Questa pagina è stata tradotta dall'API Cloud Translation.

Siemplify ThreatFuse

Versione integrazione: 14.0

Configurare l'integrazione di Siemplify ThreatFuse in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Root web	Stringa	https://siemplify.threatstream.com	Sì	Root web dell'istanza di Siemplify ThreatFuse. Questo parametro viene utilizzato per creare link ai report tra gli elementi di integrazione.
Root API	Stringa	https://api.threatstream.com	Sì	Radice API dell'istanza di Siemplify ThreatFuse.
Indirizzo email	Stringa	N/D	Sì	Indirizzo email dell'account Siemplify ThreatFuse.
Chiave API	Password	N/D	Sì	Chiave API dell'account Siemplify ThreatFuse.
Verifica SSL	Casella di controllo	Selezionata	Sì	Se abilitata, verifica che il certificato SSL per la connessione al server Siemplify ThreatFuse sia valido.

Per ottenere la chiave API, completa i seguenti passaggi:

Nelle impostazioni dell'account ThreatStream, vai alla scheda Il mio profilo.
Vai alla sezione Informazioni sull'account.
Copia il valore della chiave API.

Casi d'uso

Arricchisci le entità.

Azioni

Dindin

Descrizione

Verifica la connettività a Siemplify ThreatFuse con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Run On

L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Siemplify ThreatFuse riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione al server Siemplify ThreatFuse riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se l'operazione non va a buon fine: "Impossibile connettersi al server Siemplify ThreatFuse. Error is {0}".format(exception.stacktrace)

Generale

Arricchisci entità

Descrizione

Recupera informazioni su IP, URL, hash, indirizzi email da Siemplify ThreatFuse. Se vengono trovati più record per la stessa entità, l'azione verrà arricchita utilizzando il record più recente.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di gravità	DDL	Media Valore possibile: Molto alto Alta Medie Bassa	Sì	Specifica la soglia di gravità per l'entità, in modo da contrassegnarla come sospetta. Se vengono trovati più record per la stessa entità, l'azione prende la gravità più elevata tra tutti i record disponibili.
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza per l'entità, in modo da contrassegnarla come sospetta. Il valore massimo è 100. Se vengono trovate più registrazioni per l'entità, l'azione prende la media. I record attivi hanno la priorità.
Ignora lo stato di falso positivo	Casella di controllo	Deselezionata	No	Se abilitata, l'azione ignora lo stato di falso positivo e contrassegna l'entità come sospetta in base ai parametri "Soglia di gravità" e "Soglia di confidenza". Se disattivata, l'azione non etichetta mai le entità false positive come sospette, indipendentemente dal fatto che superino o meno le condizioni "Soglia di gravità" e "Soglia di confidenza".
Aggiungere il tipo di minaccia alla richiesta	Casella di controllo	Deselezionata	No	Se abilitata, l'azione aggiunge i tipi di minaccia dell'entità da tutti i record come tag alla richiesta. Esempio: apt
Solo approfondimento Entità sospetta	Casella di controllo	Deselezionata	Sì	Se attivata, l'azione crea approfondimenti solo per le entità che hanno superato i parametri "Soglia di gravità" e "Soglia di confidenza".
Crea approfondimento	Casella di controllo	Deselezionata	Sì	Se abilitata, l'azione aggiunge una statistica per ogni entità elaborata.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
TFuse_id	Quando disponibile in formato JSON
TFuse_status	Quando disponibile in formato JSON
TFuse_itype	Quando disponibile in formato JSON
TFuse_expiration_time	Quando disponibile in formato JSON
TFuse_ip	Quando disponibile in formato JSON
TFuse_feed_id	Quando disponibile in formato JSON
TFuse_confidence	Quando disponibile in formato JSON
TFuse_uuid	Quando disponibile in formato JSON
TFuse_retina_confidence	Quando disponibile in formato JSON
TFuse_trusted_circle_ids	Quando disponibile in formato JSON
TFuse_source	Quando disponibile in formato JSON
TFuse_latitude	Quando disponibile in formato JSON
TFuse_type	Quando disponibile in formato JSON
TFuse_description	Quando disponibile in formato JSON
TFuse_tags	Quando disponibile in formato JSON
TFuse_threat_score	Quando disponibile in formato JSON
TFuse_source_confidence	Quando disponibile in formato JSON
TFuse_modification_time	Quando disponibile in formato JSON
TFuse_org_name	Quando disponibile in formato JSON
TFuse_asn	Quando disponibile in formato JSON
TFuse_creation_time	Quando disponibile in formato JSON
TFuse_tlp	Quando disponibile in formato JSON
TFuse_country	Quando disponibile in formato JSON
TFuse_longitude	Quando disponibile in formato JSON
TFuse_severity	Quando disponibile in formato JSON
TFuse_subtype	Quando disponibile in formato JSON
TFuse_report	Quando disponibile in formato JSON

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è arricchita (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list) Se non riesci ad arricchire entità specifiche (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale
CSV	Nome tabella: Link alle analisi correlate: {entity_identifier} Colonne della tabella: Nome: mappato come chiave nella seconda risposta (esempio Virustotal) Link: mappato come valore della chiave	Generale
CSV	Chiavi basate sulla tabella di arricchimento. Il parametro No Enrichment Prefix è scritto in maiuscolo.	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e almeno una delle entità fornite è arricchita (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list)

Se non riesci ad arricchire entità specifiche (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata arricchita."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

CSV

Nome tabella: Link alle analisi correlate: {entity_identifier}

Colonne della tabella:

Nome: mappato come chiave nella seconda risposta (esempio Virustotal)
Link: mappato come valore della chiave

Generale

CSV

Chiavi basate sulla tabella di arricchimento.

Il parametro No Enrichment Prefix è scritto in maiuscolo.

Generale

Get Related Hashes

Descrizione

Recupera gli hash correlati alle entità in base alle associazioni in Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Massimo: 100
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cerca le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, l'azione cerca tra i corsi d'azione.
Cerca identità	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i gruppi di intrusione.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le TTP.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le vulnerabilità.
Numero massimo di hash da restituire	Numero intero	50	No	Specifica il numero di hash da restituire.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email
Utente malintenzionato
CVE

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Recupero riuscito degli hash correlati da Siemplify ThreatFuse" Se non vengono trovati hash (is_success=false): "Non sono stati trovati hash correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni hash correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Recupero riuscito degli hash correlati da Siemplify ThreatFuse"

Se non vengono trovati hash (is_success=false): "Non sono stati trovati hash correlati."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni hash correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Ottenere URL correlati

Descrizione

Recupera gli URL correlati alle entità in base alle associazioni in Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Massimo: 100
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cerca le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i corsi d'azione.
Cerca identità	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i gruppi di intrusione.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le TTP.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le vulnerabilità.
Numero massimo di URL da restituire	Numero intero	50	No	Specifica il numero di URL da restituire.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email
Utente malintenzionato
CVE

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un URL tra le entità (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." Se non vengono trovati hash (is_success=false): "Non sono stati trovati URL correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera URL correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un URL tra le entità (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse."

Se non vengono trovati hash (is_success=false): "Non sono stati trovati URL correlati."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera URL correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Recupera domini correlati

Descrizione

Recupera i domini correlati alle entità in base alle associazioni in Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Massimo: 100
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cerca le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i corsi d'azione.
Cerca identità	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i gruppi di intrusione.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le TTP.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le vulnerabilità.
Numero massimo di domini da restituire	Numero intero	50	No	Specifica il numero di domini da restituire.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email
Utente malintenzionato
CVE

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
"domains": ["www.google.com"]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." Se non vengono trovati hash (issuccess=false): "Non sono stati trovati domini correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera domini correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse."

Se non vengono trovati hash (issuccess=false): "Non sono stati trovati domini correlati."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera domini correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Recuperare indirizzi email correlati

Descrizione

Recupera gli indirizzi email correlati alle entità in base alle associazioni in Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Massimo: 100
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cerca le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i corsi d'azione.
Cerca identità	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i gruppi di intrusione.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le TTP.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le vulnerabilità.
Numero massimo di domini da restituire	Numero intero	50	No	Specifica il numero di domini da restituire.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email
Utente malintenzionato
CVE

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse." Se non vengono trovati hash (issuccess=false): "No related email addresses were found." (Non sono stati trovati indirizzi email correlati.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera indirizzi email correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse."

Se non vengono trovati hash (issuccess=false): "No related email addresses were found." (Non sono stati trovati indirizzi email correlati.)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera indirizzi email correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Ottieni IP correlati

Descrizione

Recupera gli indirizzi IP correlati all'entità in base alle associazioni in Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Massimo: 100
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cerca le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, la ricerca di azioni tra i corsi di azione.
Cerca identità	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra i gruppi di intrusione.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione esegue la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le TTP.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione esegue la ricerca tra le vulnerabilità.
Numero massimo di domini da restituire	Numero intero	50	No	Specifica il numero di domini da restituire.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email
Utente malintenzionato
CVE

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse." Se non vengono trovati hash (is_success=false): "Non sono stati trovati IP correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera IP correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse."

Se non vengono trovati hash (is_success=false): "Non sono stati trovati IP correlati."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera IP correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Get Related Associations

Descrizione

Recupera le associazioni correlate alle entità da Siemplify ThreatFuse.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Campagne per i resi	Casella di controllo	Selezionata	No	Se attivata, l'azione recupera le campagne correlate e i relativi dettagli.
Restituisci bollettini sulle minacce	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera i bollettini sulle minacce correlati e i relativi dettagli.
Attori di ritorno	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera gli attori correlati e i relativi dettagli.
Restituisce i pattern di attacco	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera i pattern di attacco correlati e i relativi dettagli.
Restituisci i corsi di azione	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera le azioni correlate e i relativi dettagli.
Restituisci identità	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera le identità correlate e i relativi dettagli.
Incidenti di reso	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera gli incidenti correlati e i relativi dettagli.
Infrastruttura di ritorno	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera l'infrastruttura correlata e i relativi dettagli.
Restituisci set di intrusioni	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera i gruppi di intrusione correlati e i relativi dettagli.
Restituzione di malware	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera i malware correlati e i relativi dettagli.
Firme per il reso	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera le firme correlate e i relativi dettagli.
Strumenti di reso	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera gli strumenti correlati e i relativi dettagli.
TTP per i resi	Casella di controllo	Deselezionata	No	Se attivata, l'azione recupera le TTP correlate e i relativi dettagli.
Restituisci vulnerabilità	Casella di controllo	Selezionata	No	Se attivata, l'azione recupera le vulnerabilità correlate e i relativi dettagli.
Crea entità campagna	Casella di controllo	Deselezionata	No	Se attivata, l'azione crea un'entità dalle associazioni "Campagna" disponibili.
Crea entità Attori	Casella di controllo	Deselezionata	No	Se abilitata, l'azione crea un'entità dalle associazioni "Attore" disponibili.
Crea entità firma	Casella di controllo	Deselezionata	No	Se attivata, l'azione crea un'entità dalle associazioni "Firma" disponibili.
Crea entità vulnerabilità	Casella di controllo	Deselezionata	No	Se attivata, l'azione crea un'entità dalle associazioni "Vulnerabilità" disponibili.
Crea approfondimento	Casella di controllo	Selezionata	No	Se attivata, l'azione crea un approfondimento basato sui risultati.
Crea tag richiesta	Casella di controllo	Selezionata	No	Se abilitata, l'azione crea tag di casi in base ai risultati.
Numero massimo di associazioni da restituire	Numero intero	N/D	No	Specifica il numero di associazioni da restituire per tipo.
Numero massimo di statistiche da restituire	Numero intero	3	No	Specifica il numero di risultati delle statistiche principali relative agli IOC da restituire. Nota:l'azione elabora un massimo di 1000 IOC correlati all'associazione. Se fornisci "0", l'azione non tenta di recuperare le informazioni statistiche.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email

Risultati dell'azione

Risultato dello script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovata almeno un'associazione tra le entità (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Associazioni correlate recuperate correttamente da Siemplify ThreatFuse) Se non vengono trovate associazioni (is_success=false): "Non sono state trovate associazioni correlate." Messaggio asincrono: in attesa del recupero di tutti i dettagli dell'associazione" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni associazione correlata". Motivo: {0}''.format(error.Stacktrace)	Generale
CSV	Nome: "Associazioni correlate" Colonne: ID Nome Tipo (nome dell'associazione) Stato (mappato come stato/display_name)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovata almeno un'associazione tra le entità (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Associazioni correlate recuperate correttamente da Siemplify ThreatFuse)

Se non vengono trovate associazioni (is_success=false): "Non sono state trovate associazioni correlate."

Messaggio asincrono: in attesa del recupero di tutti i dettagli dell'associazione"

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni associazione correlata". Motivo: {0}''.format(error.Stacktrace)

Generale

CSV

Nome: "Associazioni correlate"

Colonne:

ID
Nome
Tipo (nome dell'associazione)
Stato (mappato come stato/display_name)

Generale

Inviare gli osservabili

Descrizione

Invia un osservabile a Siemplify ThreatFuse in base alle entità IP, URL, hash, email.

Dove trovare gli ID cerchia attendibili

Per trovare l'ID di un cerchio attendibile, individua il cerchio attendibile in Siemplify ThreatFuse e fai clic sul suo nome. L'URL visualizzato nella barra degli indirizzi mostra l'ID.

Ad esempio: https://siemplify.threatstream.com/search?trustedcircles=13.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Classificazione	DDL	Privato Valori possibili: Pubblico Privato	Sì	Specifica la classificazione dell'osservabile.
Tipo di minaccia	DDL	APT Valori possibili APT Adware Anomali Anomyzation Bot Brute C2 Compromessi Crypto Data Leakage DDOS DNS dinamico Esfiltrazione Exploit Attività fraudolenta Strumento di hacking I2P Informativo Malware P2 Parcheggiata Phish Scansione Sinkhole Social Spam Ignora Contenuti sospetti TOR VPS	Sì	Specifica il tipo di minaccia per gli indicatori.
Origine	Stringa	Siemplify	No	Specifica l'origine delle informazioni per l'osservabile.
Data di scadenza	Numero intero	N/D	No	Specifica la data di scadenza in giorni per l'osservabile. Se non viene specificato nulla, l'azione crea un osservabile che non scade mai.
ID cerchie attendibili	CSV	N/D	No	Specifica un elenco separato da virgole di ID cerchia attendibili. Gli osservabili vengono condivisi con queste cerchie attendibili.
TLP	DDL	Selezionane uno Valori possibili: Selezionane uno Rosso Verde Ambra Bianco	No	Specifica il TLP per gli indicatori.
Confidenza	Numero intero	N/D	No	Specifica il livello di confidenza per l'osservabile. Nota:questo parametro funziona solo se crei osservabili nella tua organizzazione e il parametro "Override System Confidence" è attivato.
Override della confidenza del sistema	Casella di controllo	Deselezionata	No	Se attivata, gli osservabili creati hanno l'affidabilità specificata nel parametro "Affidabilità". Nota:quando questo parametro è attivato, non puoi condividere gli indicatori in cerchie attendibili e pubblicamente.
Invio anonimo	Casella di controllo	Deselezionata	No	Se abilitata, l'azione esegue un invio anonimo.
Tag	CSV	N/D	No	Specifica un elenco separato da virgole di tag da aggiungere all'osservabile.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success=False

Risultato JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione ha esito positivo e viene trovato almeno un hash tra le entità (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Se l'operazione non riesce per alcune entità (entità rifiutate) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata inviata correttamente a Siemplify ThreatFuse." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia osservabile". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 400: "Errore durante l'esecuzione dell'azione "Invia osservabile". Motivo: {0}''.format(message)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione ha esito positivo e viene trovato almeno un hash tra le entità (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Se l'operazione non riesce per alcune entità (entità rifiutate) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata inviata correttamente a Siemplify ThreatFuse."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia osservabile". Motivo: {0}''.format(error.Stacktrace)

Se viene segnalato il codice di stato 400: "Errore durante l'esecuzione dell'azione "Invia osservabile". Motivo: {0}''.format(message)

Generale

Segnala come falso positivo

Descrizione

Segnala le entità in Siemplify ThreatFuse come falsi positivi.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Motivo	Stringa	N/D	Sì	Specifica il motivo per cui vuoi contrassegnare le entità come falsi positivi.
Commento	Stringa	N/D	Sì	Specifica informazioni aggiuntive relative alla tua decisione di contrassegnare l'entità come falso positivo.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Espressioni regolari per nome utente con email

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Se non riesci a contrassegnare entità specifiche (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (issuccess=false): "Nessuna entità è stata segnalata come falso positivo". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Segnala come falso positivo". Motivo: {0}''.format(error.Stacktrace)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Se non riesci a contrassegnare entità specifiche (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se l'arricchimento non va a buon fine per tutte le entità (issuccess=false): "Nessuna entità è stata segnalata come falso positivo".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Segnala come falso positivo". Motivo: {0}''.format(error.Stacktrace)

Generale

Connettore

Configura il connettore Siemplify ThreatFuse - Observables

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Siemplify ThreatFuse - Observables Connector

Estrai gli osservabili da Siemplify ThreatFuse.

Consigli

Quando configuri il connettore, ti consigliamo di utilizzare un ambiente separato, in modo che gli analisti non vengano inondati da tutti gli avvisi speculativi.

Dove trovare gli ID cerchia attendibili

Per trovare l'ID di un cerchio attendibile, individua il cerchio attendibile in Siemplify ThreatFuse e fai clic sul suo nome. L'URL visualizzato nella barra degli indirizzi mostra l'ID.

Ad esempio: https://siemplify.threatstream.com/search?trustedcircles=13.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome campo prodotto	Stringa	Nome prodotto	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento	Stringa	tipo	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente	Stringa	""	No	Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex dell'ambiente	Stringa	.*	No	Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi)	Numero intero	300	Sì	Limite di timeout per il processo Python che esegue lo script corrente.
Root API	Stringa	https://api.threat stream.com	Sì	Radice dell'API dell'istanza di Siemplify ThreatFuse.
Indirizzo email	Stringa	N/D	Sì	Indirizzo email dell'account Siemplify ThreatFuse.
Chiave API	Password	N/D	Sì	Chiave API dell'account Siemplify ThreatFuse.
Gravità minima da recuperare	Stringa	Alta	Sì	La gravità più bassa che verrà utilizzata per recuperare gli osservabili. Valori possibili: Low Media Alta Molto alto
Confidenza minima per il recupero	Numero intero	50	Sì	Il livello di confidenza più basso che verrà utilizzato per recuperare gli osservabili. Il valore massimo è 100.
Filtro feed di origine	CSV	N/D	No	Elenco separato da virgole di ID feed da utilizzare per l'importazione di osservabili. Esempio: 515,4129
Filtro tipo di osservabile	CSV	url, domain, email, hash, ip, ipv6	No	Elenco separato da virgole dei tipi osservabili da inserire. Esempio: url, domain Valori possibili: url, domain, email, hash, ip, ipv6
Filtro stato osservabile	CSV	attivo	No	Elenco separato da virgole dello stato osservabile da utilizzare per l'importazione di nuovi dati. Esempio: active,inactive Valori possibili: active,inactive,falsepos
Filtro Tipo di minaccia	CSV	N/D	No	Elenco separato da virgole dei tipi di minaccia da utilizzare per l'importazione degli indicatori. Esempio: аdware,anomalous,anonymization,apt Valori possibili: аdware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filtro Cerchie attendibili	CSV	N/D	No	Elenco separato da virgole di ID cerchia attendibili da utilizzare per l'importazione di osservabili. Esempio: 146,147
Filtro per nome tag	CSV	N/D	No	Elenco separato da virgole dei nomi dei tag associati agli osservabili da utilizzare per l'importazione. Esempio: credenziali Microsoft, phishing.
Raggruppamento dei feed di origine	Casella di controllo	Deselezionata	No	Se abilitato, il connettore raggrupperà gli osservabili della stessa origine nello stesso avviso di Siemplify.
Recupera giorni massimi a ritroso	Numero intero	1	No	Numero di giorni da cui recuperare gli osservabili.
Numero massimo di osservabili per avviso	Numero intero	100	No	Quanti osservabili devono far parte di un avviso Siemplify. Il valore massimo è 200.
Utilizzare la lista consentita come lista nera	Casella di controllo	Deselezionata	Sì	Se attivato, l'elenco dinamico verrà utilizzato come lista bloccata.
Verifica SSL	Casella di controllo	Deselezionata	Sì	Se abilitato, verifica che il certificato SSL per la connessione al server Siemplify Threatfuse sia valido.
Indirizzo del server proxy	Stringa	N/D	No	L'indirizzo del server proxy da utilizzare.
Nome utente proxy	Stringa	N/D	No	Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy	Password	N/D	No	La password del proxy per l'autenticazione.

Regole del connettore

Supporto del proxy

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.