Halaman ini diterjemahkan oleh Cloud Translation API.

Siemplify ThreatFuse

Versi integrasi: 14.0

Mengonfigurasi integrasi Siemplify ThreatFuse di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root Web	String	https://siemplify.threatstream.com	Ya	Root Web instance Siemplify ThreatFuse. Parameter ini digunakan untuk membuat link laporan di seluruh item integrasi.
Root API	String	https://api.threatstream.com	Ya	Root API instance Siemplify ThreatFuse.
Alamat Email	String	T/A	Ya	Alamat email akun Siemplify ThreatFuse.
Kunci API	Sandi	T/A	Ya	Kunci API akun Siemplify ThreatFuse.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Siemplify ThreatFuse valid.

Untuk mendapatkan kunci API, selesaikan langkah-langkah berikut:

Di setelan akun ThreatStream Anda, buka tab Profil saya.
Buka bagian Informasi akun.
Salin nilai Kunci API.

Kasus Penggunaan

Memperkaya entitas.

Tindakan

Ping

Deskripsi

Uji konektivitas ke Siemplify ThreatFuse dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Run On

Tindakan tidak berjalan di entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Failed to connect to the Siemplify ThreatFuse server! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the Siemplify ThreatFuse server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil: "Failed to connect to the Siemplify ThreatFuse server! Error adalah {0}".format(exception.stacktrace)

Umum

Memperkaya Entitas

Deskripsi

Mengambil informasi tentang IP, URL, hash, alamat email dari Siemplify ThreatFuse. Jika beberapa data ditemukan untuk entitas yang sama, tindakan akan memperkaya menggunakan data terbaru.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Ambang Batas Tingkat Keparahan	DDL	Sedang Nilai yang mungkin: Sangat Tinggi Tinggi Sedang Rendah	Ya	Tentukan batas tingkat keparahan untuk entity, agar ditandai sebagai mencurigakan. Jika beberapa catatan ditemukan untuk entitas yang sama, tindakan akan mengambil tingkat keparahan tertinggi dari semua catatan yang tersedia.
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan untuk entity, agar entity tersebut ditandai sebagai mencurigakan. Maksimum adalah 100. Jika beberapa data ditemukan untuk entitas, tindakan akan mengambil rata-rata. Catatan aktif memiliki prioritas.
Mengabaikan Status Positif Palsu	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengabaikan status positif palsu dan menandai entitas sebagai mencurigakan berdasarkan parameter "Nilai Minimum Keparahan" dan "Nilai Minimum Keyakinan". Jika dinonaktifkan, tindakan tidak akan pernah memberi label pada entitas positif palsu sebagai mencurigakan, terlepas dari apakah entitas tersebut lulus kondisi "Ambang Batas Keparahan" dan "Ambang Batas Keyakinan" atau tidak.
Menambahkan Jenis Ancaman ke Kasus	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan menambahkan jenis ancaman entitas dari semua catatan sebagai tag ke kasus. Contoh: apt
Hanya Insight Entitas Mencurigakan	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, tindakan ini hanya membuat insight untuk entitas yang melampaui parameter "Ambang Batas Keparahan" dan "Ambang Batas Keyakinan".
Buat Insight	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, tindakan ini akan menambahkan insight per entitas yang diproses.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
TFuse_id	Jika tersedia dalam JSON
TFuse_status	Jika tersedia dalam JSON
TFuse_itype	Jika tersedia dalam JSON
TFuse_expiration_time	Jika tersedia dalam JSON
TFuse_ip	Jika tersedia dalam JSON
TFuse_feed_id	Jika tersedia dalam JSON
TFuse_confidence	Jika tersedia dalam JSON
TFuse_uuid	Jika tersedia dalam JSON
TFuse_retina_confidence	Jika tersedia dalam JSON
TFuse_trusted_circle_ids	Jika tersedia dalam JSON
TFuse_source	Jika tersedia dalam JSON
TFuse_latitude	Jika tersedia dalam JSON
TFuse_type	Jika tersedia dalam JSON
TFuse_description	Jika tersedia dalam JSON
TFuse_tags	Jika tersedia dalam JSON
TFuse_threat_score	Jika tersedia dalam JSON
TFuse_source_confidence	Jika tersedia dalam JSON
TFuse_modification_time	Jika tersedia dalam JSON
TFuse_org_name	Jika tersedia dalam JSON
TFuse_asn	Jika tersedia dalam JSON
TFuse_creation_time	Jika tersedia dalam JSON
TFuse_tlp	Jika tersedia dalam JSON
TFuse_country	Jika tersedia dalam JSON
TFuse_longitude	Jika tersedia dalam JSON
TFuse_severity	Jika tersedia dalam JSON
TFuse_subtype	Jika tersedia dalam JSON
TFuse_report	Jika tersedia dalam JSON

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu entitas yang diberikan telah di-enrich (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list) Jika gagal memperkaya entitas tertentu (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum
CSV	Nama Tabel: Link Analisis Terkait: {entity_identifier} Kolom Tabel: Nama: dipetakan sebagai kunci dalam respons kedua (contoh Virustotal) Link: dipetakan sebagai nilai ke kunci	Umum
CSV	Kunci berdasarkan tabel pengayaan. Parameter No Enrichment Prefix ditulis dengan huruf kapital.	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu entitas yang diberikan telah di-enrich (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list)

Jika gagal memperkaya entitas tertentu (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang diperkaya."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

CSV

Nama Tabel: Link Analisis Terkait: {entity_identifier}

Kolom Tabel:

Nama: dipetakan sebagai kunci dalam respons kedua (contoh Virustotal)
Link: dipetakan sebagai nilai ke kunci

Umum

CSV

Kunci berdasarkan tabel pengayaan.

Parameter No Enrichment Prefix ditulis dengan huruf kapital.

Umum

Mendapatkan Hash Terkait

Deskripsi

Mengambil hash terkait entity berdasarkan asosiasi di Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan. Maksimum: 100
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri berbagai tindakan yang dapat dilakukan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri kumpulan intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri TTP.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Hash Maksimum yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah hash yang akan ditampilkan.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email
Pelaku Ancaman
CVE

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related hashes from Siemplify ThreatFuse" Jika tidak ada hash yang ditemukan (is_success=false): "No related hashes were found." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Hashes". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related hashes from Siemplify ThreatFuse"

Jika tidak ada hash yang ditemukan (is_success=false): "No related hashes were found."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Hashes". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Mendapatkan URL Terkait

Deskripsi

Mengambil URL terkait entitas berdasarkan asosiasi di Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan. Maksimum: 100
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri berbagai tindakan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri kumpulan intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri TTP.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Maksimum URL yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah URL yang akan ditampilkan.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email
Pelaku Ancaman
CVE

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu URL di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." Jika tidak ada hash yang ditemukan (is_success=false): "No related urls were found." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan URL Terkait". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu URL di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse."

Jika tidak ada hash yang ditemukan (is_success=false): "No related urls were found."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan URL Terkait". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Mendapatkan Domain Terkait

Deskripsi

Mengambil domain terkait entity berdasarkan asosiasi di Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan. Maksimum: 100
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri berbagai tindakan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri kumpulan intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri TTP.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Maksimum Domain yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah domain yang akan ditampilkan.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email
Pelaku Ancaman
CVE

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
"domains": ["www.google.com"]
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." Jika tidak ada hash yang ditemukan (issuccess=false): "No related domains were found." (Tidak ada domain terkait yang ditemukan.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Domain Terkait". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse."

Jika tidak ada hash yang ditemukan (issuccess=false): "No related domains were found." (Tidak ada domain terkait yang ditemukan.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Domain Terkait". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Mendapatkan Alamat Email Terkait

Deskripsi

Mengambil alamat email terkait entitas berdasarkan asosiasi di Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan. Maksimum: 100
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri berbagai tindakan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri kumpulan intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri TTP.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Maksimum Domain yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah domain yang akan ditampilkan.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email
Pelaku Ancaman
CVE

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse." Jika tidak ada hash yang ditemukan (issuccess=false): "No related email addresses were found." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Email Addresses". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak dalam rentang 0-100: "Nilai 'Confidence Threshold' harus dalam rentang 0 hingga 100."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse."

Jika tidak ada hash yang ditemukan (issuccess=false): "No related email addresses were found."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Email Addresses". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak dalam rentang 0-100: "Nilai 'Confidence Threshold' harus dalam rentang 0 hingga 100."

Umum

Mendapatkan IP Terkait

Deskripsi

Mengambil alamat IP terkait entitas berdasarkan asosiasi di Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Keyakinan	Bilangan bulat	T/A	Ya	Tentukan nilai minimum keyakinan. Maksimum: 100
Menelusuri Buletin Ancaman	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri buletin ancaman.
Menelusuri Aktor	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara aktor.
Menelusuri Pola Serangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri pola serangan.
Kampanye Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kampanye.
Menelusuri Tindakan yang Harus Dilakukan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, penelusuran tindakan akan dilakukan di antara serangkaian tindakan.
Menelusuri Identitas	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri identitas.
Telusuri Insiden	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri insiden.
Menelusuri Infrastruktur	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri infrastruktur.
Menelusuri Set Intrusi	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri kumpulan intrusi.
Cari Malware	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri malware.
Menelusuri Tanda Tangan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri di antara tanda tangan.
Alat Penelusuran	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan menelusuri di antara alat.
Menelusuri TTP	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri TTP.
Menelusuri Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan menelusuri kerentanan.
Jumlah Maksimum Domain yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah domain yang akan ditampilkan.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email
Pelaku Ancaman
CVE

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output\*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse." Jika tidak ada hash yang ditemukan (is_success=false): "No related IPs were found." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related IPs". Alasan: {0}''.format(error.Stacktrace) Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output\*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse."

Jika tidak ada hash yang ditemukan (is_success=false): "No related IPs were found."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related IPs". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Confidence Threshold" tidak berada dalam rentang 0-100: "Nilai 'Confidence Threshold' harus berada dalam rentang 0 hingga 100."

Umum

Mendapatkan Asosiasi Terkait

Deskripsi

Mengambil asosiasi terkait entity dari Siemplify ThreatFuse.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Kampanye Pengembalian	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil kampanye terkait dan detailnya.
Buletin Ancaman Balik	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan mengambil buletin ancaman terkait dan detailnya.
Aktor yang Kembali	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil aktor terkait dan detail tentangnya.
Pola Serangan Kembali	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan mengambil pola serangan terkait dan detailnya.
Return Courses Of Action	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil tindakan terkait dan detailnya.
Mengembalikan Identitas	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil identitas terkait dan detail tentang identitas tersebut.
Insiden Pengembalian	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil insiden terkait dan detailnya.
Infrastruktur Pengembalian	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil infrastruktur terkait dan detailnya.
Mengembalikan Kumpulan Penyusupan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan mengambil set intrusi terkait dan detailnya.
Mengembalikan Malware	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan mengambil malware terkait dan detailnya.
Tanda Tangan yang Dikembalikan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil tanda tangan terkait dan detailnya.
Alat Pengembalian	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil alat terkait dan detailnya.
TTP yang Ditampilkan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil TTP terkait dan detailnya.
Mengembalikan Kerentanan	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan akan mengambil kerentanan terkait dan detailnya.
Buat Entitas Kampanye	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat entitas dari asosiasi "Kampanye" yang tersedia.
Membuat Entity Aktor	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat entity dari asosiasi "Aktor" yang tersedia.
Membuat Entity Tanda Tangan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat entitas dari asosiasi "Tanda Tangan" yang tersedia.
Membuat Entity Kerentanan	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat entitas dari asosiasi "Kerentanan" yang tersedia.
Buat Insight	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat insight berdasarkan hasilnya.
Membuat Tag Kasus	Kotak centang	Dicentang	Tidak	Jika diaktifkan, tindakan ini akan membuat tag kasus berdasarkan hasil.
Jumlah Maksimum Asosiasi yang Akan Ditampilkan	Bilangan bulat	T/A	Tidak	Tentukan jumlah asosiasi yang akan ditampilkan per jenis.
Jumlah Maksimum Statistik yang Akan Ditampilkan	Bilangan bulat	3	Tidak	Tentukan jumlah hasil statistik teratas terkait IOC yang akan ditampilkan. Catatan: Tindakan ini memproses maksimum 1.000 IOC yang terkait dengan asosiasi. Jika Anda memberikan "0", tindakan tidak akan mencoba mengambil informasi statistik.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email

Hasil Tindakan

Hasil skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu pengaitan di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Berhasil mengambil pengaitan terkait dari Siemplify ThreatFuse) Jika tidak ada pengaitan yang ditemukan (is_success=false): "Tidak ada pengaitan terkait yang ditemukan." Pesan Asinkron: Menunggu semua detail asosiasi diambil" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Association". Alasan: {0}''.format(error.Stacktrace)	Umum
CSV	Nama: "Pengaitan Terkait" Kolom: ID Nama Jenis (nama asosiasi) Status (dipetakan sebagai status/display_name)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu pengaitan di seluruh entitas ditemukan (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Berhasil mengambil pengaitan terkait dari Siemplify ThreatFuse)

Jika tidak ada pengaitan yang ditemukan (is_success=false): "Tidak ada pengaitan terkait yang ditemukan."

Pesan Asinkron: Menunggu semua detail asosiasi diambil"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Related Association". Alasan: {0}''.format(error.Stacktrace)

Umum

CSV

Nama: "Pengaitan Terkait"

Kolom:

ID
Nama
Jenis (nama asosiasi)
Status (dipetakan sebagai status/display_name)

Umum

Mengirimkan Observasi

Deskripsi

Kirimkan pengamatan ke Siemplify ThreatFuse berdasarkan entitas IP, URL, Hash, Email.

Tempat menemukan ID lingkaran tepercaya

Untuk menemukan ID lingkaran tepercaya, temukan lingkaran tepercaya di Siemplify ThreatFuse, lalu klik namanya. URL yang ditampilkan di kolom URL menampilkan ID.

Misalnya: https://siemplify.threatstream.com/search?trustedcircles=13.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Klasifikasi	DDL	Pribadi Nilai yang Mungkin: Publik Pribadi	Ya	Tentukan klasifikasi yang dapat diamati.
Jenis Ancaman	DDL	APT Nilai yang Mungkin Muncul APT Adware Tidak wajar Anonimisasi Bot Brute C2 Disusupi Kripto Kebocoran Data DDOS DNS Dinamis Pemindahan yang tidak sah Eksploit Penipuan Alat Peretasan I2P Informatif Malware P2 Terparkir Phish Pindai Dolin Sosial Spam Menyembunyikan Mencurigakan TOR VPS	Ya	Tentukan jenis ancaman untuk pengamatan.
Sumber	String	Siemplify	Tidak	Tentukan sumber informasi untuk pengamatan.
Tanggal Habis Masa Berlaku	Bilangan bulat	T/A	Tidak	Tentukan tanggal habis masa berlaku dalam hari untuk yang dapat diamati. Jika tidak ada yang ditentukan di sini, tindakan akan membuat observable yang tidak pernah habis masa berlakunya.
ID Lingkaran Tepercaya	CSV	T/A	Tidak	Tentukan daftar ID lingkaran tepercaya yang dipisahkan koma. Data yang dapat diamati dibagikan kepada lingkaran tepercaya tersebut.
TLP	DDL	Pilih Satu Nilai yang Mungkin: Pilih Satu Merah Hijau Oranye kekuningan Putih	Tidak	Tentukan TLP untuk pengamatan Anda.
Keyakinan	Bilangan bulat	T/A	Tidak	Tentukan keyakinan untuk yang dapat diamati. Catatan: Parameter ini hanya berfungsi jika Anda membuat objek yang dapat diamati di organisasi dan parameter "Ganti Keyakinan Sistem" diaktifkan.
Mengganti Keyakinan Sistem	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, pengamatan yang dibuat memiliki keyakinan yang ditentukan dalam parameter "Keyakinan". Catatan: Anda tidak dapat membagikan data yang dapat diamati dalam lingkaran tepercaya dan secara publik, jika parameter ini diaktifkan.
Pengiriman Anonim	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan akan membuat pengiriman anonim.
Tag	CSV	T/A	Tidak	Tentukan daftar tag yang dipisahkan koma yang ingin Anda tambahkan ke yang dapat diamati.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success=False

Hasil JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Jika gagal untuk beberapa entitas (entitas yang ditolak) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang berhasil dikirim ke Siemplify ThreatFuse." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Submit Observable". Alasan: {0}''.format(error.Stacktrace) Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Submit Observable". Alasan: {0}''.format(message)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Jika gagal untuk beberapa entitas (entitas yang ditolak) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (is_success=false): "Tidak ada entitas yang berhasil dikirim ke Siemplify ThreatFuse."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Submit Observable". Alasan: {0}''.format(error.Stacktrace)

Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Submit Observable". Alasan: {0}''.format(message)

Umum

Laporkan Sebagai Positif Palsu

Deskripsi

Laporkan entitas di Siemplify ThreatFuse sebagai positif palsu.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Alasan	String	T/A	Ya	Tentukan alasan Anda ingin menandai entity sebagai positif palsu.
Komentar	String	T/A	Ya	Tentukan informasi tambahan terkait keputusan Anda untuk menandai entity sebagai positif palsu.

Run On

Tindakan ini berjalan di entity berikut:

Hash
Alamat IP
URL
Ekspresi reguler Nama Pengguna dengan Email

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Jika gagal menandai entitas tertentu (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (issuccess=false): "Tidak ada entitas yang dilaporkan sebagai positif palsu." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Laporkan Sebagai Positif Palsu". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya satu hash di seluruh entitas ditemukan (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Jika gagal menandai entitas tertentu (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Jika gagal memperkaya semua entitas (issuccess=false): "Tidak ada entitas yang dilaporkan sebagai positif palsu."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Laporkan Sebagai Positif Palsu". Alasan: {0}''.format(error.Stacktrace)

Umum

Konektor

Mengonfigurasi Siemplify ThreatFuse - Observables Connector

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Siemplify ThreatFuse - Observables Connector

Tarik objek yang dapat diamati dari Siemplify ThreatFuse.

Rekomendasi

Saat mengonfigurasi konektor, sebaiknya gunakan lingkungan terpisah, sehingga analis tidak dibanjiri dengan semua pemberitahuan spekulatif.

Tempat menemukan ID lingkaran tepercaya

Untuk menemukan ID lingkaran tepercaya, temukan lingkaran tepercaya di Siemplify ThreatFuse, lalu klik namanya. URL yang ditampilkan di kolom URL menampilkan ID.

Misalnya: https://siemplify.threatstream.com/search?trustedcircles=13.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa	String	jenis	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan	String	""	Tidak	Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan	String	.*	Tidak	Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	300	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	https://api.threat stream.com	Ya	Root API instance Siemplify ThreatFuse.
Alamat Email	String	T/A	Ya	Alamat email akun Siemplify ThreatFuse.
Kunci API	Sandi	T/A	Ya	Kunci API akun Siemplify ThreatFuse.
Tingkat Keparahan Terendah yang Akan Diambil	String	Tinggi	Ya	Tingkat keparahan terendah yang akan digunakan untuk mengambil data yang dapat diamati. Kemungkinan nilai: Rendah Sedang Tinggi Sangat Tinggi
Keyakinan Terendah yang Akan Diambil	Bilangan bulat	50	Ya	Tingkat keyakinan terendah yang akan digunakan untuk mengambil pengamatan. Maksimum adalah 100.
Filter Feed Sumber	CSV	T/A	Tidak	Daftar ID feed yang dipisahkan koma yang harus digunakan untuk menyerap data yang dapat diamati. Contoh: 515,4129
Filter Jenis yang Dapat Diamati	CSV	url, domain, email, hash, ip, ipv6	Tidak	Daftar jenis yang dapat diamati yang dipisahkan koma yang harus diproses. Contoh: url, domain Nilai yang mungkin: url, domain, email, hash, ip, ipv6
Filter Status yang Dapat Diamati	CSV	aktif	Tidak	Daftar status yang dapat diamati yang dipisahkan koma yang harus digunakan untuk memproses data baru. Contoh: aktif,tidak aktif Nilai yang mungkin: active,inactive,falsepos
Filter Jenis Ancaman	CSV	T/A	Tidak	Daftar jenis ancaman yang dipisahkan koma yang harus digunakan untuk menyerap data yang dapat diamati. Contoh: аdware,anomalous,anonymization,apt Nilai yang mungkin: аdware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filter Lingkaran Tepercaya	CSV	T/A	Tidak	Daftar ID lingkaran tepercaya yang dipisahkan koma yang harus digunakan untuk menyerap pengamatan. Contoh: 146,147
Filter Nama Tag	CSV	T/A	Tidak	Daftar nama tag yang dipisahkan koma dan terkait dengan objek yang dapat diamati yang harus digunakan dengan penyerapan. Contoh: Kredensial Microsoft, Phishing.
Pengelompokan Feed Sumber	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, konektor akan mengelompokkan objek yang dapat diamati dari sumber yang sama dalam Siemplify Alert yang sama.
Ambil Jumlah Hari Maksimum ke Belakang	Bilangan bulat	1	Tidak	Jumlah hari dari tempat pengambilan data yang dapat diamati.
Jumlah Maksimum Observasi Per Pemberitahuan	Bilangan bulat	100	Tidak	Berapa banyak objek yang dapat diamati yang harus menjadi bagian dari satu Pemberitahuan Siemplify. Maksimumnya adalah 200.
Menggunakan daftar yang diizinkan sebagai daftar blokir	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan.
Verifikasi SSL	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Siemplify Threatfuse valid.
Alamat Server Proxy	String	T/A	Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String	T/A	Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi	T/A	Tidak	Sandi proxy untuk mengautentikasi.

Aturan konektor

Dukungan proxy

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.