	Nombre de la tabla: Vínculos de análisis relacionados: {entity_identifier} Columnas de la tabla: Nombre: Se asigna como clave en la segunda respuesta (ejemplo de VirusTotal) Vínculo: asignado como valor a la clave	General
CSV	Son las claves basadas en la tabla de enriquecimiento. El parámetro No Enrichment Prefix está en mayúsculas.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Se enriquecieron correctamente las siguientes entidades con Siemplify ThreatFuse: \n {0}".format(lista de identificadores de la entidad)

Si no se pueden enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success=false): "No se enriqueció ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

CSV

Nombre de la tabla: Vínculos de análisis relacionados: {entity_identifier}

Columnas de la tabla:

Nombre: Se asigna como clave en la segunda respuesta (ejemplo de VirusTotal)
Vínculo: asignado como valor a la clave

General

CSV

Son las claves basadas en la tabla de enriquecimiento.

El parámetro No Enrichment Prefix está en mayúsculas.

General

Obtener hashes relacionados

Descripción

Recupera los hashes relacionados con la entidad según las asociaciones en Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los TTP.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las vulnerabilidades.
Cantidad máxima de hashes que se pueden devolver	Número entero	50	No	Especifica la cantidad de hashes que se devolverán.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente los hashes relacionados de Siemplify ThreatFuse" Si no se encuentran hashes (is_success=false): "No se encontraron hashes relacionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Related Hashes". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente los hashes relacionados de Siemplify ThreatFuse"

Si no se encuentran hashes (is_success=false): "No se encontraron hashes relacionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Related Hashes". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Obtener URLs relacionadas

Descripción

Recupera URLs relacionadas con la entidad según las asociaciones en Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los TTP.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las vulnerabilidades.
Cantidad máxima de URLs que se devolverán	Número entero	50	No	Especifica la cantidad de URLs que se devolverán.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos una URL en las entidades (is_success=true): "Se recuperaron correctamente las URLs relacionadas de Siemplify ThreatFuse". Si no se encuentran hashes (is_success=false): "No se encontraron URLs relacionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, "Error al ejecutar la acción "Obtener URLs relacionadas". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos una URL en las entidades (is_success=true): "Se recuperaron correctamente las URLs relacionadas de Siemplify ThreatFuse".

Si no se encuentran hashes (is_success=false): "No se encontraron URLs relacionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, "Error al ejecutar la acción "Obtener URLs relacionadas". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Obtener dominios relacionados

Descripción

Recupera los dominios relacionados con la entidad según las asociaciones en Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los TTP.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las vulnerabilidades.
Cantidad máxima de dominios que se devolverán	Número entero	50	No	Especifica la cantidad de dominios que se devolverán.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"domains": ["www.google.com"]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (issuccess=true): "Se recuperaron correctamente los dominios relacionados de Siemplify ThreatFuse". Si no se encuentran hashes (issuccess=false): "No se encontraron dominios relacionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Domains". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (issuccess=true): "Se recuperaron correctamente los dominios relacionados de Siemplify ThreatFuse".

Si no se encuentran hashes (issuccess=false): "No se encontraron dominios relacionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Domains". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Obtén direcciones de correo electrónico relacionadas

Descripción

Recupera las direcciones de correo electrónico relacionadas con la entidad según las asociaciones en Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los TTP.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las vulnerabilidades.
Cantidad máxima de dominios que se devolverán	Número entero	50	No	Especifica la cantidad de dominios que se devolverán.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (issuccess=true): "Se recuperaron correctamente las direcciones de correo electrónico relacionadas de Siemplify ThreatFuse". Si no se encuentran hashes (issuccess=false): "No se encontraron direcciones de correo electrónico relacionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Get Related Email Addresses". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de 'Umbral de confianza' debe estar en el rango de 0 a 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (issuccess=true): "Se recuperaron correctamente las direcciones de correo electrónico relacionadas de Siemplify ThreatFuse".

Si no se encuentran hashes (issuccess=false): "No se encontraron direcciones de correo electrónico relacionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Get Related Email Addresses". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de 'Umbral de confianza' debe estar en el rango de 0 a 100".

General

Obtener IPs relacionadas

Descripción

Recupera las direcciones IP relacionadas con la entidad según las asociaciones en Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica el umbral de confianza. Máximo: 100
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si está habilitado, la acción busca entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los TTP.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción busca entre las vulnerabilidades.
Cantidad máxima de dominios que se devolverán	Número entero	50	No	Especifica la cantidad de dominios que se devolverán.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida\*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente las IPs relacionadas de Siemplify ThreatFuse". Si no se encuentran hashes (is_success=false): "No se encontraron IPs relacionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Related IPs". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida\*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente las IPs relacionadas de Siemplify ThreatFuse".

Si no se encuentran hashes (is_success=false): "No se encontraron IPs relacionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Related IPs". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Obtén asociaciones relacionadas

Descripción

Recupera asociaciones relacionadas con la entidad de Siemplify ThreatFuse.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Devuelve campañas	Casilla de verificación	Marcado	No	Si está habilitada, la acción recupera las campañas relacionadas y sus detalles.
Devuelve boletines de amenazas	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera los boletines de amenazas relacionados y sus detalles.
Actores de devolución	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera los actores relacionados y sus detalles.
Devuelve patrones de ataque	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera patrones de ataque relacionados y detalles sobre ellos.
Devuelve cursos de acción	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera los cursos de acción relacionados y sus detalles.
Devuelve identidades	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera las identidades relacionadas y sus detalles.
Incidentes de devoluciones	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera los incidentes relacionados y sus detalles.
Devolución de infraestructura	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera la infraestructura relacionada y sus detalles.
Devuelve conjuntos de intrusiones	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera los conjuntos de intrusiones relacionados y sus detalles.
Devuelve el software malicioso	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera el software malicioso relacionado y sus detalles.
Devuelve firmas	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera firmas relacionadas y detalles sobre ellas.
Devolver herramientas	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera herramientas relacionadas y detalles sobre ellas.
TTP de devoluciones	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción recupera las TTP relacionadas y sus detalles.
Devuelve vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción recupera las vulnerabilidades relacionadas y sus detalles.
Crea una entidad de campaña	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción crea una entidad a partir de las asociaciones de "Campaña" disponibles.
Crea la entidad de actores	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción crea una entidad a partir de las asociaciones de "Actor" disponibles.
Crea una entidad de firma	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción crea una entidad a partir de las asociaciones de "Firma" disponibles.
Crea una entidad de vulnerabilidad	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción crea una entidad a partir de las asociaciones de "Vulnerability" disponibles.
Crear estadística	Casilla de verificación	Marcado	No	Si está habilitada, la acción crea una estadística basada en los resultados.
Crear etiqueta de caso	Casilla de verificación	Marcado	No	Si se habilita, la acción crea etiquetas de casos según los resultados.
Cantidad máxima de asociaciones que se devolverán	Número entero	N/A	No	Especifica la cantidad de asociaciones que se devolverán por tipo.
Cantidad máxima de estadísticas que se pueden devolver	Número entero	3	No	Especifica la cantidad de resultados de las principales estadísticas relacionadas con los IOC que se devolverán. Nota: La acción procesa un máximo de 1,000 IOC relacionados con la asociación. Si proporcionas "0", la acción no intentará recuperar información de estadísticas.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos una asociación entre entidades (is_success=true): "Se recuperaron correctamente las asociaciones relacionadas de Siemplify ThreatFuse" Si no se encuentran asociaciones (is_success=false): "No se encontraron asociaciones relacionadas". Async Message: Waiting for all of the association details to be retrieved" La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Association"". Reason: {0}''.format(error.Stacktrace)	General
CSV	Nombre: "Asociaciones relacionadas" Columnas: ID Nombre Tipo (nombre de la asociación) Estado (se asigna como status/display_name)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos una asociación entre entidades (is_success=true): "Se recuperaron correctamente las asociaciones relacionadas de Siemplify ThreatFuse"

Si no se encuentran asociaciones (is_success=false): "No se encontraron asociaciones relacionadas".

Async Message: Waiting for all of the association details to be retrieved"

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Association"". Reason: {0}''.format(error.Stacktrace)

General

CSV

Nombre: "Asociaciones relacionadas"

Columnas:

ID
Nombre
Tipo (nombre de la asociación)
Estado (se asigna como status/display_name)

General

Envía elementos observables

Descripción

Envía un observable a Siemplify ThreatFuse en función de las entidades IP, URL, hash y correo electrónico.

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, ubícalo en Siemplify ThreatFuse y haz clic en su nombre. La URL que se muestra en la barra de direcciones incluye el ID.

Por ejemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Clasificación	DDL	Privado Valores posibles: Público Privado	Sí	Especifica la clasificación del observable.
Tipo de amenaza	DDL	APT Valores posibles APT Software publicitario Anómalos Anomización Bot Brute C2 Vulnerado Criptomonedas Filtración de datos DDOS DNS dinámico Exfil Exploit Detección de fraude Herramienta de hackeo I2P Informativo Software malicioso P2 Estacionado Phish Analizar Hundimiento Social Spam Suprimir Sospechoso TOR VPS	Sí	Especifica el tipo de amenaza para los observables.
Fuente	String	Siemplify	No	Especifica la fuente de inteligencia de la observable.
Fecha de vencimiento	Número entero	N/A	No	Especifica la fecha de vencimiento en días para el observable. Si no se especifica nada aquí, la acción crea un observable que nunca vence.
IDs de círculos de confianza	CSV	N/A	No	Especifica una lista de IDs de círculos de confianza separados por comas. Los observables se comparten con esos círculos de confianza.
TLP	DDL	Selecciona una opción Valores posibles: Selecciona una opción Rojo Verde Ámbar Blanco	No	Especifica el TLP de tus observables.
Confianza	Número entero	N/A	No	Especifica cuál debe ser la confianza del observable. Nota: Este parámetro solo funciona si creas observables en tu organización y el parámetro "Anular la confianza del sistema" está habilitado.
Anular la confianza del sistema	Casilla de verificación	Desmarcado	No	Si está habilitado, los observables creados tienen la confianza especificada en el parámetro "Confianza". Nota: No puedes compartir observables en círculos de confianza ni de forma pública cuando este parámetro está habilitado.
Envío anónimo	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción realiza un envío anónimo.
Etiquetas	CSV	N/A	No	Especifica una lista separada por comas de las etiquetas que deseas agregar al observable.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success=False

Resultado de JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se enviaron y aprobaron correctamente las siguientes entidades en Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Si falla para algunas entidades (entidades rechazadas) (is_success=true): "No se pudieron enviar ni aprobar correctamente las siguientes entidades en Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success=false): "No se envió ninguna entidad correctamente a Siemplify ThreatFuse". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, "Error al ejecutar la acción "Submit Observable". Motivo: {0}''.format(error.Stacktrace) Si se informa el código de estado 400: "Error al ejecutar la acción "Submit Observable". Motivo: {0}''.format(message)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se enviaron y aprobaron correctamente las siguientes entidades en Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Si falla para algunas entidades (entidades rechazadas) (is_success=true): "No se pudieron enviar ni aprobar correctamente las siguientes entidades en Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Si no se puede enriquecer para todas las entidades (is_success=false): "No se envió ninguna entidad correctamente a Siemplify ThreatFuse".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, "Error al ejecutar la acción "Submit Observable". Motivo: {0}''.format(error.Stacktrace)

Si se informa el código de estado 400: "Error al ejecutar la acción "Submit Observable". Motivo: {0}''.format(message)

General

Informar como falso positivo

Descripción

Denuncia entidades en Siemplify ThreatFuse como falsos positivos.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Motivo	String	N/A	Sí	Especifica el motivo por el que deseas marcar entidades como falsos positivos.
Comentario	String	N/A	Sí	Especifica información adicional relacionada con tu decisión de marcar la entidad como falso positivo.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Expresiones regulares de nombre de usuario con correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se denunciaron correctamente las siguientes entidades como falsos positivos en Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (issuccess=false): "No se informó que ninguna entidad sea un falso positivo". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Informar como falso positivo". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se denunciaron correctamente las siguientes entidades como falsos positivos en Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Si no se puede enriquecer para todas las entidades (issuccess=false): "No se informó que ninguna entidad sea un falso positivo".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Informar como falso positivo". Reason: {0}''.format(error.Stacktrace)

General

Conector

Configura el conector de observables de Siemplify ThreatFuse

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Siemplify ThreatFuse: conector de observables

Extrae observables de Siemplify ThreatFuse.

Recomendaciones

Cuando configures el conector, te recomendamos que uses un entorno separado para que los analistas no reciban una gran cantidad de alertas especulativas.

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, ubícalo en Siemplify ThreatFuse y haz clic en su nombre. La URL que se muestra en la barra de direcciones incluye el ID.

Por ejemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	tipo	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de regex del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	300	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	https://api.threat stream.com	Sí	Es la raíz de la API de la instancia de Siemplify ThreatFuse.
Dirección de correo electrónico	String	N/A	Sí	Dirección de correo electrónico de la cuenta de Siemplify ThreatFuse.
Clave de API	Contraseña	N/A	Sí	Es la clave de API de la cuenta de Siemplify ThreatFuse.
Gravedad más baja que se recuperará	String	Alta	Sí	Es la gravedad más baja que se usará para recuperar los observables. Valores posibles: Low Medio Alta Muy alta
Nivel de confianza más bajo para recuperar	Número entero	50	Sí	Es la confianza más baja que se usará para recuperar observables. El máximo es 100.
Filtro de feed de origen	CSV	N/A	No	Lista de IDs de feeds separados por comas que se deben usar para transferir los observables. Ejemplo: 515,4129
Filtro de tipo de observable	CSV	url, domain, email, hash, ip, ipv6	No	Lista separada por comas de los tipos de datos observables que se deben transferir. Ejemplo: url, dominio Valores posibles: url, domain, email, hash, ip, ipv6
Filtro de estado observable	CSV	activo	No	Lista separada por comas de los estados observables que se deben usar para transferir datos nuevos. Ejemplo: active,inactive Valores posibles: active,inactive,falsepos
Filtro de tipo de amenaza	CSV	N/A	No	Lista separada por comas de los tipos de amenazas que se deben usar para transferir indicadores. Ejemplo: аdware,anomalous,anonymization,apt Valores posibles: adware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filtro de círculo de confianza	CSV	N/A	No	Lista separada por comas de los IDs de círculos de confianza que se deben usar para transferir observables. Ejemplo: 146,147
Filtro de nombre de etiqueta	CSV	N/A	No	Lista separada por comas de los nombres de las etiquetas asociadas con los observables que se deben usar con la transferencia. Ejemplo: Credenciales de Microsoft, Phishing.
Agrupamiento de feeds fuente	Casilla de verificación	Desmarcado	No	Si está habilitado, el conector agrupará los observables de la misma fuente en la misma alerta de Siemplify.
Recuperar la cantidad máxima de días hacia atrás	Número entero	1	No	Cantidad de días desde los que se recuperan los datos observables.
Cantidad máxima de variables observables por alerta	Número entero	100	No	Cuántos observables deben formar parte de una alerta de Siemplify El valor máximo es 200.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL	Casilla de verificación	Desmarcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Siemplify Threatfuse sea válido.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.