Siemplify ThreatFuse
統合バージョン: 14.0
Google Security Operations で Siemplify ThreatFuse の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ウェブ ルート | 文字列 | https://siemplify.threatstream.com | はい | Siemplify ThreatFuse インスタンスのウェブルート。このパラメータは、統合アイテム間でレポートリンクを作成するために使用されます。 |
| API ルート | 文字列 | https://api.threatstream.com | はい | Siemplify ThreatFuse インスタンスの API ルート。 |
| メールアドレス | 文字列 | なし | はい | Siemplify ThreatFuse アカウントのメールアドレス。 |
| API キー | パスワード | なし | はい | Siemplify ThreatFuse アカウントの API キー。 |
| SSL を確認する | チェックボックス | オン | はい | 有効にすると、Siemplify ThreatFuse サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
API キーを取得する手順は次のとおりです。
ThreatStream アカウント設定で、[My profile] タブに移動します。
[アカウント情報] セクションに移動します。
API キーの値をコピーします。
ユースケース
エンティティを拡充します。
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Siemplify ThreatFuse への接続性をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
一般 |
エンティティの拡充
説明
Siemplify ThreatFuse から IP、URL、ハッシュ、メールアドレスに関する情報を取得します。同じエンティティに対して複数のレコードが見つかった場合、アクションは最新のレコードを使用して拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 重大度のしきい値 | DDL | 中 値の例:
|
はい | エンティティを不審としてマークするための重大度のしきい値を指定します。 同じエンティティに対して複数のレコードが見つかった場合、このアクションでは、使用可能なすべてのレコードの中で最も重大度の高いレコードが使用されます。 |
| 信頼度のしきい値 | Integer | なし | はい | エンティティを不審としてマークするための信頼度のしきい値を指定します。 最大値は 100 です。 エンティティに複数のレコードが見つかった場合、アクションは平均値を取得します。 有効なレコードが優先されます。 |
| Ignore False Positive Status(誤検知ステータスを無視) | チェックボックス | オフ | いいえ | 有効にすると、アクションは誤検出ステータスを無視し、[Severity Threshold] パラメータと [Confidence Threshold] パラメータに基づいてエンティティを不審としてマークします。 無効にすると、アクションは「重大度のしきい値」と「信頼度のしきい値」の条件を満たしているかどうかにかかわらず、誤検出のエンティティを不審としてラベル付けしません。 |
| ケースに脅威の種類を追加 | チェックボックス | オフ | いいえ | 有効にすると、アクションによって、すべてのレコードのエンティティの脅威タイプがケースのタグとして追加されます。 例: apt |
| 不審なエンティティのインサイトのみ | チェックボックス | オフ | はい | 有効にした場合、アクションによって「重大度しきい値」と「信頼度しきい値」のパラメータを超えたエンティティに関する分析情報のみが作成されます。 |
| インサイトの作成 | チェックボックス | オフ | はい | 有効にすると、処理されたエンティティごとに分析情報が追加されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"objects": [
{
"status": "inactive",
"itype": "mal_md5",
"expiration_ts": "2019-02-25T08:58:58.000Z",
"ip": null,
"is_editable": false,
"feed_id": 2197,
"update_id": 3328068779,
"longitude": null,
"org": "",
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 60,
"uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
"subtype": "MD5",
"trusted_circle_ids": [
146,
254
],
"id": 51744433673,
"source": "targetedthreats - OSINT",
"owner_organization_id": 2,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1551097291170
],
"description": null,
"tags": [
{
"id": "fvj",
"name": "Family=Code4HK"
},
{
"id": "zwz",
"name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
}
],
"threatscore": 54,
"source_reported_confidence": 60,
"modified_ts": "2019-02-25T12:21:31.170Z",
"is_public": false,
"asn": "",
"created_ts": "2018-11-27T09:00:33.468Z",
"tlp": null,
"is_anonymous": false,
"country": null,
"can_add_public_tags": false,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"retina_confidence": -1,
"meta": {
"detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
"severity": "high"
},
"resource_uri": "/api/v2/intelligence/51744433673/"
"report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 191,
"update_id": 5406560,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 90,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 5406560,
"source": "SLC Alert Malware Domains",
"owner_organization_id": 736,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1421928716491
],
"description": null,
"tags": [
{
"name": "HITRUST"
},
{
"name": "Public-Threats"
}
],
"threatscore": 77,
"source_reported_confidence": 60,
"modified_ts": "2015-01-22T12:11:56.491Z",
"org": "",
"asn": "",
"created_ts": "2015-01-22T12:11:56.491Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": true,
"longitude": null,
"subtype": "MD5",
"meta": {
"severity": "high",
"detail": "Public Threats,HITRUST"
},
"resource_uri": "/api/v2/intelligence/5406560/"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 0,
"update_id": 59177,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 100,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 59177,
"source": "Analyst",
"owner_organization_id": 2,
"import_session_id": 2325,
"latitude": null,
"type": "md5",
"sort": [
1412172414589
],
"description": null,
"tags": [
{
"name": "apt_md5"
},
{
"name": "CN-APT"
},
{
"name": "IOS-Malware"
},
{
"name": "LadyBoyle"
}
],
"threatscore": 85,
"source_reported_confidence": 0,
"modified_ts": "2014-10-01T14:06:54.589Z",
"org": "",
"asn": "",
"created_ts": "2014-10-01T14:06:40.858Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": false,
"longitude": null,
"subtype": "MD5",
"meta": {
"detail2": "imported by user 1",
"severity": "very-high",
"detail": "LadyBoyle, IOS Malware, CN APT"
},
"resource_uri": "/api/v2/intelligence/59177/"
}
],
"is_risky": "true"
"meta": {
"total_count": 3,
"offset": 0,
"limit": 1000,
"took": 27,
"next": null
}
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| TFuse_id | JSON で利用可能な場合 |
| TFuse_status | JSON で利用可能な場合 |
| TFuse_itype | JSON で利用可能な場合 |
| TFuse_expiration_time | JSON で利用可能な場合 |
| TFuse_ip | JSON で利用可能な場合 |
| TFuse_feed_id | JSON で利用可能な場合 |
| TFuse_confidence | JSON で利用可能な場合 |
| TFuse_uuid | JSON で利用可能な場合 |
| TFuse_retina_confidence | JSON で利用可能な場合 |
| TFuse_trusted_circle_ids | JSON で利用可能な場合 |
| TFuse_source | JSON で利用可能な場合 |
| TFuse_latitude | JSON で利用可能な場合 |
| TFuse_type | JSON で利用可能な場合 |
| TFuse_description | JSON で利用可能な場合 |
| TFuse_tags | JSON で利用可能な場合 |
| TFuse_threat_score | JSON で利用可能な場合 |
| TFuse_source_confidence | JSON で利用可能な場合 |
| TFuse_modification_time | JSON で利用可能な場合 |
| TFuse_org_name | JSON で利用可能な場合 |
| TFuse_asn | JSON で利用可能な場合 |
| TFuse_creation_time | JSON で利用可能な場合 |
| TFuse_tlp | JSON で利用可能な場合 |
| TFuse_country | JSON で利用可能な場合 |
| TFuse_longitude | JSON で利用可能な場合 |
| TFuse_severity | JSON で利用可能な場合 |
| TFuse_subtype | JSON で利用可能な場合 |
| TFuse_report | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合(is_success=true): 「Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}」と出力します。format(entity.identifier リスト) 特定のエンティティの拡充に失敗した場合(is_success=true): 「アクションで Siemplify ThreatFuse を使用して次のエンティティを拡充できませんでした:\n: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success=false): 「拡充されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}''.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合: 「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
| CSV | テーブル名: 関連する分析リンク: {entity_identifier} テーブル列:
|
全般 |
| CSV | エンリッチメント テーブルに基づくキー。 No Enrichment Prefix パラメータは大文字で始まります。 |
全般 |
関連するハッシュを取得する
説明
Siemplify ThreatFuse の関連付けに基づいて、エンティティに関連するハッシュを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。 最大値: 100 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脅威速報を検索します。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはアクターを検索します。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは攻撃パターンを検索します。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、キャンペーンが検索されます。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはコース オブ アクションの中から検索します。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID を検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはインシデントを検索します。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションはインフラストラクチャを検索します。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、マルウェアの中から検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはシグネチャを検索します。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションはツール間で検索を行います。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは TTP を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脆弱性の中から検索します。 |
| 返されるハッシュの最大数 | Integer | 50 | いいえ | 返されるハッシュの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Siemplify ThreatFuse から関連するハッシュが正常に取得されました」 ハッシュが見つからない場合(is_success=false):「関連するハッシュが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「関連するハッシュを取得」の実行エラー。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
関連 URL を取得する
説明
Siemplify ThreatFuse の関連付けに基づいて、エンティティに関連する URL を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。 最大値: 100 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脅威速報を検索します。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはアクターを検索します。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは攻撃パターンを検索します。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、キャンペーンが検索されます。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは一連の対応策の中から検索します。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID を検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはインシデントを検索します。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションはインフラストラクチャを検索します。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、マルウェアの中から検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはシグネチャを検索します。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションはツール間で検索を行います。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは TTP を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脆弱性の中から検索します。 |
| 返される URL の最大数 | Integer | 50 | いいえ | 返す URL の数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ全体で少なくとも 1 つの URL が見つかった場合(is_success=true): 「Siemplify ThreatFuse から関連する URL が正常に取得されました。」 ハッシュが見つからない場合(is_success=false):「関連する URL が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「関連 URL の取得」の実行エラー。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
関連ドメインを取得する
説明
Siemplify ThreatFuse の関連付けに基づいて、エンティティに関連するドメインを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。 最大値: 100 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脅威速報を検索します。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはアクターを検索します。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは攻撃パターンを検索します。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、キャンペーンが検索されます。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは一連の対応策の中から検索します。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID を検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはインシデントを検索します。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションはインフラストラクチャを検索します。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、マルウェアの中から検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはシグネチャを検索します。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションはツール間で検索を行います。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは TTP を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脆弱性の中から検索します。 |
| 返されるドメインの最大数 | Integer | 50 | いいえ | 返すドメインの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"domains": ["www.google.com"]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(issuccess=true): 「Siemplify ThreatFuse から関連ドメインが正常に取得されました。」 ハッシュが見つからない場合(issuccess=false):「関連するドメインが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「関連ドメインの取得」の実行エラー。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
関連するメールアドレスを取得する
説明
Siemplify ThreatFuse の関連付けに基づいて、エンティティに関連するメールアドレスを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。 最大: 100 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脅威速報を検索します。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはアクターを検索します。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは攻撃パターンを検索します。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、キャンペーンが検索されます。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは一連の対応策の中から検索します。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID を検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはインシデントを検索します。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションはインフラストラクチャを検索します。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、マルウェアの中から検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはシグネチャを検索します。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションはツール間で検索を行います。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは TTP を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脆弱性の中から検索します。 |
| 返されるドメインの最大数 | Integer | 50 | いいえ | 返すドメインの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(issuccess=true): 「Siemplify ThreatFuse から関連するメールアドレスが正常に取得されました。」 ハッシュが見つからない場合(issuccess=false): 「関連するメールアドレスが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「関連するメールアドレスを取得」の実行エラー。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲外の場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
関連する IP を取得する
説明
Siemplify ThreatFuse の関連付けに基づいて、エンティティに関連する IP アドレスを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。 最大: 100 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脅威速報を検索します。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはアクターを検索します。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは攻撃パターンを検索します。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、キャンペーンが検索されます。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは一連の対応策の中から検索します。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID を検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはインシデントを検索します。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションはインフラストラクチャを検索します。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、マルウェアの中から検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションはシグネチャを検索します。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションはツール間で検索を行います。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは TTP を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは脆弱性の中から検索します。 |
| 返されるドメインの最大数 | Integer | 50 | いいえ | 返すドメインの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ \* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Siemplify ThreatFuse から関連する IP が正常に取得されました。」 ハッシュが見つからない場合(is_success=false):「関連する IP が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「関連する IP を取得」の実行エラー。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合: 「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
関連付けを取得する
説明
Siemplify ThreatFuse からエンティティ関連の関連付けを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返品キャンペーン | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するキャンペーンとその詳細が取得されます。 |
| 脅威に関する公開情報を返す | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連する脅威速報とその詳細が取得されます。 |
| Return Actors | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連するアクターとその詳細が取得されます。 |
| 攻撃パターンの戻り値 | チェックボックス | オフ | いいえ | 有効にすると、アクションは関連する攻撃パターンとその詳細を取得します。 |
| 対応策を返す | チェックボックス | オフ | いいえ | 有効にすると、関連する対応策とその詳細が取得されます。 |
| ID を返す | チェックボックス | オフ | いいえ | 有効にすると、アクションは関連する ID とその詳細を取得します。 |
| 返品に関するインシデント | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連するインシデントとその詳細が取得されます。 |
| インフラストラクチャの返品 | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連するインフラストラクチャとその詳細が取得されます。 |
| 侵入セットを返す | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連する侵入セットとその詳細が取得されます。 |
| マルウェアを返す | チェックボックス | オフ | いいえ | 有効にすると、アクションによって関連するマルウェアとその詳細が取得されます。 |
| Return Signatures | チェックボックス | オフ | いいえ | 有効にすると、アクションは関連するシグネチャとその詳細を取得します。 |
| 返品ツール | チェックボックス | オフ | いいえ | 有効にすると、アクションは関連するツールとその詳細を取得します。 |
| 返品の TTP | チェックボックス | オフ | いいえ | 有効にすると、アクションは関連する TTP とその詳細を取得します。 |
| 脆弱性を返す | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する脆弱性とそれらに関する詳細情報を取得します。 |
| キャンペーン エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能な「キャンペーン」関連付けからエンティティが作成されます。 |
| アクター エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションは使用可能な「アクター」関連付けからエンティティを作成します。 |
| 署名エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションは利用可能な「シグネチャ」関連付けからエンティティを作成します。 |
| 脆弱性エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションは利用可能な「脆弱性」の関連付けからエンティティを作成します。 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションによって結果に基づいて分析情報が作成されます。 |
| Create Case Tag | チェックボックス | オン | いいえ | 有効にすると、アクションによって結果に基づいてケースタグが作成されます。 |
| 返される関連付けの最大数 | Integer | なし | いいえ | タイプごとに返される関連付けの数を指定します。 |
| 返される統計情報の最大数 | Integer | 3 | いいえ | 返す IOC に関する上位の統計結果の数を指定します。 注: アクションは、関連付けに関連する最大 1,000 個の IOC を処理します。「0」を指定すると、アクションは統計情報の取得を試行しません。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"campaign": [
{
"name": "Coronavirus",
"id": 1
},
{
"name": "Bad campaign",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つの関連付けが見つかった場合(is_success=true): 「Siemplify ThreatFuse から関連する関連付けが正常に取得されました」 関連付けが見つからない場合(is_success=false): 「関連する関連付けが見つかりませんでした。」 非同期メッセージ: 「すべての関連付けの詳細が取得されるのを待機しています」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「関連付けの取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| CSV | 名前: 「関連付け」 列:
|
全般 |
オブザーバブルを送信する
説明
IP、URL、ハッシュ、メール エンティティに基づいて、Siemplify ThreatFuse にオブザーバブルを送信します。
信頼できるサークルの ID を確認する方法
信頼できるサークルの ID を確認するには、Siemplify ThreatFuse で信頼できるサークルを見つけて、その名前をクリックします。アドレスバーに表示される URL に ID が含まれています。
例: https://siemplify.threatstream.com/search?trustedcircles=13。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 分類 | DDL | 非公開 有効な値:
|
はい | オブザーバブルの分類を指定します。 |
| 脅威の種類 | DDL | APT 指定できる値
|
はい | オブザーバブルの脅威タイプを指定します。 |
| ソース | 文字列 | Siemplify | いいえ | オブザーバブルのインテリジェンス ソースを指定します。 |
| 有効期限 | Integer | なし | いいえ | オブザーバブルの有効期限を日数で指定します。 ここで何も指定しない場合、アクションは期限切れにならないオブザーバブルを作成します。 |
| 信頼できるサークル ID | CSV | なし | いいえ | 信頼できるサークル ID のカンマ区切りリストを指定します。 オブザーバブルは、信頼できるサークルと共有されます。 |
| TLP | DDL | 1 つ選択 有効な値:
|
いいえ | オブザーバブルの TLP を指定します。 |
| 信頼度 | 整数 | なし | いいえ | オブザーバブルの信頼度を指定します。 注: このパラメータは、組織でオブザーバブルを作成し、[Override System Confidence] パラメータが有効になっている場合にのみ機能します。 |
| Override System Confidence | チェックボックス | オフ | いいえ | 有効にすると、作成されたオブザーバブルの信頼度は [信頼度] パラメータで指定された値になります。 注: このパラメータが有効になっている場合、信頼できるサークルと一般公開でオブザーバブルを共有することはできません。 |
| 匿名送信 | チェックボックス | オフ | いいえ | 有効にすると、アクションは匿名で送信します。 |
| タグ | CSV | なし | いいえ | オブザーバブルに追加するタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
approved_jobs = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Siemplify ThreatFuse で次のエンティティが正常に送信され、承認されました:\n{0}」.format(entity.identifier リスト) 一部のエンティティ(拒否されたエンティティ)で失敗した場合(is_success=true): 「Siemplify ThreatFuse で次のエンティティを正常に送信して承認できませんでした\n: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success=false): 「Siemplify ThreatFuse に正常に送信されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「オブザーバブルを送信」の実行エラー。理由: {0}''.format(error.Stacktrace) 400 ステータス コードが報告された場合:「アクション「オブザーバブルを送信」の実行エラー。理由: {0}」.format(message) |
全般 |
偽陽性として報告
説明
Siemplify ThreatFuse のエンティティを偽陽性として報告します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 理由 | 文字列 | なし | はい | エンティティを偽陽性としてマークする理由を指定します。 |
| コメント | 文字列 | なし | はい | エンティティを誤検出としてマークする決定に関連する追加情報を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレスを含むユーザー名の正規表現
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「次のエンティティが Siemplify ThreatFuse で誤検出として正常に報告されました:\n{0}」.format(entity.identifier リスト) 特定のエンティティをマークできない場合(is_success=true): 「アクションは、次のエンティティを Siemplify ThreatFuse で誤検出として報告できませんでした:\n: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(issuccess=false): 「誤検出として報告されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「誤検出として報告」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
コネクタ
Siemplify ThreatFuse - Observables Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
Siemplify ThreatFuse - Observables コネクタ
Siemplify ThreatFuse からオブザーバブルを pull します。
推奨事項
コネクタを構成する際は、アナリストが投機的なアラートに埋もれないように、別の環境を使用することをおすすめします。
信頼できるサークルの ID を確認する方法
信頼できるサークルの ID を確認するには、Siemplify ThreatFuse で信頼できるサークルを見つけて、その名前をクリックします。アドレスバーに表示される URL に ID が含まれています。
例: https://siemplify.threatstream.com/search?trustedcircles=13。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
環境の正規表現パターン |
文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | Integer | 300 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://api.threat |
はい | Siemplify ThreatFuse インスタンスの API ルート。 |
| メールアドレス | 文字列 | なし | はい | Siemplify ThreatFuse アカウントのメールアドレス。 |
| API キー | パスワード | なし | はい | Siemplify ThreatFuse アカウントの API キー。 |
| 取得する最も低い重大度 | 文字列 | 高 | はい | オブザーバブルの取得に使用される最も低い重大度。 可能な値: 中 高 非常に高い |
| 取得される最も低い信頼度 | Integer | 50 | はい | オブザーバブルの取得に使用される最も低い信頼度。最大値は 100 です。 |
| ソースフィード フィルタ | CSV | なし | いいえ | オブザーバブルの取り込みに使用するフィード ID のカンマ区切りのリスト。例: 515,4129 |
| Observable Type Filter | CSV | url、domain、email、hash、ip、ipv6 | いいえ | 取り込む必要があるオブザーバブル タイプのカンマ区切りのリスト。例: url、domain 有効な値: url、domain、email、hash、ip、ipv6 |
| Observable ステータス フィルタ | CSV | 有効 | いいえ | 新しいデータの取り込みに使用する観測可能なステータスのカンマ区切りのリスト。例: active,inactive 有効な値: active、inactive、falsepos |
| 脅威の種類のフィルタ | CSV | なし | いいえ | オブザーバブルの取り込みに使用する脅威タイプのカンマ区切りのリスト。例: аdware,anomalous,anonymization,apt 有効な値: |
| 信頼できるサークル フィルタ | CSV | なし | いいえ | オブザーバブルの取り込みに使用する信頼できるサークル ID のカンマ区切りのリスト。 例: 146,147 |
| タグ名フィルタ | CSV | なし | いいえ | 取り込みで使用するオブザーバブルに関連付けられたタグ名のカンマ区切りのリスト。例: Microsoft の認証情報、フィッシング。 |
| ソースフィードのグループ化 | チェックボックス | オフ | いいえ | 有効にすると、コネクタは同じソースのオブザーバブルを同じ Siemplify アラートにグループ化します。 |
| 遡る取得の最大日数 | Integer | 1 | いいえ | オブザーバブルを取得する時点からの日数。 |
| アラートあたりの最大オブザーバブル数 | Integer | 100 | いいえ | 1 つの Siemplify アラートに含めるべきオブザーバブルの数。最大値は 200 です。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | はい | 有効にすると、動的リストがブロックリストとして使用されます。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効になっている場合は、Siemplify Threatfuse サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。