Esta página foi traduzida pela API Cloud Translation.

Siemplify ThreatFuse

Versão da integração: 14.0

Configure a integração do Siemplify ThreatFuse no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da Web	String	https://siemplify.threatstream.com	Sim	Raiz Web da instância do Siemplify ThreatFuse. Este parâmetro é usado para criar links de relatórios em itens de integração.
Raiz da API	String	https://api.threatstream.com	Sim	Raiz da API da instância do Siemplify ThreatFuse.
Endereço de email	String	N/A	Sim	Endereço de email da conta do Siemplify ThreatFuse.
Chave de API	Palavra-passe	N/A	Sim	Chave da API da conta do Siemplify ThreatFuse.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do Siemplify ThreatFuse é válido.

Para obter a chave da API, conclua os seguintes passos:

Nas definições da sua conta do ThreatStream, aceda ao separador O meu perfil.
Aceda à secção Informações da conta.
Copie o valor da chave da API.

Exemplos de utilização

Enriqueça as entidades.

Ações

Tchim-tchim

Descrição

Teste a conetividade ao Siemplify ThreatFuse com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao servidor do Siemplify ThreatFuse com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Falha ao estabelecer ligação ao servidor do Siemplify ThreatFuse! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação estabelecida com êxito ao servidor do Siemplify ThreatFuse com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido: "Falha ao estabelecer ligação ao servidor do Siemplify ThreatFuse! O erro é {0}".format(exception.stacktrace)

Geral

Enriquecer entidades

Descrição

Recuperar informações sobre IPs, URLs, hashes e endereços de email do Siemplify ThreatFuse. Se forem encontrados vários registos para a mesma entidade, a ação é enriquecida com o registo mais recente.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de gravidade	LDD	Médio Valor possível: Muito alto Alto Médio Baixo	Sim	Especifique o limite de gravidade para a entidade, de modo a marcá-la como suspeita. Se forem encontrados vários registos para a mesma entidade, a ação assume a gravidade mais elevada de todos os registos disponíveis.
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limiar de confiança para a entidade, de modo a marcá-la como suspeita. O máximo é 100. Se forem encontrados vários registos para a entidade, a ação tem em conta a média. Os registos ativos têm prioridade.
Ignore o estado de falso positivo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação ignora o estado de falso positivo e marca a entidade como suspeita com base nos parâmetros "Limite de gravidade" e "Limite de confiança". Se estiver desativada, a ação nunca etiqueta entidades de falsos positivos como suspeitas, independentemente de cumprirem ou não as condições "Limite de gravidade" e "Limite de confiança".
Adicionar tipo de ameaça ao registo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação adiciona tipos de ameaças da entidade de todos os registos como etiquetas ao registo. Exemplo: apt
Apenas estatísticas de entidades suspeitas	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a ação cria estatísticas apenas para entidades que excederam os parâmetros "Limite de gravidade" e "Limite de confiança".
Crie estatísticas	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a ação adiciona uma estatística por entidade processada.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
    "objects": [
        {
            "status": "inactive",
            "itype": "mal_md5",
            "expiration_ts": "2019-02-25T08:58:58.000Z",
            "ip": null,
            "is_editable": false,
            "feed_id": 2197,
            "update_id": 3328068779,
            "longitude": null,
            "org": "",
            "threat_type": "malware",
            "workgroups": [],
            "rdns": null,
            "confidence": 60,
            "uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
            "subtype": "MD5",
            "trusted_circle_ids": [
                146,
                254
            ],
            "id": 51744433673,
            "source": "targetedthreats - OSINT",
            "owner_organization_id": 2,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1551097291170
            ],
            "description": null,
            "tags": [
                {
                    "id": "fvj",
                    "name": "Family=Code4HK"
                },
                {
                    "id": "zwz",
                    "name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
                }
            ],
            "threatscore": 54,
            "source_reported_confidence": 60,
            "modified_ts": "2019-02-25T12:21:31.170Z",
            "is_public": false,
            "asn": "",
            "created_ts": "2018-11-27T09:00:33.468Z",
            "tlp": null,
            "is_anonymous": false,
            "country": null,
            "can_add_public_tags": false,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "retina_confidence": -1,
            "meta": {
                "detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
                "severity": "high"
            },
            "resource_uri": "/api/v2/intelligence/51744433673/"
      "report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 191,
            "update_id": 5406560,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 90,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 5406560,
            "source": "SLC Alert Malware Domains",
            "owner_organization_id": 736,
            "import_session_id": null,
            "latitude": null,
            "type": "md5",
            "sort": [
                1421928716491
            ],
            "description": null,
            "tags": [
                {
                    "name": "HITRUST"
                },
                {
                    "name": "Public-Threats"
                }
            ],
            "threatscore": 77,
            "source_reported_confidence": 60,
            "modified_ts": "2015-01-22T12:11:56.491Z",
            "org": "",
            "asn": "",
            "created_ts": "2015-01-22T12:11:56.491Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": true,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "severity": "high",
                "detail": "Public Threats,HITRUST"
            },
            "resource_uri": "/api/v2/intelligence/5406560/"
        },
        {
            "status": "active",
            "itype": "apt_md5",
            "expiration_ts": "9999-12-31T00:00:00+00:00",
            "ip": null,
            "is_editable": false,
            "feed_id": 0,
            "update_id": 59177,
            "value": "15e5143e1c843b4836d7b6d5424fb4a5",
            "is_public": true,
            "threat_type": "apt",
            "workgroups": [],
            "rdns": null,
            "confidence": 100,
            "uuid": null,
            "retina_confidence": -1,
            "trusted_circle_ids": null,
            "id": 59177,
            "source": "Analyst",
            "owner_organization_id": 2,
            "import_session_id": 2325,
            "latitude": null,
            "type": "md5",
            "sort": [
                1412172414589
            ],
            "description": null,
            "tags": [
                {
                    "name": "apt_md5"
                },
                {
                    "name": "CN-APT"
                },
                {
                    "name": "IOS-Malware"
                },
                {
                    "name": "LadyBoyle"
                }
            ],
            "threatscore": 85,
            "source_reported_confidence": 0,
            "modified_ts": "2014-10-01T14:06:54.589Z",
            "org": "",
            "asn": "",
            "created_ts": "2014-10-01T14:06:40.858Z",
            "tlp": null,
            "is_anonymous": null,
            "country": null,
            "can_add_public_tags": false,
            "longitude": null,
            "subtype": "MD5",
            "meta": {
                "detail2": "imported by user 1",
                "severity": "very-high",
                "detail": "LadyBoyle, IOS Malware, CN APT"
            },
            "resource_uri": "/api/v2/intelligence/59177/"
        }
    ],
    "is_risky": "true"
    "meta": {
        "total_count": 3,
        "offset": 0,
        "limit": 1000,
        "took": 27,
        "next": null
    }
}

Enriquecimento de entidades

Nome do campo de enriquecimento	Lógica: quando aplicar
TFuse_id	Quando estiver disponível em JSON
TFuse_status	Quando estiver disponível em JSON
TFuse_itype	Quando estiver disponível em JSON
TFuse_expiration_time	Quando estiver disponível em JSON
TFuse_ip	Quando estiver disponível em JSON
TFuse_feed_id	Quando estiver disponível em JSON
TFuse_confidence	Quando estiver disponível em JSON
TFuse_uuid	Quando estiver disponível em JSON
TFuse_retina_confidence	Quando estiver disponível em JSON
TFuse_trusted_circle_ids	Quando estiver disponível em JSON
TFuse_source	Quando estiver disponível em JSON
TFuse_latitude	Quando estiver disponível em JSON
TFuse_type	Quando estiver disponível em JSON
TFuse_description	Quando estiver disponível em JSON
TFuse_tags	Quando estiver disponível em JSON
TFuse_threat_score	Quando estiver disponível em JSON
TFuse_source_confidence	Quando estiver disponível em JSON
TFuse_modification_time	Quando estiver disponível em JSON
TFuse_org_name	Quando estiver disponível em JSON
TFuse_asn	Quando estiver disponível em JSON
TFuse_creation_time	Quando estiver disponível em JSON
TFuse_tlp	Quando estiver disponível em JSON
TFuse_country	Quando estiver disponível em JSON
TFuse_longitude	Quando estiver disponível em JSON
TFuse_severity	Quando estiver disponível em JSON
TFuse_subtype	Quando estiver disponível em JSON
TFuse_report	Quando estiver disponível em JSON

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral
CSV	Nome da tabela: links de análise relacionados: {entity_identifier} Colunas da tabela: Nome: mapeado como chave na segunda resposta (exemplo: VirusTotal) Link: mapeado como valor para a chave	Geral
CSV	Chaves baseadas na tabela de enriquecimento. O parâmetro No Enrichment Prefix está em maiúsculas.	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida (is_success=true): "Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}".format(entity.identifier list)

Se não for possível enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

CSV

Nome da tabela: links de análise relacionados: {entity_identifier}

Colunas da tabela:

Nome: mapeado como chave na segunda resposta (exemplo: VirusTotal)
Link: mapeado como valor para a chave

Geral

CSV

Chaves baseadas na tabela de enriquecimento.

O parâmetro No Enrichment Prefix está em maiúsculas.

Geral

Obtenha hashes relacionados

Descrição

Obtenha hashes relacionados com entidades com base nas associações no Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. Máximo: 100
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa campanhas.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as linhas de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as TTPs.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa vulnerabilidades.
Max Hashes To Return	Número inteiro	50	Não	Especifique o número de hashes a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (is_success=true): "Hashes relacionados obtidos com êxito do Siemplify ThreatFuse" Se não forem encontradas hashes (is_success=false): "Não foram encontradas hashes relacionadas." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (is_success=true): "Hashes relacionados obtidos com êxito do Siemplify ThreatFuse"

Se não forem encontradas hashes (is_success=false): "Não foram encontradas hashes relacionadas."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Obtenha URLs relacionados

Descrição

Recuperar URLs relacionados com entidades com base nas associações no Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. Máximo: 100
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa campanhas.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as linhas de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as TTPs.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa vulnerabilidades.
Máximo de URLs a devolver	Número inteiro	50	Não	Especifique o número de URLs a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado, pelo menos, um URL em todas as entidades (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." (Foram obtidos com êxito URLs relacionados do Siemplify ThreatFuse.) Se não forem encontrados hashes (is_success=false): "No related urls were found." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter URLs relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado, pelo menos, um URL em todas as entidades (is_success=true): "Successfully retrieved related urls from Siemplify ThreatFuse." (Foram obtidos com êxito URLs relacionados do Siemplify ThreatFuse.)

Se não forem encontrados hashes (is_success=false): "No related urls were found."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter URLs relacionados". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Get Related Domains

Descrição

Obter domínios relacionados com entidades com base nas associações no Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. Máximo: 100
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa campanhas.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as linhas de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as TTPs.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa vulnerabilidades.
Máximo de domínios a devolver	Número inteiro	50	Não	Especifique o número de domínios a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
"domains": ["www.google.com"]
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." (Domínios relacionados obtidos com êxito do Siemplify ThreatFuse.) Se não forem encontradas hashes (issuccess=false): "Não foram encontrados domínios relacionados." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter domínios relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (issuccess=true): "Successfully retrieved related domains from Siemplify ThreatFuse." (Domínios relacionados obtidos com êxito do Siemplify ThreatFuse.)

Se não forem encontradas hashes (issuccess=false): "Não foram encontrados domínios relacionados."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter domínios relacionados". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Obtenha endereços de email relacionados

Descrição

Recupere endereços de email relacionados com entidades com base nas associações no Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. Máximo: 100
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa campanhas.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as linhas de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as TTPs.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa vulnerabilidades.
Máximo de domínios a devolver	Número inteiro	50	Não	Especifique o número de domínios a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito e for encontrado, pelo menos, um hash em todas as entidades (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse." (Foram obtidos com êxito endereços de email relacionados do Siemplify ThreatFuse.) Se não forem encontradas hashes (issuccess=false): "Não foram encontrados endereços de email relacionados." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter endereços de email relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor do "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito e for encontrado, pelo menos, um hash em todas as entidades (issuccess=true): "Successfully retrieved related email addresses from Siemplify ThreatFuse." (Foram obtidos com êxito endereços de email relacionados do Siemplify ThreatFuse.)

Se não forem encontradas hashes (issuccess=false): "Não foram encontrados endereços de email relacionados."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter endereços de email relacionados". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor do "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Obtenha IPs relacionados

Descrição

Recuperar endereços IP relacionados com entidades com base nas associações no Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique o limite de confiança. Máximo: 100
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa campanhas.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a pesquisa de ações entre os cursos de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação pesquisa entre assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as TTPs.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa vulnerabilidades.
Máximo de domínios a devolver	Número inteiro	50	Não	Especifique o número de domínios a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída\*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse." (Foram obtidos com êxito IPs relacionados do Siemplify ThreatFuse.) Se não forem encontradas hashes (is_success=false): "Não foram encontrados IPs relacionados." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter IPs relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída\*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado, pelo menos, um hash nas entidades (is_success=true): "Successfully retrieved related IPs from Siemplify ThreatFuse." (Foram obtidos com êxito IPs relacionados do Siemplify ThreatFuse.)

Se não forem encontradas hashes (is_success=false): "Não foram encontrados IPs relacionados."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter IPs relacionados". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Obtenha associações relacionadas

Descrição

Obter associações relacionadas com entidades a partir do Siemplify ThreatFuse.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Campanhas de retorno	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação obtém campanhas relacionadas e detalhes sobre as mesmas.
Devolver boletins de ameaças	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém boletins de ameaças relacionados e detalhes sobre os mesmos.
Return Actors	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém atores relacionados e detalhes sobre os mesmos.
Padrões de ataque de retorno	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém padrões de ataque relacionados e detalhes sobre os mesmos.
Devolva cursos de ação	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém cursos de ação relacionados e detalhes sobre os mesmos.
Identidades de retorno	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém identidades relacionadas e detalhes sobre as mesmas.
Incidentes de devolução	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém incidentes relacionados e detalhes sobre os mesmos.
Infraestrutura de devolução	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém a infraestrutura relacionada e os respetivos detalhes.
Devolva conjuntos de intrusão	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém conjuntos de intrusão relacionados e detalhes sobre os mesmos.
Software malicioso de retorno	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém software malicioso relacionado e detalhes sobre o mesmo.
Assinaturas de devolução	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém assinaturas relacionadas e detalhes sobre as mesmas.
Ferramentas de devolução	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém ferramentas relacionadas e detalhes sobre as mesmas.
Devolva TTPs	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação obtém TTPs relacionados e detalhes sobre os mesmos.
Vulnerabilidades de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação obtém vulnerabilidades relacionadas e detalhes sobre as mesmas.
Criar entidade de campanha	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de "Campanha" disponíveis.
Crie uma entidade de atores	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de "Ator" disponíveis.
Crie uma entidade de assinatura	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de "Assinatura" disponíveis.
Crie uma entidade de vulnerabilidade	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de "Vulnerabilidade" disponíveis.
Crie estatísticas	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação cria uma estatística com base nos resultados.
Crie uma etiqueta de registo	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação cria etiquetas de registo com base nos resultados.
Número máximo de associações a devolver	Número inteiro	N/A	Não	Especifique o número de associações a devolver por tipo.
Max Statistics To Return	Número inteiro	3	Não	Especifique o número de principais resultados de estatísticas relativos a IOCs a devolver. Nota: a ação processa o máximo de 1000 IOCs relacionados com a associação. Se fornecer "0", a ação não tenta obter informações de estatísticas.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
    "campaign": [
        {
            "name": "Coronavirus",
            "id": 1
        },
        {
            "name": "Bad campaign",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrada, pelo menos, uma associação entre entidades (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Associações relacionadas obtidas com êxito do Siemplify ThreatFuse) Se não forem encontradas associações (is_success=false): "No related associations were found." Mensagem assíncrona: a aguardar a obtenção de todos os detalhes da associação" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)	Geral
CSV	Nome: "Associações relacionadas" Colunas: ID Nome Tipo (nome da associação) Estado (mapeado como status/display_name)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrada, pelo menos, uma associação entre entidades (is_success=true): "Successfully retrieved related associations from Siemplify ThreatFuse" (Associações relacionadas obtidas com êxito do Siemplify ThreatFuse)

Se não forem encontradas associações (is_success=false): "No related associations were found."

Mensagem assíncrona: a aguardar a obtenção de todos os detalhes da associação"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)

Geral

CSV

Nome: "Associações relacionadas"

Colunas:

ID
Nome
Tipo (nome da associação)
Estado (mapeado como status/display_name)

Geral

Envie observáveis

Descrição

Envie um observável para o Siemplify ThreatFuse com base nas entidades IP, URL, hash e email.

Onde encontrar IDs de círculos fidedignos

Para encontrar o ID de um círculo fidedigno, localize o círculo fidedigno no Siemplify ThreatFuse e clique no respetivo nome. O URL apresentado na barra de endereço mostra o ID.

Por exemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Classificação	LDD	Privado Valores possíveis: Público Privado	Sim	Especifique a classificação do observável.
Tipo de ameaça	LDD	APT Valores possíveis APT Adware Anómalo Anonimização Bot Brute C2 Comprometido Criptomoedas Fuga de dados DDOS DNS dinâmico Exfil Exploração Fraude Ferramenta de pirataria I2P Informativas Software malicioso P2 Parqueado Phish A digitalizar Dolinas Redes sociais Spam Suprimir Suspeito TOR VPS	Sim	Especifique o tipo de ameaça para os dados observáveis.
Origem	String	Siemplify	Não	Especifique a origem de informações para o observável.
Data de validade	Número inteiro	N/A	Não	Especifique a data de validade em dias para o observável. Se nada for especificado aqui, a ação cria um elemento observável que nunca expira.
IDs do círculo fidedigno	CSV	N/A	Não	Especifique uma lista de IDs de círculos fidedignos separados por vírgulas. Os dados observáveis são partilhados com esses círculos fidedignos.
TLP	LDD	Selecione uma opção Valores possíveis: Selecione uma opção Vermelho Verde Âmbar Branco	Não	Especifique o TLP para os seus observáveis.
Confiança	Número inteiro	N/A	Não	Especifique qual deve ser a confiança para o observável. Nota: este parâmetro só funciona se criar observáveis na sua organização e o parâmetro "Substituir confiança do sistema" estiver ativado.
Substituir confiança do sistema	Caixa de verificação	Desmarcado	Não	Se estiver ativado, os dados observáveis criados têm a confiança especificada no parâmetro "Confiança". Nota: não pode partilhar observáveis em círculos fidedignos nem publicamente quando este parâmetro está ativado.
Envio anónimo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação faz um envio anónimo.
Etiquetas	CSV	N/A	Não	Especifique uma lista de etiquetas separadas por vírgulas que quer adicionar ao observável.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

approved_jobs = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id": 123123,
        "entity": {entity.identifier}
    }
]

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado, pelo menos, um hash em todas as entidades (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Se falhar para algumas entidades (entidades rejeitadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada com êxito para o Siemplify ThreatFuse." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 400: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(message)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado, pelo menos, um hash em todas as entidades (is_success=true): "Successfully submitted and approved the following entities in Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Se falhar para algumas entidades (entidades rejeitadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada com êxito para o Siemplify ThreatFuse."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(error.Stacktrace)

Se for comunicado o código de estado 400: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(message)

Geral

Denunciar como falso positivo

Descrição

Denunciar entidades no Siemplify ThreatFuse como falsos positivos.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Motivo	String	N/A	Sim	Especifique o motivo pelo qual quer marcar as entidades como falsos positivos.
Comentário	String	N/A	Sim	Especifique informações adicionais relacionadas com a sua decisão de marcar a entidade como falso positivo.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Nome de utilizador com expressões regulares de email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se a operação for bem-sucedida e for encontrado, pelo menos, um hash nas entidades (is_success=true): "As seguintes entidades foram denunciadas com êxito como falsos positivos no Siemplify ThreatFuse:\n{0}".format(entity.identifier list) Se não for possível marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se a ação de enriquecimento falhar para todas as entidades (issuccess=false): "Nenhuma entidade foi comunicada como falso positivo." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Denunciar como falso positivo". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se a operação for bem-sucedida e for encontrado, pelo menos, um hash nas entidades (is_success=true): "As seguintes entidades foram denunciadas com êxito como falsos positivos no Siemplify ThreatFuse:\n{0}".format(entity.identifier list)

Se não for possível marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier])

Se a ação de enriquecimento falhar para todas as entidades (issuccess=false): "Nenhuma entidade foi comunicada como falso positivo."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Denunciar como falso positivo". Motivo: {0}''.format(error.Stacktrace)

Geral

Conetor

Configure o conetor de observáveis do Siemplify ThreatFuse

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Siemplify ThreatFuse - Observables Connector

Extraia dados observáveis do Siemplify ThreatFuse.

Recomendações

Ao configurar o conector, recomendamos que use um ambiente separado para que os analistas não sejam inundados com todos os alertas especulativos.

Onde encontrar IDs de círculos fidedignos

Para encontrar o ID de um círculo fidedigno, localize o círculo fidedigno no Siemplify ThreatFuse e clique no respetivo nome. O URL apresentado na barra de endereço mostra o ID.

Por exemplo: https://siemplify.threatstream.com/search?trustedcircles=13.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento	String	escrever	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente	String	""	Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de expressão regular do ambiente	String	.*	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos)	Número inteiro	300	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://api.threat stream.com	Sim	Raiz da API da instância do Siemplify ThreatFuse.
Endereço de email	String	N/A	Sim	Endereço de email da conta do Siemplify ThreatFuse.
Chave de API	Palavra-passe	N/A	Sim	Chave da API da conta do Siemplify ThreatFuse.
Gravidade mais baixa a obter	String	Alto	Sim	Gravidade mais baixa que vai ser usada para obter observáveis. Valores possíveis: Baixo Médio Alto Muito alta
Nível de confiança mais baixo para obter	Número inteiro	50	Sim	Nível de confiança mais baixo que vai ser usado para obter dados observáveis. O máximo é 100.
Filtro de feed de origem	CSV	N/A	Não	Lista separada por vírgulas de IDs de feeds que devem ser usados para carregar observáveis. Exemplo: 515,4129
Filtro de tipo observável	CSV	url, domain, email, hash, ip, ipv6	Não	Lista separada por vírgulas de tipos observáveis que devem ser carregados. Exemplo: url, domínio Valores possíveis: url, domain, email, hash, ip, ipv6
Filtro de estado observável	CSV	ativo	Não	Lista separada por vírgulas do estado observável que deve ser usado para carregar novos dados. Exemplo: active,inactive Valores possíveis: active,inactive,falsepos
Filtro de tipo de ameaça	CSV	N/A	Não	Lista separada por vírgulas de tipos de ameaças que devem ser usados para carregar dados observáveis. Exemplo: аdware,anomalous,anonymization,apt Valores possíveis: аdware,anomalous,anonymization, apt,bot,brute,c2,compromised, crypto,data_leakage,ddos,dyn_dns,exfil, exploit,fraud,hack_tool,i2p,informational, malware,p2p,parked,phish,scan,sinkhole,spam, suppress,suspicious,tor,vps
Filtro de círculo fidedigno	CSV	N/A	Não	Lista separada por vírgulas de IDs de círculos fidedignos que devem ser usados para carregar dados observáveis. Exemplo: 146,147
Filtro de nome da etiqueta	CSV	N/A	Não	Lista separada por vírgulas de nomes de etiquetas associados a observáveis que devem ser usados com a carregamento. Exemplo: credenciais da Microsoft, phishing.
Agrupamento de feeds de origem	Caixa de verificação	Desmarcado	Não	Se estiver ativado, o conector agrupa os observáveis da mesma origem no mesmo alerta do Siemplify.
Fetch Max Days Backwards	Número inteiro	1	Não	Quantidade de dias a partir dos quais obter os dados observáveis.
Máximo de observáveis por alerta	Número inteiro	100	Não	Quantos observáveis devem fazer parte de um alerta do Siemplify. O máximo é 200.
Use a lista de autorizações como uma lista negra	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios.
Validar SSL	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, valide se o certificado SSL para a ligação ao servidor do Siemplify Threatfuse é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.

Regras de conector

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.