Cette page a été traduite par l'API Cloud Translation.

Siemplify ThreatFuse

Version de l'intégration : 14.0

Configurer l'intégration de Siemplify ThreatFuse dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine Web	Chaîne	https://siemplify.threatstream.com	Oui	Racine Web de l'instance Siemplify ThreatFuse. Ce paramètre permet de créer des liens vers des rapports pour les éléments d'intégration.
Racine de l'API	Chaîne	https://api.threatstream.com	Oui	Racine de l'API de l'instance Siemplify ThreatFuse.
Adresse e-mail	Chaîne	N/A	Oui	Adresse e-mail du compte Siemplify ThreatFuse.
Clé API	Mot de passe	N/A	Oui	Clé API du compte Siemplify ThreatFuse.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Siemplify ThreatFuse est valide.

Pour obtenir la clé API, procédez comme suit :

Dans les paramètres de votre compte ThreatStream, accédez à l'onglet Mon profil.
Accédez à la section Informations sur le compte.
Copiez la valeur Clé API.

Cas d'utilisation

enrichir des entités ;

Actions

Ping

Description

Testez la connectivité à Siemplify ThreatFuse avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Exécuter sur

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Siemplify ThreatFuse établie avec les paramètres de connexion fournis" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Siemplify ThreatFuse établie avec les paramètres de connexion fournis"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)

Général

Enrichir les entités

Description

Récupérez des informations sur les adresses IP, les URL, les hachages et les adresses e-mail à partir de Siemplify ThreatFuse. Si plusieurs enregistrements sont trouvés pour la même entité, l'action enrichira les données à l'aide du dernier enregistrement.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de gravité	LDD	Moyenne Valeur possible : Très élevé Élevée Moyen Faible	Oui	Spécifiez le seuil de gravité pour l'entité afin de la marquer comme suspecte. Si plusieurs enregistrements sont trouvés pour la même entité, l'action prend en compte le niveau de gravité le plus élevé parmi tous les enregistrements disponibles.
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance de l'entité pour la marquer comme suspecte. La valeur maximale est de 100. Si plusieurs enregistrements sont trouvés pour l'entité, l'action prend la moyenne. Les enregistrements actifs sont prioritaires.
Ignorer l'état de faux positif	Case à cocher	Décochée	Non	Si cette option est activée, l'action ignore l'état de faux positif et marque l'entité comme suspecte en fonction des paramètres "Seuil de gravité" et "Seuil de confiance". Si cette option est désactivée, l'action ne marque jamais les entités faux positifs comme suspectes, qu'elles remplissent ou non les conditions "Seuil de gravité" et "Seuil de confiance".
Ajouter un type de menace à une demande	Case à cocher	Décochée	Non	Si cette option est activée, l'action ajoute les types de menaces de l'entité à partir de tous les enregistrements en tant que tags à la demande. Exemple : apt
Insight "Entité suspecte" uniquement	Case à cocher	Décochée	Oui	Si cette option est activée, l'action ne crée des insights que pour les entités qui ont dépassé les paramètres "Seuil de gravité" et "Seuil de confiance".
Créer un insight	Case à cocher	Décochée	Oui	Si cette option est activée, l'action ajoute un insight par entité traitée.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
TFuse_id	Lorsqu'il est disponible au format JSON
TFuse_status	Lorsqu'il est disponible au format JSON
TFuse_itype	Lorsqu'il est disponible au format JSON
TFuse_expiration_time	Lorsqu'il est disponible au format JSON
TFuse_ip	Lorsqu'il est disponible au format JSON
TFuse_feed_id	Lorsqu'il est disponible au format JSON
TFuse_confidence	Lorsqu'il est disponible au format JSON
TFuse_uuid	Lorsqu'il est disponible au format JSON
TFuse_retina_confidence	Lorsqu'il est disponible au format JSON
TFuse_trusted_circle_ids	Lorsqu'il est disponible au format JSON
TFuse_source	Lorsqu'il est disponible au format JSON
TFuse_latitude	Lorsqu'il est disponible au format JSON
TFuse_type	Lorsqu'il est disponible au format JSON
TFuse_description	Lorsqu'il est disponible au format JSON
TFuse_tags	Lorsqu'il est disponible au format JSON
TFuse_threat_score	Lorsqu'il est disponible au format JSON
TFuse_source_confidence	Lorsqu'il est disponible au format JSON
TFuse_modification_time	Lorsqu'il est disponible au format JSON
TFuse_org_name	Lorsqu'il est disponible au format JSON
TFuse_asn	Lorsqu'il est disponible au format JSON
TFuse_creation_time	Lorsqu'il est disponible au format JSON
TFuse_tlp	Lorsqu'il est disponible au format JSON
TFuse_country	Lorsqu'il est disponible au format JSON
TFuse_longitude	Lorsqu'il est disponible au format JSON
TFuse_severity	Lorsqu'il est disponible au format JSON
TFuse_subtype	Lorsqu'il est disponible au format JSON
TFuse_report	Lorsqu'il est disponible au format JSON

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins l'une des entités fournies est enrichie (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide de Siemplify ThreatFuse : \n {0}".format(liste des identifiants d'entité) Si l'enrichissement de certaines entités échoue (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide de Siemplify ThreatFuse : {0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général
CSV	Nom de la table : liens vers les analyses associées : {entity_identifier} Colonnes du tableau : Nom : mappé en tant que clé dans la deuxième réponse (exemple : VirusTotal) Lien : mappé en tant que valeur à la clé	Général
CSV	Clés basées sur la table d'enrichissement. Le paramètre "No Enrichment Prefix" (Préfixe sans enrichissement) est en majuscules.	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins l'une des entités fournies est enrichie (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide de Siemplify ThreatFuse : \n {0}".format(liste des identifiants d'entité)

Si l'enrichissement de certaines entités échoue (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide de Siemplify ThreatFuse : {0}".format([entity.identifier])

Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

CSV

Nom de la table : liens vers les analyses associées : {entity_identifier}

Colonnes du tableau :

Nom : mappé en tant que clé dans la deuxième réponse (exemple : VirusTotal)
Lien : mappé en tant que valeur à la clé

Général

CSV

Clés basées sur la table d'enrichissement.

Le paramètre "No Enrichment Prefix" (Préfixe sans enrichissement) est en majuscules.

Général

Obtenir les hachages associés

Description

Récupérez les hachages associés aux entités en fonction des associations dans Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. Maximum : 100
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si elle est activée, l'action recherche des campagnes.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche parmi les plans d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches dans les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les failles.
Nombre maximal de hachages à renvoyer	Integer	50	Non	Spécifiez le nombre de hachages à renvoyer.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related hashes from Siemplify ThreatFuse" (Hachages associés récupérés avec succès depuis Siemplify ThreatFuse) Si aucun hachage n'est trouvé (is_success=false) : "Aucun hachage associé n'a été trouvé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les hachages associés". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related hashes from Siemplify ThreatFuse" (Hachages associés récupérés avec succès depuis Siemplify ThreatFuse)

Si aucun hachage n'est trouvé (is_success=false) : "Aucun hachage associé n'a été trouvé."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les hachages associés". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Obtenir les URL associées

Description

Récupérez les URL associées aux entités en fonction des associations dans Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. Maximum : 100
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si elle est activée, l'action recherche des campagnes.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des plans d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches dans les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les failles.
Nombre maximal d'URL à renvoyer	Integer	50	Non	Spécifiez le nombre d'URL à renvoyer.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une URL est trouvée pour les entités (is_success=true) : "Successfully retrieved related urls from Siemplify ThreatFuse." Si aucun hachage n'est trouvé (is_success=false) : "Aucune URL associée n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les URL associées". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une URL est trouvée pour les entités (is_success=true) : "Successfully retrieved related urls from Siemplify ThreatFuse."

Si aucun hachage n'est trouvé (is_success=false) : "Aucune URL associée n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les URL associées". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Obtenir les domaines associés

Description

Récupérez les domaines associés aux entités en fonction des associations dans Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. Maximum : 100
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si elle est activée, l'action recherche des campagnes.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des plans d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches dans les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les failles.
Nombre maximal de domaines à renvoyer	Integer	50	Non	Spécifiez le nombre de domaines à renvoyer.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
"domains": ["www.google.com"]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (issuccess=true) : "Successfully retrieved related domains from Siemplify ThreatFuse." Si aucun hachage n'est trouvé (issuccess=false) : "Aucun domaine associé n'a été trouvé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les domaines associés". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (issuccess=true) : "Successfully retrieved related domains from Siemplify ThreatFuse."

Si aucun hachage n'est trouvé (issuccess=false) : "Aucun domaine associé n'a été trouvé."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les domaines associés". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Obtenir les adresses e-mail associées

Description

Récupérez les adresses e-mail associées à une entité en fonction des associations dans Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. Maximum : 100
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si elle est activée, l'action recherche des campagnes.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des plans d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches dans les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les failles.
Nombre maximal de domaines à renvoyer	Integer	50	Non	Spécifiez le nombre de domaines à renvoyer.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (issuccess=true) : "Récupération des adresses e-mail associées à partir de Siemplify ThreatFuse réussie." Si aucun hachage n'est trouvé (issuccess=false) : "Aucune adresse e-mail associée n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les adresses e-mail associées". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (issuccess=true) : "Récupération des adresses e-mail associées à partir de Siemplify ThreatFuse réussie."

Si aucun hachage n'est trouvé (issuccess=false) : "Aucune adresse e-mail associée n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les adresses e-mail associées". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Obtenir les adresses IP associées

Description

Récupérez les adresses IP associées à une entité en fonction des associations dans Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Seuil de confiance	Integer	N/A	Oui	Spécifiez le seuil de confiance. Maximum : 100
Rechercher des bulletins sur les menaces	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des bulletins d'informations sur les menaces.
Rechercher des acteurs	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les acteurs.
Rechercher des schémas d'attaque	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des schémas d'attaque.
Campagnes sur le Réseau de Recherche	Case à cocher	Cochée	Non	Si elle est activée, l'action recherche des campagnes.
Rechercher des plans d'action	Case à cocher	Cochée	Non	Si cette option est activée, la recherche d'actions s'effectue parmi les cours d'action.
Rechercher des identités	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les identités.
Rechercher des incidents	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les incidents.
Infrastructures de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches dans les infrastructures.
Rechercher des ensembles d'intrusion	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les ensembles d'intrusion.
Rechercher des logiciels malveillants	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les logiciels malveillants.
Rechercher des signatures	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche des signatures.
Outils de recherche	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue une recherche parmi les outils.
Rechercher des TTP	Case à cocher	Cochée	Non	Si cette option est activée, l'action effectue des recherches parmi les TTP.
Rechercher des failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action recherche les failles.
Nombre maximal de domaines à renvoyer	Integer	50	Non	Spécifiez le nombre de domaines à renvoyer.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail
Acteur malveillant
CVE

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie\*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related IPs from Siemplify ThreatFuse." Si aucun hachage n'est trouvé (is_success=false) : "Aucune adresse IP associée n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les adresses IP associées". Raison : {0}''.format(error.Stacktrace) Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."	Général

Type de résultat

Valeur / Description

Type

Message de sortie\*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully retrieved related IPs from Siemplify ThreatFuse."

Si aucun hachage n'est trouvé (is_success=false) : "Aucune adresse IP associée n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les adresses IP associées". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Seuil de confiance" n'est pas compris entre 0 et 100 : "La valeur du seuil de confiance doit être comprise entre 0 et 100."

Général

Obtenir les associations associées

Description

Récupérez les associations liées aux entités à partir de Siemplify ThreatFuse.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Campagnes de retour	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les campagnes associées et leurs détails.
Retourner les bulletins sur les menaces	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les bulletins d'informations sur les menaces associés et des informations les concernant.
Acteurs de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les acteurs associés et des informations les concernant.
Schémas d'attaque de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les schémas d'attaque associés et des informations les concernant.
Renvoyer les plans d'action	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les cours d'action associés et des informations les concernant.
Identités de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les identités associées et des informations les concernant.
Retourner les incidents	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les incidents associés et des informations les concernant.
Infrastructure de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère l'infrastructure associée et des informations la concernant.
Retourner les ensembles d'intrusion	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les ensembles d'intrusion associés et des informations les concernant.
Renvoyer un logiciel malveillant	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les logiciels malveillants associés et des informations les concernant.
Signatures de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les signatures associées et des informations les concernant.
Outils de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les outils associés et des informations les concernant.
Tactiques, techniques et procédures de retour	Case à cocher	Décochée	Non	Si cette option est activée, l'action récupère les TTP associés et des informations les concernant.
Retourner les failles	Case à cocher	Cochée	Non	Si cette option est activée, l'action récupère les failles associées et des informations les concernant.
Créer une entité de campagne	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations "Campagne" disponibles.
Créer une entité "Acteurs"	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations "Acteur" disponibles.
Créer une entité de signature	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations "Signature" disponibles.
Créer une entité de failles	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée une entité à partir des associations "Vulnérabilité" disponibles.
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée un insight basé sur les résultats.
Créer un tag de demande	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée des tags de demande en fonction des résultats.
Nombre maximal d'associations à renvoyer	Integer	N/A	Non	Spécifiez le nombre d'associations à renvoyer par type.
Nombre maximal de statistiques à renvoyer	Integer	3	Non	Spécifiez le nombre de résultats statistiques les plus pertinents concernant les IOC à renvoyer. Remarque : L'action traite au maximum 1 000 IOC associés. Si vous indiquez "0", l'action ne tente pas de récupérer les informations statistiques.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une association entre les entités est trouvée (is_success=true) : "Associations associées récupérées avec succès depuis Siemplify ThreatFuse" Si aucune association n'est trouvée (is_success=false) : "Aucune association associée n'a été trouvée." Message asynchrone : en attente de la récupération de tous les détails de l'association" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir l'association associée". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Nom : "Associations associées" Colonnes : ID Nom Type (nom de l'association) État (mappé en tant que status/display_name)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une association entre les entités est trouvée (is_success=true) : "Associations associées récupérées avec succès depuis Siemplify ThreatFuse"

Si aucune association n'est trouvée (is_success=false) : "Aucune association associée n'a été trouvée."

Message asynchrone : en attente de la récupération de tous les détails de l'association"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir l'association associée". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Nom : "Associations associées"

Colonnes :

ID
Nom
Type (nom de l'association)
État (mappé en tant que status/display_name)

Général

Envoyer des observables

Description

Envoyez un observable à Siemplify ThreatFuse en fonction des entités IP, URL, hachage et adresse e-mail.

Où trouver les ID des cercles de confiance

Pour trouver l'ID d'un cercle de confiance, localisez-le dans Siemplify ThreatFuse, puis cliquez sur son nom. L'URL affichée dans la barre d'adresse indique l'ID.

Par exemple : https://siemplify.threatstream.com/search?trustedcircles=13.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Classification	LDD	Privé Valeurs possibles : Public Privé	Oui	Spécifiez la classification de l'observable.
Type de menace	LDD	APT Valeurs possibles APT Logiciel publicitaire Anomalies Anonymisation Bot Brute C2 Compromis Cryptomonnaies Fuite de données DDOS DNS dynamique Exfiltration Code d'exploitation Fraude Outil de piratage I2P Information Logiciels malveillants P2 Véhicule à l'arrêt Phish Analyse Gouffre Social Spam Supprimer Suspect TOR VPS	Oui	Spécifiez le type de menace pour les observables.
Source	Chaîne	Siemplify	Non	Spécifiez la source d'intelligence pour l'observable.
Date d'expiration	Integer	N/A	Non	Spécifiez la date d'expiration en jours pour l'observable. Si rien n'est spécifié ici, l'action crée un observable qui n'expire jamais.
ID du cercle de confiance	CSV	N/A	Non	Spécifiez une liste d'ID de cercle de confiance séparés par une virgule. Les observables sont partagés avec ces cercles de confiance.
TLP	LDD	Sélectionnez une réponse Valeurs possibles : Sélectionnez une réponse Rouge Vert Ambre Blanc	Non	Spécifiez le TLP pour vos observables.
Confiance	Integer	N/A	Non	Spécifiez le degré de confiance de l'observable. Remarque : Ce paramètre ne fonctionne que si vous créez des observables dans votre organisation et que le paramètre "Remplacer la confiance du système" est activé.
Remplacer la confiance du système	Case à cocher	Décochée	Non	Si cette option est activée, les observables créés ont le niveau de confiance spécifié dans le paramètre "Confiance". Remarque : Vous ne pouvez pas partager d'observables dans des cercles de confiance ni publiquement lorsque ce paramètre est activé.
Envoi anonyme	Case à cocher	Décochée	Non	Si cette option est activée, l'action envoie une requête anonyme.
Tags	CSV	N/A	Non	Spécifiez une liste de tags séparés par une virgule que vous souhaitez ajouter à l'observable.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success=False

Résultat JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Si l'action échoue pour certaines entités (entités refusées) (is_success=true) : "L'action n'a pas pu envoyer et approuver les entités suivantes dans Siemplify ThreatFuse : {0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été envoyée à Siemplify ThreatFuse." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer l'observable". Raison : {0}''.format(error.Stacktrace) Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Envoyer l'observable". Motif : {0}''.format(message)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Si l'action échoue pour certaines entités (entités refusées) (is_success=true) : "L'action n'a pas pu envoyer et approuver les entités suivantes dans Siemplify ThreatFuse : {0}".format([entity.identifier])

Si l'enrichissement échoue pour toutes les entités (is_success=false) : "Aucune entité n'a été envoyée à Siemplify ThreatFuse."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer l'observable". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Envoyer l'observable". Motif : {0}''.format(message)

Général

Signaler comme faux positif

Description

Signalez les entités dans Siemplify ThreatFuse comme faux positifs.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Motif	Chaîne	N/A	Oui	Indiquez la raison pour laquelle vous souhaitez marquer des entités comme faux positifs.
Commentaire	Chaîne	N/A	Oui	Spécifiez des informations supplémentaires concernant votre décision de marquer l'entité comme faux positif.

Exécuter sur

Cette action s'applique aux entités suivantes :

Hash
Adresse IP
URL
Expressions régulières pour le nom d'utilisateur avec adresse e-mail

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Les entités suivantes ont été signalées comme faux positifs dans Siemplify ThreatFuse :\n{0}".format(liste des identifiants d'entité) Si le marquage de certaines entités échoue (is_success=true) : "L'action n'a pas pu signaler les entités suivantes comme faux positifs dans Siemplify ThreatFuse : {0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (issuccess=false) : "Aucune entité n'a été signalée comme faux positif." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Signaler comme faux positif". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins un hachage est trouvé pour les entités (is_success=true) : "Les entités suivantes ont été signalées comme faux positifs dans Siemplify ThreatFuse :\n{0}".format(liste des identifiants d'entité)

Si le marquage de certaines entités échoue (is_success=true) : "L'action n'a pas pu signaler les entités suivantes comme faux positifs dans Siemplify ThreatFuse : {0}".format([entity.identifier])

Si l'enrichissement échoue pour toutes les entités (issuccess=false) : "Aucune entité n'a été signalée comme faux positif."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Signaler comme faux positif". Raison : {0}''.format(error.Stacktrace)

Général

Connecteur

Configurer le connecteur Observables Siemplify ThreatFuse

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Connecteur Observables Siemplify ThreatFuse

Extrayez les observables de Siemplify ThreatFuse.

Recommandations

Lors de la configuration du connecteur, il est recommandé d'utiliser un environnement distinct afin que les analystes ne soient pas submergés par toutes les alertes spéculatives.

Où trouver les ID des cercles de confiance

Pour trouver l'ID d'un cercle de confiance, localisez-le dans Siemplify ThreatFuse, puis cliquez sur son nom. L'URL affichée dans la barre d'adresse indique l'ID.

Exemple : https://siemplify.threatstream.com/search?trustedcircles=13.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	type	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	300	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://api.threat stream.com	Oui	Racine de l'API de l'instance Siemplify ThreatFuse.
Adresse e-mail	Chaîne	N/A	Oui	Adresse e-mail du compte Siemplify ThreatFuse.
Clé API	Mot de passe	N/A	Oui	Clé API du compte Siemplify ThreatFuse.
Gravité la plus faible à récupérer	Chaîne	Élevée	Oui	Niveau de gravité le plus bas qui sera utilisé pour récupérer les observables. Valeurs possibles : Low Moyenne Élevée Très élevé
Niveau de confiance le plus faible à récupérer	Integer	50	Oui	Niveau de confiance le plus bas utilisé pour récupérer les observables. La valeur maximale est de 100.
Filtre de flux source	CSV	N/A	Non	Liste d'ID de flux séparés par une virgule qui doivent être utilisés pour ingérer les observables. Exemple : 515,4129
Filtre de type observable	CSV	url, domain, email, hash, ip, ipv6	Non	Liste des types observables à ingérer, séparés par une virgule. Exemple : url, domaine Valeurs possibles : url, domain, email, hash, ip, ipv6
Filtre d'état observable	CSV	actif	Non	Liste d'états observables séparés par une virgule qui doivent être utilisés pour ingérer de nouvelles données. Exemple : active,inactive Valeurs possibles : active,inactive,falsepos
Filtre par type de menace	CSV	N/A	Non	Liste de types de menaces séparés par une virgule qui doivent être utilisés pour ingérer les observables. Exemple : аdware,anomalous,anonymization,apt Valeurs possibles : аdware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filtre "Cercle de confiance"	CSV	N/A	Non	Liste d'ID de cercles de confiance séparés par une virgule à utiliser pour ingérer les observables. Exemple : 146,147
Filtre de nom de balise	CSV	N/A	Non	Liste de noms de tags séparés par une virgule, associés aux observables à utiliser pour l'ingestion. Exemple : Identifiants Microsoft, Hameçonnage.
Regroupement des flux sources	Case à cocher	Décochée	Non	Si cette option est activée, le connecteur regroupe les observables de la même source sous la même alerte Siemplify.
Nombre maximal de jours en arrière pour la récupération	Integer	1	Non	Nombre de jours à partir duquel récupérer les observables.
Nombre maximal d'observables par alerte	Integer	100	Non	Combien d'observables doivent faire partie d'une alerte Siemplify ? Le maximum est de 200.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste dynamique sera utilisée comme liste de blocage.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur Siemplify Threatfuse est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.