Siemplify ThreatFuse
통합 버전: 14.0
Google Security Operations에서 Siemplify ThreatFuse 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 웹 루트 | 문자열 | https://siemplify.threatstream.com | 예 | Siemplify ThreatFuse 인스턴스의 웹 루트입니다. 이 매개변수는 통합 항목 전반에서 보고서 링크를 만드는 데 사용됩니다. |
| API 루트 | 문자열 | https://api.threatstream.com | 예 | Siemplify ThreatFuse 인스턴스의 API 루트입니다. |
| 이메일 주소 | 문자열 | 해당 사항 없음 | 예 | Siemplify ThreatFuse 계정의 이메일 주소입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | Siemplify ThreatFuse 계정의 API 키입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Siemplify ThreatFuse 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
API 키를 가져오려면 다음 단계를 완료하세요.
ThreatStream 계정 설정에서 내 프로필 탭으로 이동합니다.
계정 정보 섹션으로 이동합니다.
API 키 값을 복사합니다.
사용 사례
항목을 보강합니다.
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Siemplify ThreatFuse에 대한 연결을 테스트합니다.
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
항목 보강
설명
Siemplify ThreatFuse에서 IP, URL, 해시, 이메일 주소에 관한 정보를 가져옵니다. 동일한 항목에 대해 여러 레코드가 발견되면 작업은 최신 레코드를 사용하여 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 심각도 기준점 | DDL | 보통 가능한 값:
|
예 | 항목을 의심스러운 항목으로 표시하기 위해 심각도 기준을 지정합니다. 동일한 항목에 대해 여러 레코드가 발견되면 작업은 사용 가능한 모든 레코드 중 가장 높은 심각도를 취합니다. |
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 항목을 의심스러운 것으로 표시하기 위해 항목의 신뢰도 기준을 지정합니다. 최대는 100입니다. 엔티티에 대해 여러 레코드가 발견되면 작업에서 평균을 사용합니다. 활성 레코드가 우선순위를 갖습니다. |
| 오탐 상태 무시 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 작업은 거짓양성 상태를 무시하고 '심각도 기준점' 및 '신뢰도 기준점' 매개변수를 기반으로 항목을 의심스러운 것으로 표시합니다. 사용 중지된 경우 '심각도 기준' 및 '신뢰도 기준' 조건을 통과하는지 여부와 관계없이 거짓양성 항목에 의심스러운 라벨이 지정되지 않습니다. |
| 케이스에 위협 유형 추가 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 모든 레코드의 항목에 대한 위협 유형을 케이스에 태그로 추가합니다. 예: apt |
| 의심스러운 항목 통계만 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 작업에서 '심각도 기준점' 및 '신뢰도 기준점' 매개변수를 초과한 항목에 대해서만 통계를 만듭니다. |
| 통계 만들기 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 작업에서 처리된 항목당 통계를 추가합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"objects": [
{
"status": "inactive",
"itype": "mal_md5",
"expiration_ts": "2019-02-25T08:58:58.000Z",
"ip": null,
"is_editable": false,
"feed_id": 2197,
"update_id": 3328068779,
"longitude": null,
"org": "",
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 60,
"uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
"subtype": "MD5",
"trusted_circle_ids": [
146,
254
],
"id": 51744433673,
"source": "targetedthreats - OSINT",
"owner_organization_id": 2,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1551097291170
],
"description": null,
"tags": [
{
"id": "fvj",
"name": "Family=Code4HK"
},
{
"id": "zwz",
"name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
}
],
"threatscore": 54,
"source_reported_confidence": 60,
"modified_ts": "2019-02-25T12:21:31.170Z",
"is_public": false,
"asn": "",
"created_ts": "2018-11-27T09:00:33.468Z",
"tlp": null,
"is_anonymous": false,
"country": null,
"can_add_public_tags": false,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"retina_confidence": -1,
"meta": {
"detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
"severity": "high"
},
"resource_uri": "/api/v2/intelligence/51744433673/"
"report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 191,
"update_id": 5406560,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 90,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 5406560,
"source": "SLC Alert Malware Domains",
"owner_organization_id": 736,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1421928716491
],
"description": null,
"tags": [
{
"name": "HITRUST"
},
{
"name": "Public-Threats"
}
],
"threatscore": 77,
"source_reported_confidence": 60,
"modified_ts": "2015-01-22T12:11:56.491Z",
"org": "",
"asn": "",
"created_ts": "2015-01-22T12:11:56.491Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": true,
"longitude": null,
"subtype": "MD5",
"meta": {
"severity": "high",
"detail": "Public Threats,HITRUST"
},
"resource_uri": "/api/v2/intelligence/5406560/"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 0,
"update_id": 59177,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 100,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 59177,
"source": "Analyst",
"owner_organization_id": 2,
"import_session_id": 2325,
"latitude": null,
"type": "md5",
"sort": [
1412172414589
],
"description": null,
"tags": [
{
"name": "apt_md5"
},
{
"name": "CN-APT"
},
{
"name": "IOS-Malware"
},
{
"name": "LadyBoyle"
}
],
"threatscore": 85,
"source_reported_confidence": 0,
"modified_ts": "2014-10-01T14:06:54.589Z",
"org": "",
"asn": "",
"created_ts": "2014-10-01T14:06:40.858Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": false,
"longitude": null,
"subtype": "MD5",
"meta": {
"detail2": "imported by user 1",
"severity": "very-high",
"detail": "LadyBoyle, IOS Malware, CN APT"
},
"resource_uri": "/api/v2/intelligence/59177/"
}
],
"is_risky": "true"
"meta": {
"total_count": 3,
"offset": 0,
"limit": 1000,
"took": 27,
"next": null
}
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| TFuse_id | JSON으로 제공되는 경우 |
| TFuse_status | JSON으로 제공되는 경우 |
| TFuse_itype | JSON으로 제공되는 경우 |
| TFuse_expiration_time | JSON으로 제공되는 경우 |
| TFuse_ip | JSON으로 제공되는 경우 |
| TFuse_feed_id | JSON으로 제공되는 경우 |
| TFuse_confidence | JSON으로 제공되는 경우 |
| TFuse_uuid | JSON으로 제공되는 경우 |
| TFuse_retina_confidence | JSON으로 제공되는 경우 |
| TFuse_trusted_circle_ids | JSON으로 제공되는 경우 |
| TFuse_source | JSON으로 제공되는 경우 |
| TFuse_latitude | JSON으로 제공되는 경우 |
| TFuse_type | JSON으로 제공되는 경우 |
| TFuse_description | JSON으로 제공되는 경우 |
| TFuse_tags | JSON으로 제공되는 경우 |
| TFuse_threat_score | JSON으로 제공되는 경우 |
| TFuse_source_confidence | JSON으로 제공되는 경우 |
| TFuse_modification_time | JSON으로 제공되는 경우 |
| TFuse_org_name | JSON으로 제공되는 경우 |
| TFuse_asn | JSON으로 제공되는 경우 |
| TFuse_creation_time | JSON으로 제공되는 경우 |
| TFuse_tlp | JSON으로 제공되는 경우 |
| TFuse_country | JSON으로 제공되는 경우 |
| TFuse_longitude | JSON으로 제공되는 경우 |
| TFuse_severity | JSON으로 제공되는 경우 |
| TFuse_subtype | JSON으로 제공되는 경우 |
| TFuse_report | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우 (is_success=true): 'Siemplify ThreatFuse를 사용하여 다음 항목을 보강했습니다. \n {0}'.format(entity.identifier list) 특정 항목을 보강할 수 없는 경우 (is_success=true): '작업이 Siemplify ThreatFuse를 사용하여 다음 항목을 보강할 수 없습니다.\n: {0}'.format([entity.identifier]) 모든 항목을 보강할 수 없는 경우 (is_success=false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다. |
일반 |
| CSV | 테이블 이름: 관련 분석 링크: {entity_identifier} 테이블 열:
|
일반 |
| CSV | 강화 테이블을 기반으로 하는 키입니다. No Enrichment Prefix 매개변수는 대문자로 표시됩니다. |
일반 |
관련 해시 가져오기
설명
Siemplify ThreatFuse의 연결을 기반으로 항목 관련 해시를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 신뢰도 기준을 지정합니다. 최대: 100 |
| 위협 게시판 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 위협 게시판에서 검색합니다. |
| 액터 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 배우자 중에서 검색합니다. |
| 공격 패턴 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 공격 패턴 중에서 검색합니다. |
| 검색 캠페인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 캠페인을 검색합니다. |
| 조치 과정 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 조치 중에서 검색합니다. |
| ID 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 ID 중에서 검색합니다. |
| Search Incidents(이슈 검색) | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 인시던트 중에서 검색합니다. |
| 인프라 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 인프라를 검색합니다. |
| 침입 세트 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 침입 세트 중에서 검색합니다. |
| 멀웨어 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 멀웨어 중에서 검색합니다. |
| 서명 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 서명 중에서 검색합니다. |
| 검색 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 도구 중에서 검색합니다. |
| TTP 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 TTP 중에서 검색합니다. |
| 취약점 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 취약점을 검색합니다. |
| 반환할 최대 해시 수 | 정수 | 50 | 아니요 | 반환할 해시 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
- 위협 행위자
- CVE
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간에 해시가 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse에서 관련 해시를 가져왔습니다.' 해시가 없는 경우 (is_success=false): '관련 해시가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 해시 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다.' |
일반 |
관련 URL 가져오기
설명
Siemplify ThreatFuse의 연결을 기반으로 엔티티 관련 URL을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 신뢰도 기준을 지정합니다. 최대: 100 |
| 위협 게시판 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 위협 게시판에서 검색합니다. |
| 액터 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 배우자 중에서 검색합니다. |
| 공격 패턴 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 공격 패턴 중에서 검색합니다. |
| 검색 캠페인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 캠페인을 검색합니다. |
| 조치 과정 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 조치 중에서 검색합니다. |
| ID 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 ID 중에서 검색합니다. |
| Search Incidents(이슈 검색) | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 인시던트 중에서 검색합니다. |
| 인프라 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 인프라를 검색합니다. |
| 침입 세트 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 침입 세트 중에서 검색합니다. |
| 멀웨어 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 멀웨어 중에서 검색합니다. |
| 서명 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 서명 중에서 검색합니다. |
| 검색 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 도구 중에서 검색합니다. |
| TTP 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 TTP 중에서 검색합니다. |
| 취약점 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 취약점을 검색합니다. |
| 반환할 최대 URL 수 | 정수 | 50 | 아니요 | 반환할 URL 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
- 위협 행위자
- CVE
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 전반에서 URL이 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse에서 관련 URL을 가져왔습니다.' 해시가 없는 경우 (is_success=false): '관련 URL이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 URL 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다.' |
일반 |
관련 도메인 가져오기
설명
Siemplify ThreatFuse의 연결을 기반으로 항목 관련 도메인을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 신뢰도 기준을 지정합니다. 최대: 100 |
| 위협 게시판 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 위협 게시판에서 검색합니다. |
| 액터 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 배우자 중에서 검색합니다. |
| 공격 패턴 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 공격 패턴 중에서 검색합니다. |
| 검색 캠페인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 캠페인을 검색합니다. |
| 조치 과정 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 조치 중에서 검색합니다. |
| ID 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 ID 중에서 검색합니다. |
| Search Incidents(이슈 검색) | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 인시던트 중에서 검색합니다. |
| 인프라 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 인프라를 검색합니다. |
| 침입 세트 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 침입 세트 중에서 검색합니다. |
| 멀웨어 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 멀웨어 중에서 검색합니다. |
| 서명 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 서명 중에서 검색합니다. |
| 검색 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 도구 중에서 검색합니다. |
| TTP 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 TTP 중에서 검색합니다. |
| 취약점 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 취약점을 검색합니다. |
| 반환할 최대 도메인 수 | 정수 | 50 | 아니요 | 반환할 도메인 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
- 위협 행위자
- CVE
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"domains": ["www.google.com"]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간에 해시가 하나 이상 발견된 경우 (issuccess=true): 'Siemplify ThreatFuse에서 관련 도메인을 가져왔습니다.' 해시를 찾을 수 없는 경우 (issuccess=false): '관련 도메인을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 도메인 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다.' |
일반 |
관련 이메일 주소 가져오기
설명
Siemplify ThreatFuse의 연결을 기반으로 항목 관련 이메일 주소를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 신뢰도 기준을 지정합니다. 최대: 100 |
| 위협 게시판 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 위협 게시판에서 검색합니다. |
| 액터 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 배우자 중에서 검색합니다. |
| 공격 패턴 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 공격 패턴 중에서 검색합니다. |
| 검색 캠페인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 캠페인을 검색합니다. |
| 조치 과정 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 조치 중에서 검색합니다. |
| ID 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 ID 중에서 검색합니다. |
| Search Incidents(이슈 검색) | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 인시던트 중에서 검색합니다. |
| 인프라 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 인프라를 검색합니다. |
| 침입 세트 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 침입 세트 중에서 검색합니다. |
| 멀웨어 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 멀웨어 중에서 검색합니다. |
| 서명 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 서명 중에서 검색합니다. |
| 검색 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 도구 중에서 검색합니다. |
| TTP 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 TTP 중에서 검색합니다. |
| 취약점 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 취약점을 검색합니다. |
| 반환할 최대 도메인 수 | 정수 | 50 | 아니요 | 반환할 도메인 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
- 위협 행위자
- CVE
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 전반에서 해시가 하나 이상 발견된 경우 (issuccess=true): 'Siemplify ThreatFuse에서 관련 이메일 주소를 가져왔습니다.' 해시를 찾을 수 없는 경우 (issuccess=false): '관련 이메일 주소를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 이메일 주소 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다. |
일반 |
관련 IP 가져오기
설명
Siemplify ThreatFuse의 연결을 기반으로 엔티티 관련 IP 주소를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 기준점 | 정수 | 해당 사항 없음 | 예 | 신뢰도 기준을 지정합니다. 최대: 100 |
| 위협 게시판 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 위협 게시판에서 검색합니다. |
| 액터 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 배우자 중에서 검색합니다. |
| 공격 패턴 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 공격 패턴 중에서 검색합니다. |
| 검색 캠페인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 캠페인을 검색합니다. |
| 조치 과정 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 조치 중에서 검색합니다. |
| ID 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 ID 중에서 검색합니다. |
| Search Incidents(이슈 검색) | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 인시던트 중에서 검색합니다. |
| 인프라 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 인프라를 검색합니다. |
| 침입 세트 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 침입 세트 중에서 검색합니다. |
| 멀웨어 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업은 멀웨어 중에서 검색합니다. |
| 서명 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 서명 중에서 검색합니다. |
| 검색 도구 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 도구 중에서 검색합니다. |
| TTP 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업이 TTP 중에서 검색합니다. |
| 취약점 검색 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 취약점을 검색합니다. |
| 반환할 최대 도메인 수 | 정수 | 50 | 아니요 | 반환할 도메인 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
- 위협 행위자
- CVE
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지\* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 전반에서 해시가 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse에서 관련 IP를 가져왔습니다.' 해시가 없는 경우 (is_success=false): '관련 IP가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 IP 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) '신뢰도 기준' 매개변수가 0~100 범위에 있지 않은 경우: '신뢰도 기준' 값은 0~100 범위에 있어야 합니다. |
일반 |
관련 연결 가져오기
설명
Siemplify ThreatFuse에서 항목 관련 연결을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 캠페인 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 이 작업이 관련 캠페인과 세부정보를 가져옵니다. |
| 위협 게시판 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 위협 게시판과 세부정보를 가져옵니다. |
| 배우 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 행위자와 행위자에 대한 세부정보를 가져옵니다. |
| 공격 패턴 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 공격 패턴과 세부정보를 가져옵니다. |
| 조치 과정 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 조치 및 세부정보를 가져옵니다. |
| ID 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 ID와 세부정보를 가져옵니다. |
| 침해 사고 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 인시던트와 세부정보를 가져옵니다. |
| 인프라 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 인프라와 인프라에 관한 세부정보를 가져옵니다. |
| 침입 세트 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 침입 세트와 세부정보를 가져옵니다. |
| 멀웨어 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 멀웨어와 멀웨어에 관한 세부정보를 가져옵니다. |
| 서명 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 이 작업이 관련 서명과 서명에 관한 세부정보를 가져옵니다. |
| 반품 도구 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 도구와 도구에 관한 세부정보를 가져옵니다. |
| TTP 반환 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 관련 TTP와 세부정보를 가져옵니다. |
| 취약점 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 취약점과 세부정보를 가져옵니다. |
| 캠페인 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 '캠페인' 연결을 기반으로 항목을 만듭니다. |
| 배우 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 'Actor' 연결로 항목을 만듭니다. |
| 서명 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 '서명' 연결을 기반으로 항목을 만듭니다. |
| 취약점 항목 만들기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 사용 가능한 '취약점' 연결을 기반으로 항목을 만듭니다. |
| 통계 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 결과를 기반으로 통계를 만듭니다. |
| 케이스 태그 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 결과를 기반으로 케이스 태그를 만듭니다. |
| 반환할 최대 연결 수 | 정수 | 해당 사항 없음 | 아니요 | 유형별로 반환할 연결 수를 지정합니다. |
| 반환할 최대 통계 수 | 정수 | 3 | 아니요 | 반환할 IOC 관련 상위 통계 결과의 수를 지정합니다. 참고: 이 작업은 연결과 관련된 최대 1,000개의 IOC를 처리합니다. '0'을 제공하면 작업에서 통계 정보를 가져오려고 시도하지 않습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"campaign": [
{
"name": "Coronavirus",
"id": 1
},
{
"name": "Bad campaign",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간 연결이 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse에서 관련 연결을 가져왔습니다.' 연결을 찾을 수 없는 경우 (is_success=false): '관련 연결을 찾을 수 없습니다.' 비동기 메시지: '모든 연결 세부정보를 가져오는 중' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 연결 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 이름: '관련 연결' 열:
|
일반 |
관측치 제출
설명
IP, URL, 해시, 이메일 엔티티를 기반으로 관찰 대상을 Siemplify ThreatFuse에 제출합니다.
신뢰할 수 있는 서클 ID를 찾을 수 있는 위치
신뢰할 수 있는 서클의 ID를 찾으려면 Siemplify ThreatFuse에서 신뢰할 수 있는 서클을 찾아 이름을 클릭합니다. 주소 표시줄에 표시된 URL에 ID가 표시됩니다.
예: https://siemplify.threatstream.com/search?trustedcircles=13
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 분류 | DDL | 비공개 가능한 값은 다음과 같습니다.
|
예 | 관찰 가능한 항목의 분류를 지정합니다. |
| 위협 유형 | DDL | APT 가능한 값
|
예 | 관측 가능 항목의 위협 유형을 지정합니다. |
| 소스 | 문자열 | Siemplify | 아니요 | 관측 가능 항목의 인텔리전스 소스를 지정합니다. |
| 만료일 | 정수 | 해당 사항 없음 | 아니요 | 관찰 대상의 만료일을 일 단위로 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 만료되지 않는 관찰 가능 항목을 만듭니다. |
| 신뢰할 수 있는 서클 ID | CSV | 해당 사항 없음 | 아니요 | 신뢰할 수 있는 서클 ID를 쉼표로 구분된 목록으로 지정합니다. 관측 가능 항목은 신뢰할 수 있는 서클과 공유됩니다. |
| TLP | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 관측 가능 항목의 TLP를 지정합니다. |
| 신뢰도 | 정수 | 해당 사항 없음 | 아니요 | 관측 가능 항목의 신뢰도를 지정합니다. 참고: 이 매개변수는 조직에서 관측치를 만들고 '시스템 신뢰도 재정의' 매개변수가 사용 설정된 경우에만 작동합니다. |
| 시스템 신뢰도 재정의 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 생성된 관측값에는 '신뢰도' 매개변수에 지정된 신뢰도가 있습니다. 참고: 이 매개변수를 사용 설정하면 신뢰할 수 있는 서클과 공개적으로 관측치를 공유할 수 없습니다. |
| 익명 제출 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 익명 제출을 합니다. |
| 태그 | CSV | 해당 사항 없음 | 아니요 | 관측 대상에 추가할 태그를 쉼표로 구분하여 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
approved_jobs = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간에 해시가 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse:\n{0}'.format(entity.identifier list)에서 다음 항목을 제출하고 승인했습니다. 일부 항목 (거부된 항목)이 실패한 경우(is_success=true): '작업이 Siemplify ThreatFuse에서 다음 항목을 제출하고 승인할 수 없습니다.\n: {0}'.format([entity.identifier]) 모든 항목을 보강할 수 없는 경우 (is_success=false): 'Siemplify ThreatFuse에 제출된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관측값 제출' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) 400 상태 코드가 보고된 경우: ''관찰 결과 제출' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) |
일반 |
거짓양성으로 신고
설명
Siemplify ThreatFuse의 엔티티를 거짓양성으로 신고합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이유 | 문자열 | 해당 사항 없음 | 예 | 엔티티를 오탐으로 표시하려는 이유를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 항목을 거짓양성으로 표시하는 결정과 관련된 추가 정보를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 해시
- IP 주소
- URL
- 이메일 정규식과 함께 사용되는 사용자 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 항목 간에 해시가 하나 이상 발견된 경우 (is_success=true): 'Siemplify ThreatFuse에서 다음 항목을 거짓양성으로 신고했습니다.\n{0}'.format(entity.identifier list) 특정 항목을 표시할 수 없는 경우 (is_success=true): '작업이 Siemplify ThreatFuse에서 다음 항목을 거짓양성으로 보고할 수 없습니다.\n: {0}'.format([entity.identifier]) 모든 항목을 보강할 수 없는 경우 (issuccess=false): '거짓양성으로 보고된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''오탐으로 신고' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
커넥터
Siemplify ThreatFuse - Observables Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Siemplify ThreatFuse - Observables Connector
Siemplify ThreatFuse에서 관측치를 가져옵니다.
권장사항
커넥터를 구성할 때는 분석가에게 모든 추측성 알림이 표시되지 않도록 별도의 환경을 사용하는 것이 좋습니다.
신뢰할 수 있는 서클 ID를 찾을 수 있는 위치
신뢰할 수 있는 서클의 ID를 찾으려면 Siemplify ThreatFuse에서 신뢰할 수 있는 서클을 찾아 이름을 클릭합니다. 주소 표시줄에 표시된 URL에 ID가 표시됩니다.
예를 들면 https://siemplify.threatstream.com/search?trustedcircles=13입니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 300 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://api.threat |
예 | Siemplify ThreatFuse 인스턴스의 API 루트입니다. |
| 이메일 주소 | 문자열 | 해당 사항 없음 | 예 | Siemplify ThreatFuse 계정의 이메일 주소입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | Siemplify ThreatFuse 계정의 API 키입니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 높음 | 예 | 관측치를 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값: 보통 높음 매우 높음 |
| 가져올 가장 낮은 신뢰도 | 정수 | 50 | 예 | 관측치를 가져오는 데 사용할 가장 낮은 신뢰도입니다. 최댓값은 100입니다. |
| 소스 피드 필터 | CSV | 해당 사항 없음 | 아니요 | 관측치를 수집하는 데 사용해야 하는 피드 ID의 쉼표로 구분된 목록입니다. 예: 515,4129 |
| 관찰 가능한 유형 필터 | CSV | url, domain, email, hash, ip, ipv6 | 아니요 | 수집해야 하는 관찰 가능한 유형의 쉼표로 구분된 목록입니다. 예: url, domain 가능한 값: url, domain, email, hash, ip, ipv6 |
| 관측 가능 상태 필터 | CSV | 활성 | 아니요 | 새 데이터를 수집하는 데 사용해야 하는 관찰 가능한 상태의 쉼표로 구분된 목록입니다. 예: active,inactive 가능한 값: active,inactive,falsepos |
| 위협 유형 필터 | CSV | 해당 사항 없음 | 아니요 | 관측값을 수집하는 데 사용해야 하는 위협 유형의 쉼표로 구분된 목록입니다. 예: аdware,anomalous,anonymization,apt 가능한 값: |
| 신뢰할 수 있는 서클 필터 | CSV | 해당 사항 없음 | 아니요 | 관측치를 수집하는 데 사용해야 하는 신뢰할 수 있는 서클 ID의 쉼표로 구분된 목록입니다. 예: 146,147 |
| 태그 이름 필터 | CSV | 해당 사항 없음 | 아니요 | 수집에 사용해야 하는 관측 가능 항목과 연결된 태그 이름의 쉼표로 구분된 목록입니다. 예: Microsoft 사용자 인증 정보, 피싱 |
| 소스 피드 그룹화 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 커넥터는 동일한 소스의 관측치를 동일한 Siemplify Alert로 그룹화합니다. |
| 최대 일수를 뒤로 가져오기 | 정수 | 1 | 아니요 | 관측치를 가져올 위치로부터의 일수입니다. |
| 알림당 최대 관측 가능 항목 | 정수 | 100 | 아니요 | 하나의 Siemplify 알림에 포함되어야 하는 관측 가능 항목의 수입니다. 최댓값은 200입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정한 경우 Siemplify Threatfuse 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.