Siemplify ThreatFuse
集成版本:14.0
在 Google Security Operations 中配置 Siemplify ThreatFuse 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| Web Root | 字符串 | https://siemplify.threatstream.com | 是 | Siemplify ThreatFuse 实例的 Web 根目录。此参数用于在集成项之间创建报告链接。 |
| API 根 | 字符串 | https://api.threatstream.com | 是 | Siemplify ThreatFuse 实例的 API 根。 |
| 电子邮件地址 | 字符串 | 不适用 | 是 | Siemplify ThreatFuse 账号的电子邮件地址。 |
| API 密钥 | 密码 | 不适用 | 是 | Siemplify ThreatFuse 账号的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Siemplify ThreatFuse 服务器的连接所用的 SSL 证书是否有效。 |
如需获取 API 密钥,请完成以下步骤:
在 ThreatStream 账号设置中,前往我的个人资料标签页。
前往账号信息部分。
复制 API 密钥值。
使用场景
丰富实体。
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Siemplify ThreatFuse 的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
丰富实体
说明
从 Siemplify ThreatFuse 检索有关 IP、网址、哈希值、电子邮件地址的信息。如果为同一实体找到多条记录,操作将使用最新记录进行丰富。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 严重程度阈值 | DDL | 中 可能的值:
|
是 | 指定实体的严重程度阈值,以便将其标记为可疑。 如果为同一实体找到多条记录,则该操作会采用所有可用记录中严重程度最高的记录。 |
| 置信度阈值 | 整数 | 不适用 | 是 | 指定实体的置信度阈值,以便将其标记为可疑实体。 最大值为 100。 如果为相应实体找到了多条记录,则该操作会取平均值。 有效记录具有优先权。 |
| 忽略“假正例”状态 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会忽略假正例状态,并根据“严重程度阈值”和“置信度阈值”参数将实体标记为可疑。 如果停用,无论假正例实体是否满足“严重程度阈值”和“置信度阈值”条件,该操作都不会将其标记为可疑。 |
| 向支持请求添加威胁类型 | 复选框 | 尚未核查 | 否 | 如果启用,此操作会将相应实体在所有记录中的威胁类型作为标签添加到支持请求中。 示例:apt |
| 仅限可疑实体数据分析 | 复选框 | 尚未核查 | 是 | 如果启用,该操作仅针对超出“严重程度阈值”和“置信度阈值”参数的实体创建数据洞见。 |
| 创建分析数据 | 复选框 | 尚未核查 | 是 | 如果启用,该操作会为每个已处理的实体添加一项数据洞见。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"objects": [
{
"status": "inactive",
"itype": "mal_md5",
"expiration_ts": "2019-02-25T08:58:58.000Z",
"ip": null,
"is_editable": false,
"feed_id": 2197,
"update_id": 3328068779,
"longitude": null,
"org": "",
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 60,
"uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
"subtype": "MD5",
"trusted_circle_ids": [
146,
254
],
"id": 51744433673,
"source": "targetedthreats - OSINT",
"owner_organization_id": 2,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1551097291170
],
"description": null,
"tags": [
{
"id": "fvj",
"name": "Family=Code4HK"
},
{
"id": "zwz",
"name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
}
],
"threatscore": 54,
"source_reported_confidence": 60,
"modified_ts": "2019-02-25T12:21:31.170Z",
"is_public": false,
"asn": "",
"created_ts": "2018-11-27T09:00:33.468Z",
"tlp": null,
"is_anonymous": false,
"country": null,
"can_add_public_tags": false,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"retina_confidence": -1,
"meta": {
"detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
"severity": "high"
},
"resource_uri": "/api/v2/intelligence/51744433673/"
"report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 191,
"update_id": 5406560,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 90,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 5406560,
"source": "SLC Alert Malware Domains",
"owner_organization_id": 736,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1421928716491
],
"description": null,
"tags": [
{
"name": "HITRUST"
},
{
"name": "Public-Threats"
}
],
"threatscore": 77,
"source_reported_confidence": 60,
"modified_ts": "2015-01-22T12:11:56.491Z",
"org": "",
"asn": "",
"created_ts": "2015-01-22T12:11:56.491Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": true,
"longitude": null,
"subtype": "MD5",
"meta": {
"severity": "high",
"detail": "Public Threats,HITRUST"
},
"resource_uri": "/api/v2/intelligence/5406560/"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 0,
"update_id": 59177,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 100,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 59177,
"source": "Analyst",
"owner_organization_id": 2,
"import_session_id": 2325,
"latitude": null,
"type": "md5",
"sort": [
1412172414589
],
"description": null,
"tags": [
{
"name": "apt_md5"
},
{
"name": "CN-APT"
},
{
"name": "IOS-Malware"
},
{
"name": "LadyBoyle"
}
],
"threatscore": 85,
"source_reported_confidence": 0,
"modified_ts": "2014-10-01T14:06:54.589Z",
"org": "",
"asn": "",
"created_ts": "2014-10-01T14:06:40.858Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": false,
"longitude": null,
"subtype": "MD5",
"meta": {
"detail2": "imported by user 1",
"severity": "very-high",
"detail": "LadyBoyle, IOS Malware, CN APT"
},
"resource_uri": "/api/v2/intelligence/59177/"
}
],
"is_risky": "true"
"meta": {
"total_count": 3,
"offset": 0,
"limit": 1000,
"took": 27,
"next": null
}
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| TFuse_id | 以 JSON 格式提供时 |
| TFuse_status | 以 JSON 格式提供时 |
| TFuse_itype | 以 JSON 格式提供时 |
| TFuse_expiration_time | 以 JSON 格式提供时 |
| TFuse_ip | 以 JSON 格式提供时 |
| TFuse_feed_id | 以 JSON 格式提供时 |
| TFuse_confidence | 以 JSON 格式提供时 |
| TFuse_uuid | 以 JSON 格式提供时 |
| TFuse_retina_confidence | 以 JSON 格式提供时 |
| TFuse_trusted_circle_ids | 以 JSON 格式提供时 |
| TFuse_source | 以 JSON 格式提供时 |
| TFuse_latitude | 以 JSON 格式提供时 |
| TFuse_type | 以 JSON 格式提供时 |
| TFuse_description | 以 JSON 格式提供时 |
| TFuse_tags | 以 JSON 格式提供时 |
| TFuse_threat_score | 以 JSON 格式提供时 |
| TFuse_source_confidence | 以 JSON 格式提供时 |
| TFuse_modification_time | 以 JSON 格式提供时 |
| TFuse_org_name | 以 JSON 格式提供时 |
| TFuse_asn | 以 JSON 格式提供时 |
| TFuse_creation_time | 以 JSON 格式提供时 |
| TFuse_tlp | 以 JSON 格式提供时 |
| TFuse_country | 以 JSON 格式提供时 |
| TFuse_longitude | 以 JSON 格式提供时 |
| TFuse_severity | 以 JSON 格式提供时 |
| TFuse_subtype | 以 JSON 格式提供时 |
| TFuse_report | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少一个提供的实体已得到丰富(is_success=true):“已使用 Siemplify ThreatFuse 成功丰富以下实体:\n {0}”。format(实体标识符列表) 如果无法丰富特定实体(is_success=true):“Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) 如果未能丰富所有实体(is_success=false):“未丰富任何实体。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内: “‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
| CSV | 表格名称:相关分析链接:{entity_identifier} 表格列:
|
常规 |
| CSV | 基于丰富表的键。 “无丰富前缀”参数采用大写形式。 |
常规 |
获取相关哈希
说明
根据 Siemplify ThreatFuse 中的关联检索实体相关哈希。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 置信度阈值 | 整数 | 不适用 | 是 | 指定置信度阈值。 最大值:100 |
| 搜索威胁公告 | 复选框 | 勾选 | 否 | 如果启用,该操作会在威胁公告中进行搜索。 |
| 搜索演员 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在演员中进行搜索。 |
| 搜索攻击模式 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在攻击模式中进行搜索。 |
| 搜索广告系列 | 复选框 | 勾选 | 否 | 如果启用,则该操作会搜索广告系列。 |
| 搜索行动方案 | 复选框 | 勾选 | 否 | 如果启用,该操作会在行动方案中进行搜索。 |
| 搜索身份 | 复选框 | 勾选 | 否 | 如果启用,该操作会在身份中进行搜索。 |
| 搜索突发事件 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在突发事件中进行搜索。 |
| 搜索基础架构 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在基础设施中进行搜索。 |
| 搜索入侵集 | 复选框 | 勾选 | 否 | 如果启用,该操作会在入侵集中进行搜索。 |
| 搜索恶意软件 | 复选框 | 勾选 | 否 | 如果启用,该操作会在恶意软件中进行搜索。 |
| 搜索签名 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在签名中进行搜索。 |
| 搜索工具 | 复选框 | 勾选 | 否 | 如果启用,该操作会在工具中进行搜索。 |
| 搜索 TTP | 复选框 | 勾选 | 否 | 如果启用,该操作会在 TTP 中进行搜索。 |
| 搜索漏洞 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在漏洞中进行搜索。 |
| 要返回的哈希数上限 | 整数 | 50 | 否 | 指定要返回的哈希数量。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
- 威胁行为者
- CVE
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且在实体中找到至少一个哈希值 (is_success=true):“Successfully retrieved related hashes from Siemplify ThreatFuse”(已成功从 Siemplify ThreatFuse 检索到相关哈希值) 如果未找到任何哈希值(is_success=false):“未找到任何相关哈希值。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等): “执行操作‘获取相关哈希’时出错。原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
获取相关网址
说明
根据 Siemplify ThreatFuse 中的关联检索实体相关网址。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 置信度阈值 | 整数 | 不适用 | 是 | 指定置信度阈值。 最大值:100 |
| 搜索威胁公告 | 复选框 | 勾选 | 否 | 如果启用,该操作会在威胁公告中进行搜索。 |
| 搜索演员 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在演员中进行搜索。 |
| 搜索攻击模式 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在攻击模式中进行搜索。 |
| 搜索广告系列 | 复选框 | 勾选 | 否 | 如果启用,则该操作会搜索广告系列。 |
| 搜索行动方案 | 复选框 | 勾选 | 否 | 如果启用,该操作会在行动方案中进行搜索。 |
| 搜索身份 | 复选框 | 勾选 | 否 | 如果启用,该操作会在身份中进行搜索。 |
| 搜索突发事件 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在突发事件中进行搜索。 |
| 搜索基础架构 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在基础设施中进行搜索。 |
| 搜索入侵集 | 复选框 | 勾选 | 否 | 如果启用,该操作会在入侵集中进行搜索。 |
| 搜索恶意软件 | 复选框 | 勾选 | 否 | 如果启用,该操作会在恶意软件中进行搜索。 |
| 搜索签名 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在签名中进行搜索。 |
| 搜索工具 | 复选框 | 勾选 | 否 | 如果启用,该操作会在工具中进行搜索。 |
| 搜索 TTP | 复选框 | 勾选 | 否 | 如果启用,该操作会在 TTP 中进行搜索。 |
| 搜索漏洞 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在漏洞中进行搜索。 |
| 要返回的网址数量上限 | 整数 | 50 | 否 | 指定要返回的网址数量。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
- 威胁行为者
- CVE
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且在实体中找到至少一个网址 (is_success=true):“Successfully retrieved related urls from Siemplify ThreatFuse.” 如果未找到任何哈希值 (is_success=false):“未找到任何相关网址。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘获取相关网址’时出错。原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
获取相关网域
说明
根据 Siemplify ThreatFuse 中的关联检索实体相关网域。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 置信度阈值 | 整数 | 不适用 | 是 | 指定置信度阈值。 最大值:100 |
| 搜索威胁公告 | 复选框 | 勾选 | 否 | 如果启用,该操作会在威胁公告中进行搜索。 |
| 搜索演员 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在演员中进行搜索。 |
| 搜索攻击模式 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在攻击模式中进行搜索。 |
| 搜索广告系列 | 复选框 | 勾选 | 否 | 如果启用,则该操作会搜索广告系列。 |
| 搜索行动方案 | 复选框 | 勾选 | 否 | 如果启用,该操作会在行动方案中进行搜索。 |
| 搜索身份 | 复选框 | 勾选 | 否 | 如果启用,该操作会在身份中进行搜索。 |
| 搜索突发事件 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在突发事件中进行搜索。 |
| 搜索基础架构 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在基础设施中进行搜索。 |
| 搜索入侵集 | 复选框 | 勾选 | 否 | 如果启用,该操作会在入侵集中进行搜索。 |
| 搜索恶意软件 | 复选框 | 勾选 | 否 | 如果启用,该操作会在恶意软件中进行搜索。 |
| 搜索签名 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在签名中进行搜索。 |
| 搜索工具 | 复选框 | 勾选 | 否 | 如果启用,该操作会在工具中进行搜索。 |
| 搜索 TTP | 复选框 | 勾选 | 否 | 如果启用,该操作会在 TTP 中进行搜索。 |
| 搜索漏洞 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在漏洞中进行搜索。 |
| 要返回的网域数量上限 | 整数 | 50 | 否 | 指定要返回的网域数量。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
- 威胁行为者
- CVE
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"domains": ["www.google.com"]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少找到一个实体哈希值 (issuccess=true):“Successfully retrieved related domains from Siemplify ThreatFuse.” 如果未找到任何哈希值(issuccess=false):“未找到任何相关网域。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等),请执行以下操作:“Error executing action "Get Related Domains". 原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
获取相关电子邮件地址
说明
根据 Siemplify ThreatFuse 中的关联检索实体相关电子邮件地址。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 置信度阈值 | 整数 | 不适用 | 是 | 指定置信度阈值。 上限:100 |
| 搜索威胁公告 | 复选框 | 勾选 | 否 | 如果启用,该操作会在威胁公告中进行搜索。 |
| 搜索演员 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在演员中进行搜索。 |
| 搜索攻击模式 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在攻击模式中进行搜索。 |
| 搜索广告系列 | 复选框 | 勾选 | 否 | 如果启用,则该操作会搜索广告系列。 |
| 搜索行动方案 | 复选框 | 勾选 | 否 | 如果启用,该操作会在行动方案中进行搜索。 |
| 搜索身份 | 复选框 | 勾选 | 否 | 如果启用,该操作会在身份中进行搜索。 |
| 搜索突发事件 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在突发事件中进行搜索。 |
| 搜索基础架构 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在基础设施中进行搜索。 |
| 搜索入侵集 | 复选框 | 勾选 | 否 | 如果启用,该操作会在入侵集中进行搜索。 |
| 搜索恶意软件 | 复选框 | 勾选 | 否 | 如果启用,该操作会在恶意软件中进行搜索。 |
| 搜索签名 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在签名中进行搜索。 |
| 搜索工具 | 复选框 | 勾选 | 否 | 如果启用,该操作会在工具中进行搜索。 |
| 搜索 TTP | 复选框 | 勾选 | 否 | 如果启用,该操作会在 TTP 中进行搜索。 |
| 搜索漏洞 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在漏洞中进行搜索。 |
| 要返回的网域数量上限 | 整数 | 50 | 否 | 指定要返回的网域数量。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
- 威胁行为者
- CVE
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且在实体中找到至少一个哈希值 (issuccess=true):“Successfully retrieved related email addresses from Siemplify ThreatFuse.” 如果未找到任何哈希值 (issuccess=false):“未找到任何相关电子邮件地址。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Get Related Email Addresses".”(执行“获取相关电子邮件地址”操作时出错。)原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内:“‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
获取相关 IP
说明
根据 Siemplify ThreatFuse 中的关联检索实体相关 IP 地址。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 置信度阈值 | 整数 | 不适用 | 是 | 指定置信度阈值。 上限:100 |
| 搜索威胁公告 | 复选框 | 勾选 | 否 | 如果启用,该操作会在威胁公告中进行搜索。 |
| 搜索演员 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在演员中进行搜索。 |
| 搜索攻击模式 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在攻击模式中进行搜索。 |
| 搜索广告系列 | 复选框 | 勾选 | 否 | 如果启用,则该操作会搜索广告系列。 |
| 搜索行动方案 | 复选框 | 勾选 | 否 | 如果已启用,则在行动方案中搜索行动。 |
| 搜索身份 | 复选框 | 勾选 | 否 | 如果启用,该操作会在身份中进行搜索。 |
| 搜索突发事件 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在突发事件中进行搜索。 |
| 搜索基础架构 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在基础设施中进行搜索。 |
| 搜索入侵集 | 复选框 | 勾选 | 否 | 如果启用,该操作会在入侵集中进行搜索。 |
| 搜索恶意软件 | 复选框 | 勾选 | 否 | 如果启用,该操作会在恶意软件中进行搜索。 |
| 搜索签名 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在签名中进行搜索。 |
| 搜索工具 | 复选框 | 勾选 | 否 | 如果启用,该操作会在工具中进行搜索。 |
| 搜索 TTP | 复选框 | 勾选 | 否 | 如果启用,该操作会在 TTP 中进行搜索。 |
| 搜索漏洞 | 复选框 | 勾选 | 否 | 如果已启用,该操作会在漏洞中进行搜索。 |
| 要返回的网域数量上限 | 整数 | 50 | 否 | 指定要返回的网域数量。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
- 威胁行为者
- CVE
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息\* | 操作不应失败,也不应停止 playbook 执行: 如果成功且在实体中找到至少一个哈希值 (is_success=true):“Successfully retrieved related IPs from Siemplify ThreatFuse.” 如果未找到任何哈希值 (is_success=false):“未找到任何相关 IP。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等): “执行操作‘获取相关 IP’时出错。原因:{0}''.format(error.Stacktrace) 如果“置信度阈值”参数不在 0-100 范围内: “‘置信度阈值’值应介于 0 到 100 之间。” |
常规 |
获取相关联想
说明
从 Siemplify ThreatFuse 检索实体相关联的关联。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 退回广告系列 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取相关广告系列及其详细信息。 |
| 返回威胁公告 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关的威胁公告及其详细信息。 |
| 返回演员 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关参与者及其详细信息。 |
| 返回攻击模式 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关的攻击模式及其详细信息。 |
| 返回行动方案 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关行动方案及其详细信息。 |
| 返回身份 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关身份及其详细信息。 |
| 返回突发事件 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关突发事件及其详细信息。 |
| 返回基础设施 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关基础架构及其详细信息。 |
| 返回入侵集 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关的入侵集及其详细信息。 |
| 返回恶意软件 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关恶意软件及其详细信息。 |
| 返回签名 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关签名及其详细信息。 |
| 返回工具 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关工具及其详细信息。 |
| 返回 TTP | 复选框 | 尚未核查 | 否 | 如果启用,该操作会提取相关 TTP 及其详细信息。 |
| 返回漏洞 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取相关漏洞及其详细信息。 |
| 创建广告系列实体 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会根据可用的“广告系列”关联创建实体。 |
| 创建演员实体 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会根据可用的“Actor”关联创建实体。 |
| 创建签名实体 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会根据可用的“签名”关联创建实体。 |
| 创建漏洞实体 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会根据可用的“漏洞”关联创建实体。 |
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会根据结果创建数据洞见。 |
| 创建支持请求标记 | 复选框 | 勾选 | 否 | 如果启用,该操作会根据结果创建支持请求标记。 |
| 要返回的关联数量上限 | 整数 | 不适用 | 否 | 指定每种类型要返回的关联数量。 |
| 要返回的统计信息数量上限 | 整数 | 3 | 否 | 指定要返回的有关 IOC 的热门统计结果的数量。 注意:此操作最多可处理与关联相关的 1000 个 IOC。如果您提供“0”,则操作不会尝试提取统计信息。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"campaign": [
{
"name": "Coronavirus",
"id": 1
},
{
"name": "Bad campaign",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少找到一个实体关联 (is_success=true):“Successfully retrieved related associations from Siemplify ThreatFuse”(已成功从 Siemplify ThreatFuse 检索到相关关联) 如果未找到任何关联(is_success=false): “未找到任何相关联。” 异步消息:正在等待检索所有关联详细信息” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Get Related Association". 原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV | 名称:“相关联播” 列:
|
常规 |
提交可观测变量
说明
根据 IP、网址、哈希、电子邮件实体向 Siemplify ThreatFuse 提交可观测对象。
在哪里可以找到可信圈子的 ID
如需查找可信圈的 ID,请在 Siemplify ThreatFuse 中找到相应可信圈,然后点击其名称。地址栏中显示的网址会显示相应 ID。
例如:https://siemplify.threatstream.com/search?trustedcircles=13。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 分类 | DDL | 不公开 可能的值:
|
是 | 指定可观测对象的分类。 |
| 威胁类型 | DDL | APT 可能的值
|
是 | 为可观测对象指定威胁类型。 |
| 来源 | 字符串 | Siemplify | 否 | 指定可观测对象的情报来源。 |
| 到期日期 | 整数 | 不适用 | 否 | 指定观测对象的失效日期(以天为单位)。 如果此处未指定任何内容,则该操作会创建一个永不过期的可观测对象。 |
| 可信圈子 ID | CSV | 不适用 | 否 | 指定以英文逗号分隔的可信圈子 ID 列表。 可观测对象会与这些可信圈子共享。 |
| TLP | DDL | 选择一项 可能的值:
|
否 | 为可观测对象指定 TLP。 |
| 置信度 | 整数 | 不适用 | 否 | 指定观测对象的置信度应为多少。 注意:只有在您组织中创建了可观测对象,并且启用了“Override System Confidence”(替换系统置信度)参数时,此参数才有效。 |
| 替换系统置信度 | 复选框 | 尚未核查 | 否 | 如果启用,则创建的可观测对象的置信度为“置信度”参数中指定的值。 注意:启用此参数后,您无法在可信圈子中公开分享观测对象。 |
| 匿名提交 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会进行匿名提交。 |
| 标记 | CSV | 不适用 | 否 | 指定要添加到可观测对象的标记的英文逗号分隔列表。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
approved_jobs = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少找到一个跨实体的哈希值 (is_success=true): “已在 Siemplify ThreatFuse 中成功提交并批准以下实体:\n{0}”。format(entity.identifier list) 如果部分实体(被拒绝的实体)失败(is_success=true):“Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) 如果所有实体的丰富操作都失败 (is_success=false): “没有实体成功提交到 Siemplify ThreatFuse。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘提交可观测对象’时出错。原因:{0}''.format(error.Stacktrace) 如果报告了 400 状态代码:“执行操作‘提交可观测对象’时出错。原因:{0}''.format(message) |
常规 |
报告为假正例
说明
将 Siemplify ThreatFuse 中的实体报告为假正例。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 原因 | 字符串 | 不适用 | 是 | 指定您要将实体标记为误报的原因。 |
| 评论 | 字符串 | 不适用 | 是 | 指定与您将实体标记为误报的决定相关的其他信息。 |
运行于
此操作适用于以下实体:
- 哈希
- IP 地址
- 网址
- 包含电子邮件地址的用户名正则表达式
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少找到一个实体哈希值 (is_success=true):“已成功在 Siemplify ThreatFuse 中将以下实体报告为误报:\n{0}”。format(entity.identifier list) 如果无法将特定实体标记为误报 (is_success=true):“Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) 如果未能丰富所有实体(issuccess=false):“没有实体被报告为假正例。” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Report As False Positive". 原因:{0}''.format(error.Stacktrace) |
常规 |
连接器
配置 Siemplify ThreatFuse - Observables 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
Siemplify ThreatFuse - Observables Connector
从 Siemplify ThreatFuse 中提取可观测对象。
建议
配置连接器时,建议使用单独的环境,这样分析师就不会收到大量推测性提醒。
在哪里可以找到可信圈子的 ID
如需查找可信圈的 ID,请在 Siemplify ThreatFuse 上找到相应可信圈,然后点击其名称。地址栏中显示的网址会显示相应 ID。
例如:https://siemplify.threatstream.com/search?trustedcircles=13。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
环境正则表达式模式 |
字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 300 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://api.threat |
是 | Siemplify ThreatFuse 实例的 API 根。 |
| 电子邮件地址 | 字符串 | 不适用 | 是 | Siemplify ThreatFuse 账号的电子邮件地址。 |
| API 密钥 | 密码 | 不适用 | 是 | Siemplify ThreatFuse 账号的 API 密钥。 |
| 要提取的最低严重程度 | 字符串 | 高 | 是 | 用于提取可观测对象的最低严重程度。 可能的值: 中 高 非常高 |
| 要提取的最低置信度 | 整数 | 50 | 是 | 用于提取可观测对象的最低置信度。最大值为 100。 |
| 来源 Feed 过滤条件 | CSV | 不适用 | 否 | 应使用哪些 Feed ID 来注入可观测对象,以英文逗号分隔的列表。示例:515、4129 |
| 可观测对象类型过滤条件 | CSV | 网址、网域、电子邮件地址、哈希、IP 地址、IPv6 地址 | 否 | 应提取的可观测对象类型的英文逗号分隔列表。示例:网址、网域 可能的值:url、domain、email、hash、ip、ipv6 |
| 可观测状态过滤条件 | CSV | 有效 | 否 | 用于注入新数据的可观测状态的英文逗号分隔列表。示例:有效、无效 可能的值:active、inactive、falsepos |
| 威胁类型过滤条件 | CSV | 不适用 | 否 | 应使用哪些威胁类型来注入可观测对象(以英文逗号分隔的列表)。示例:广告软件、异常、匿名化、APT 可能的值: |
| 可信圈子过滤条件 | CSV | 不适用 | 否 | 用于注入观测结果的可信圈子 ID 的英文逗号分隔列表。 示例:146、147 |
| 标记名称过滤条件 | CSV | 不适用 | 否 | 与应与提取搭配使用的观测对象相关联的标记名称的英文逗号分隔列表。示例:Microsoft 凭据,钓鱼式攻击。 |
| 来源 Feed 分组 | 复选框 | 尚未核查 | 否 | 如果启用,连接器会将来自同一来源的可观测对象归入同一 Siemplify 提醒。 |
| 提取的最长回溯天数 | 整数 | 1 | 否 | 提取观测结果的天数。 |
| 每个提醒的可观测对象数量上限 | 整数 | 100 | 否 | 一个 Siemplify 提醒中应包含多少个观测对象。最大值为 200。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作屏蔽列表。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Siemplify Threatfuse 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。