Siemplify ThreatFuse
Versão da integração: 14.0
Configurar a integração do Siemplify ThreatFuse no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da Web | String | https://siemplify.threatstream.com | Sim | Raiz da Web da instância do Siemplify ThreatFuse. Esse parâmetro é usado para criar links de relatórios em itens de integração. |
| Raiz da API | String | https://api.threatstream.com | Sim | Raiz da API da instância do Siemplify ThreatFuse. |
| Endereço de e-mail | String | N/A | Sim | Endereço de e-mail da conta do Siemplify ThreatFuse. |
| Chave de API | Senha | N/A | Sim | Chave de API da conta do Siemplify ThreatFuse. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do Siemplify ThreatFuse é válido. |
Para conseguir a chave de API, siga estas etapas:
Nas configurações da sua conta do ThreatStream, acesse a guia Meu perfil.
Acesse a seção Informações da conta.
Copie o valor da chave de API.
Casos de uso
Enriquecer entidades.
Ações
Ping
Descrição
Teste a conectividade com o Siemplify ThreatFuse usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Enriquecer entidades
Descrição
Recupera informações sobre IPs, URLs, hashes e endereços de e-mail do Siemplify ThreatFuse. Se vários registros forem encontrados para a mesma entidade, a ação vai enriquecer usando o registro mais recente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de gravidade | DDL | Médio Valor possível:
|
Sim | Especifique o limite de gravidade para a entidade, a fim de marcá-la como suspeita. Se vários registros forem encontrados para a mesma entidade, a ação vai considerar a gravidade mais alta entre todos os registros disponíveis. |
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança da entidade para marcá-la como suspeita. O máximo é 100. Se vários registros forem encontrados para a entidade, a ação vai usar a média. Os registros ativos têm prioridade. |
| Ignorar status de falso positivo | Caixa de seleção | Desmarcado | Não | Se ativada, a ação ignora o status de falso positivo e marca a entidade como suspeita com base nos parâmetros "Limite de gravidade" e "Limite de confiança". Se desativada, a ação nunca rotula entidades de falso positivo como suspeitas, mesmo que elas atendam ou não às condições de "Limite de gravidade" e "Limite de confiança". |
| Adicionar tipo de ameaça ao caso | Caixa de seleção | Desmarcado | Não | Se ativada, a ação adiciona ao caso os tipos de ameaça da entidade de todos os registros como tags. Exemplo: apt |
| Somente insights de entidade suspeita | Caixa de seleção | Desmarcado | Sim | Se ativada, a ação cria insights apenas para entidades que excederam os parâmetros "Limite de gravidade" e "Limite de confiança". |
| Criar insight | Caixa de seleção | Desmarcado | Sim | Se ativada, a ação adiciona um insight por entidade processada. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"objects": [
{
"status": "inactive",
"itype": "mal_md5",
"expiration_ts": "2019-02-25T08:58:58.000Z",
"ip": null,
"is_editable": false,
"feed_id": 2197,
"update_id": 3328068779,
"longitude": null,
"org": "",
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 60,
"uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
"subtype": "MD5",
"trusted_circle_ids": [
146,
254
],
"id": 51744433673,
"source": "targetedthreats - OSINT",
"owner_organization_id": 2,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1551097291170
],
"description": null,
"tags": [
{
"id": "fvj",
"name": "Family=Code4HK"
},
{
"id": "zwz",
"name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
}
],
"threatscore": 54,
"source_reported_confidence": 60,
"modified_ts": "2019-02-25T12:21:31.170Z",
"is_public": false,
"asn": "",
"created_ts": "2018-11-27T09:00:33.468Z",
"tlp": null,
"is_anonymous": false,
"country": null,
"can_add_public_tags": false,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"retina_confidence": -1,
"meta": {
"detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
"severity": "high"
},
"resource_uri": "/api/v2/intelligence/51744433673/"
"report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 191,
"update_id": 5406560,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 90,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 5406560,
"source": "SLC Alert Malware Domains",
"owner_organization_id": 736,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1421928716491
],
"description": null,
"tags": [
{
"name": "HITRUST"
},
{
"name": "Public-Threats"
}
],
"threatscore": 77,
"source_reported_confidence": 60,
"modified_ts": "2015-01-22T12:11:56.491Z",
"org": "",
"asn": "",
"created_ts": "2015-01-22T12:11:56.491Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": true,
"longitude": null,
"subtype": "MD5",
"meta": {
"severity": "high",
"detail": "Public Threats,HITRUST"
},
"resource_uri": "/api/v2/intelligence/5406560/"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 0,
"update_id": 59177,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 100,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 59177,
"source": "Analyst",
"owner_organization_id": 2,
"import_session_id": 2325,
"latitude": null,
"type": "md5",
"sort": [
1412172414589
],
"description": null,
"tags": [
{
"name": "apt_md5"
},
{
"name": "CN-APT"
},
{
"name": "IOS-Malware"
},
{
"name": "LadyBoyle"
}
],
"threatscore": 85,
"source_reported_confidence": 0,
"modified_ts": "2014-10-01T14:06:54.589Z",
"org": "",
"asn": "",
"created_ts": "2014-10-01T14:06:40.858Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": false,
"longitude": null,
"subtype": "MD5",
"meta": {
"detail2": "imported by user 1",
"severity": "very-high",
"detail": "LadyBoyle, IOS Malware, CN APT"
},
"resource_uri": "/api/v2/intelligence/59177/"
}
],
"is_risky": "true"
"meta": {
"total_count": 3,
"offset": 0,
"limit": 1000,
"took": 27,
"next": null
}
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| TFuse_id | Quando disponível em JSON |
| TFuse_status | Quando disponível em JSON |
| TFuse_itype | Quando disponível em JSON |
| TFuse_expiration_time | Quando disponível em JSON |
| TFuse_ip | Quando disponível em JSON |
| TFuse_feed_id | Quando disponível em JSON |
| TFuse_confidence | Quando disponível em JSON |
| TFuse_uuid | Quando disponível em JSON |
| TFuse_retina_confidence | Quando disponível em JSON |
| TFuse_trusted_circle_ids | Quando disponível em JSON |
| TFuse_source | Quando disponível em JSON |
| TFuse_latitude | Quando disponível em JSON |
| TFuse_type | Quando disponível em JSON |
| TFuse_description | Quando disponível em JSON |
| TFuse_tags | Quando disponível em JSON |
| TFuse_threat_score | Quando disponível em JSON |
| TFuse_source_confidence | Quando disponível em JSON |
| TFuse_modification_time | Quando disponível em JSON |
| TFuse_org_name | Quando disponível em JSON |
| TFuse_asn | Quando disponível em JSON |
| TFuse_creation_time | Quando disponível em JSON |
| TFuse_tlp | Quando disponível em JSON |
| TFuse_country | Quando disponível em JSON |
| TFuse_longitude | Quando disponível em JSON |
| TFuse_severity | Quando disponível em JSON |
| TFuse_subtype | Quando disponível em JSON |
| TFuse_report | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida (is_success=true): "As seguintes entidades foram enriquecidas com sucesso usando o Siemplify ThreatFuse: \n {0}".format(lista entity.identifier) Se não for possível enriquecer entidades específicas (is_success=true): "Não foi possível enriquecer as seguintes entidades usando o Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de 'Limite de confiança' precisa estar no intervalo de 0 a 100". |
Geral |
| CSV | Nome da tabela:links de análise relacionada: {entity_identifier} Colunas da tabela:
|
Geral |
| CSV | Chaves baseadas na tabela de enriquecimento. O parâmetro "No Enrichment Prefix" está em maiúsculas. |
Geral |
Receber hashes relacionados
Descrição
Recupere hashes relacionados a entidades com base nas associações no Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança. Máximo: 100 |
| Pesquisar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os boletins de ameaças. |
| Pesquisar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os atores. |
| Pesquisar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre padrões de ataque. |
| Campanhas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa campanhas. |
| Pesquisar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai pesquisar entre os cursos de ação. |
| Pesquisar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre identidades. |
| Pesquisar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre incidentes. |
| Pesquisar infraestruturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre infraestruturas. |
| Pesquisar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre conjuntos de intrusão. |
| Pesquisar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre malwares. |
| Pesquisar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as assinaturas. |
| Ferramentas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as ferramentas. |
| TTPs de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os TTPs. |
| Pesquisar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre vulnerabilidades. |
| Máximo de hashes a serem retornados | Número inteiro | 50 | Não | Especifique o número de hashes a serem retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
- Agente de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (is_success=true): "Hashes relacionados recuperados com sucesso do Siemplify ThreatFuse" Se nenhum hash for encontrado (is_success=false): "Nenhum hash relacionado foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber hashes relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100". |
Geral |
Receber URLs relacionados
Descrição
Recupera URLs relacionados a entidades com base nas associações no Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança. Máximo: 100 |
| Pesquisar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os boletins de ameaças. |
| Pesquisar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os atores. |
| Pesquisar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre padrões de ataque. |
| Campanhas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa campanhas. |
| Pesquisar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os cursos de ação. |
| Pesquisar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre identidades. |
| Pesquisar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre incidentes. |
| Pesquisar infraestruturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre infraestruturas. |
| Pesquisar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre conjuntos de intrusão. |
| Pesquisar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre malwares. |
| Pesquisar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as assinaturas. |
| Ferramentas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as ferramentas. |
| TTPs de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os TTPs. |
| Pesquisar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre vulnerabilidades. |
| Número máximo de URLs a serem retornados | Número inteiro | 50 | Não | Especifique o número de URLs a serem retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
- Agente de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um URL entre as entidades for encontrado (is_success=true): "Os URLs relacionados do Siemplify ThreatFuse foram recuperados." Se nenhum hash for encontrado (is_success=false): "Nenhum URL relacionado foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber URLs relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100". |
Geral |
Receber domínios relacionados
Descrição
Recupera domínios relacionados a entidades com base nas associações no Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança. Máximo: 100 |
| Pesquisar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os boletins de ameaças. |
| Pesquisar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os atores. |
| Pesquisar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre padrões de ataque. |
| Campanhas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa campanhas. |
| Pesquisar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os cursos de ação. |
| Pesquisar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre identidades. |
| Pesquisar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre incidentes. |
| Pesquisar infraestruturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre infraestruturas. |
| Pesquisar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre conjuntos de intrusão. |
| Pesquisar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre malwares. |
| Pesquisar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as assinaturas. |
| Ferramentas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as ferramentas. |
| TTPs de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os TTPs. |
| Pesquisar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre vulnerabilidades. |
| Número máximo de domínios a serem retornados | Número inteiro | 50 | Não | Especifique o número de domínios a serem retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
- Agente de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"domains": ["www.google.com"]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (issuccess=true): "Recuperamos os domínios relacionados do Siemplify ThreatFuse." Se nenhum hash for encontrado (issuccess=false): "Nenhum domínio relacionado foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber domínios relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100". |
Geral |
Receber endereços de e-mail relacionados
Descrição
Recupere endereços de e-mail relacionados a entidades com base nas associações no Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança. Máximo: 100 |
| Pesquisar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os boletins de ameaças. |
| Pesquisar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os atores. |
| Pesquisar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre padrões de ataque. |
| Campanhas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa campanhas. |
| Pesquisar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os cursos de ação. |
| Pesquisar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre identidades. |
| Pesquisar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre incidentes. |
| Pesquisar infraestruturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre infraestruturas. |
| Pesquisar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre conjuntos de intrusão. |
| Pesquisar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre malwares. |
| Pesquisar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as assinaturas. |
| Ferramentas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as ferramentas. |
| TTPs de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os TTPs. |
| Pesquisar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre vulnerabilidades. |
| Número máximo de domínios a serem retornados | Número inteiro | 50 | Não | Especifique o número de domínios a serem retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
- Agente de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (issuccess=true): "Os endereços de e-mail relacionados foram recuperados com sucesso do Siemplify ThreatFuse." Se nenhum hash for encontrado (issuccess=false): "Nenhum endereço de e-mail relacionado foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber endereços de e-mail relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" precisa estar no intervalo de 0 a 100". |
Geral |
Receber IPs relacionados
Descrição
Recupere endereços IP relacionados a entidades com base nas associações no Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de confiança | Número inteiro | N/A | Sim | Especifique o limite de confiança. Máximo: 100 |
| Pesquisar boletins de ameaças | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os boletins de ameaças. |
| Pesquisar atores | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os atores. |
| Pesquisar padrões de ataque | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre padrões de ataque. |
| Campanhas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa campanhas. |
| Pesquisar cursos de ação | Caixa de seleção | Selecionado | Não | Se ativada, a pesquisa de ações entre cursos de ação. |
| Pesquisar identidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre identidades. |
| Pesquisar incidentes | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre incidentes. |
| Pesquisar infraestruturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre infraestruturas. |
| Pesquisar conjuntos de invasão | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre conjuntos de intrusão. |
| Pesquisar malware | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre malwares. |
| Pesquisar assinaturas | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as assinaturas. |
| Ferramentas de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre as ferramentas. |
| TTPs de pesquisa | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre os TTPs. |
| Pesquisar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação pesquisa entre vulnerabilidades. |
| Número máximo de domínios a serem retornados | Número inteiro | 50 | Não | Especifique o número de domínios a serem retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
- Agente de ameaça
- CVE
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (is_success=true): "Recuperamos os IPs relacionados do Siemplify ThreatFuse." Se nenhum hash for encontrado (is_success=false): "Nenhum IP relacionado foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber IPs relacionados". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de 'Limite de confiança' precisa estar no intervalo de 0 a 100". |
Geral |
Receber associações relacionadas
Descrição
Recupera associações relacionadas a entidades do Siemplify ThreatFuse.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campanhas de devolução | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar campanhas relacionadas e detalhes sobre elas. |
| Retornar boletins de ameaças | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar boletins de ameaças relacionados e detalhes sobre eles. |
| Retornar atores | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar atores relacionados e detalhes sobre eles. |
| Retornar padrões de ataque | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar padrões de ataque relacionados e detalhes sobre eles. |
| Retornar cursos de ação | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar cursos de ação relacionados e detalhes sobre eles. |
| Retornar identidades | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar identidades relacionadas e detalhes sobre elas. |
| Retornar incidentes | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar incidentes relacionados e detalhes sobre eles. |
| Infraestrutura de devolução | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar a infraestrutura relacionada e detalhes sobre ela. |
| Retornar conjuntos de invasão | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar conjuntos de invasão relacionados e detalhes sobre eles. |
| Retornar malware | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar malwares relacionados e detalhes sobre eles. |
| Retornar assinaturas | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar assinaturas relacionadas e detalhes sobre elas. |
| Ferramentas de devolução | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar ferramentas relacionadas e detalhes sobre elas. |
| TTPs de retorno | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar TTPs relacionados e detalhes sobre eles. |
| Retornar vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar vulnerabilidades relacionadas e detalhes sobre elas. |
| Criar entidade de campanha | Caixa de seleção | Desmarcado | Não | Se ativada, a ação cria uma entidade com base nas associações de "Campanha" disponíveis. |
| Criar entidade de atores | Caixa de seleção | Desmarcado | Não | Se ativada, a ação cria uma entidade com base nas associações de "Ator" disponíveis. |
| Criar entidade de assinatura | Caixa de seleção | Desmarcado | Não | Se ativada, a ação cria uma entidade com base nas associações de "Assinatura" disponíveis. |
| Criar entidade de vulnerabilidade | Caixa de seleção | Desmarcado | Não | Se ativada, a ação cria uma entidade com base nas associações de "Vulnerabilidade" disponíveis. |
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com base nos resultados. |
| Criar tag de caso | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria tags de caso com base nos resultados. |
| Número máximo de associações a serem retornadas | Número inteiro | N/A | Não | Especifique o número de associações a serem retornadas por tipo. |
| Número máximo de estatísticas a serem retornadas | Número inteiro | 3 | Não | Especifique o número de resultados das principais estatísticas sobre IOCs a serem retornados. Observação:a ação processa no máximo 1.000 IOCs relacionados à associação. Se você fornecer "0", a ação não vai tentar buscar informações de estatísticas. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"campaign": [
{
"name": "Coronavirus",
"id": 1
},
{
"name": "Bad campaign",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma associação entre entidades for encontrada (is_success=true): "Associações relacionadas do Siemplify ThreatFuse recuperadas com sucesso" Se nenhuma associação for encontrada (is_success=false): "Nenhuma associação relacionada foi encontrada." Mensagem assíncrona:aguardando a recuperação de todos os detalhes da associação" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| CSV | Nome: "Associações relacionadas" Colunas:
|
Geral |
Enviar observáveis
Descrição
Envie um observável para o Siemplify ThreatFuse com base nas entidades IP, URL, Hash e e-mail.
Onde encontrar IDs de círculos de confiança
Para encontrar o ID de um círculo de confiança, localize o círculo no Siemplify ThreatFuse e clique no nome dele. O URL exibido na barra de endereço mostra o ID.
Por exemplo: https://siemplify.threatstream.com/search?trustedcircles=13.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Classificação | DDL | Particular Valores possíveis:
|
Sim | Especifique a classificação do elemento observável. |
| Tipo de ameaça | DDL | APT Valores possíveis
|
Sim | Especifique o tipo de ameaça para os observáveis. |
| Origem | String | Siemplify | Não | Especifique a fonte de inteligência para o observável. |
| Data de validade | Número inteiro | N/A | Não | Especifique a data de validade em dias do observável. Se nada for especificado aqui, a ação vai criar um observable que nunca expira. |
| IDs de círculos de confiança | CSV | N/A | Não | Especifique uma lista separada por vírgulas de IDs de círculos confiáveis. Os indicadores são compartilhados com esses círculos de confiança. |
| TLP | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique o TLP dos seus observáveis. |
| Confiança | Número inteiro | N/A | Não | Especifique o nível de confiança do observável. Observação:esse parâmetro só funciona se você criar observáveis na sua organização e o parâmetro "Substituir a confiança do sistema" estiver ativado. |
| Substituir a confiança do sistema | Caixa de seleção | Desmarcado | Não | Se ativada, os observáveis criados terão a confiança especificada no parâmetro "Confiança". Observação:não é possível compartilhar indicadores em círculos de confiança e publicamente quando esse parâmetro está ativado. |
| Envio anônimo | Caixa de seleção | Desmarcado | Não | Se ativada, a ação fará um envio anônimo. |
| Tags | CSV | N/A | Não | Especifique uma lista separada por vírgulas de tags que você quer adicionar ao observável. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
approved_jobs = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos um hash entre entidades for encontrado (is_success=true): "As seguintes entidades foram enviadas e aprovadas no Siemplify ThreatFuse:\n{0}".format(lista de identificadores de entidade) Se houver falha em algumas entidades (entidades rejeitadas) (is_success=true): "Não foi possível enviar e aprovar as seguintes entidades no Siemplify ThreatFuse:\n{0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada ao Siemplify ThreatFuse." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(error.Stacktrace) Se o código de status 400 for informado: "Erro ao executar a ação "Enviar observável". Motivo: {0}''.format(message) |
Geral |
Denunciar como falso positivo
Descrição
Denuncie entidades no Siemplify ThreatFuse como falso positivo.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Motivo | String | N/A | Sim | Especifique o motivo pelo qual você quer marcar entidades como falso positivo. |
| Comentário | String | N/A | Sim | Especifique mais informações relacionadas à sua decisão de marcar a entidade como falso positivo. |
Executar em
Essa ação é executada nas seguintes entidades:
- Hash
- Endereço IP
- URL
- Nome de usuário com expressões regulares de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e pelo menos um hash entre entidades for encontrado (is_success=true): "As seguintes entidades foram denunciadas como falso positivo no Siemplify ThreatFuse:\n{0}".format(lista de entity.identifier) Se não for possível marcar entidades específicas (is_success=true): "Não foi possível informar as seguintes entidades como falso positivo no Siemplify ThreatFuse\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (issuccess=false): "Nenhuma entidade foi informada como falso positivo." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Denunciar como falso positivo". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Conector
Configurar o conector de observáveis do Siemplify ThreatFuse
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Siemplify ThreatFuse: conector de observáveis
Extraia observáveis do Siemplify ThreatFuse.
Recomendações
Ao configurar o conector, recomendamos usar um ambiente separado para que os analistas não recebam todos os alertas especulativos.
Onde encontrar IDs de círculos de confiança
Para encontrar o ID de um círculo de confiança, localize o círculo no Siemplify ThreatFuse e clique no nome dele. O URL exibido na barra de endereço mostra o ID.
Por exemplo, https://siemplify.threatstream.com/search?trustedcircles=13.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Padrão de regex do ambiente |
String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://api.threat |
Sim | Raiz da API da instância do Siemplify ThreatFuse. |
| Endereço de e-mail | String | N/A | Sim | Endereço de e-mail da conta do Siemplify ThreatFuse. |
| Chave de API | Senha | N/A | Sim | Chave de API da conta do Siemplify ThreatFuse. |
| Menor gravidade a ser buscada | String | Alta | Sim | A menor gravidade que será usada para buscar observáveis. Valores possíveis: Médio Alta Muito alta |
| Menor nível de confiança para buscar | Número inteiro | 50 | Sim | O nível de confiança mais baixo que será usado para buscar observáveis. O máximo é 100. |
| Filtro de feed de origem | CSV | N/A | Não | Lista separada por vírgulas de IDs de feed que devem ser usados para ingerir observáveis. Exemplo: 515,4129 |
| Filtro de tipo de observável | CSV | url, domain, email, hash, ip, ipv6 | Não | Lista separada por vírgulas de tipos de observáveis que devem ser ingeridos. Exemplo: url, domain Valores possíveis: url, domain, email, hash, ip, ipv6 |
| Filtro de status observável | CSV | ativo | Não | Lista separada por vírgulas de status observáveis que devem ser usados para ingerir novos dados. Exemplo: active,inactive Valores possíveis: active,inactive,falsepos |
| Filtro por tipo de ameaça | CSV | N/A | Não | Lista separada por vírgulas de tipos de ameaças que devem ser usadas para ingerir observáveis. Exemplo: аdware,anomalous,anonymization,apt Valores possíveis: |
| Filtro de círculo de confiança | CSV | N/A | Não | Lista separada por vírgulas de IDs de círculos confiáveis que devem ser usados para ingerir observáveis. Exemplo: 146,147 |
| Filtro de nome da tag | CSV | N/A | Não | Lista separada por vírgulas de nomes de tags associados a observáveis que devem ser usados com a ingestão. Exemplo: credenciais da Microsoft, phishing. |
| Agrupamento de feed de origem | Caixa de seleção | Desmarcado | Não | Se ativado, o conector vai agrupar observáveis da mesma origem no mesmo alerta do Siemplify. |
| Buscar o máximo de dias para trás | Número inteiro | 1 | Não | Número de dias de onde buscar os observáveis. |
| Máximo de observáveis por alerta | Número inteiro | 100 | Não | Quantos observáveis devem fazer parte de um alerta do Siemplify? O valor máximo é 200. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista dinâmica será usada como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor do Siemplify Threatfuse é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.