Siemplify ThreatFuse
整合版本:14.0
在 Google Security Operations 中設定 Siemplify ThreatFuse 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 網頁根目錄 | 字串 | https://siemplify.threatstream.com | 是 | Siemplify ThreatFuse 執行個體的網頁根目錄。這項參數用於建立整合項目之間的報表連結。 |
| API 根層級 | 字串 | https://api.threatstream.com | 是 | Siemplify ThreatFuse 執行個體的 API 根目錄。 |
| 電子郵件地址 | 字串 | 不適用 | 是 | Siemplify ThreatFuse 帳戶的電子郵件地址。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Siemplify ThreatFuse 帳戶的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連線至 Siemplify ThreatFuse 伺服器的 SSL 憑證是否有效。 |
如要取得 API 金鑰,請完成下列步驟:
在 ThreatStream 帳戶設定中,前往「My profile」分頁。
前往「帳戶資訊」部分。
複製 API 金鑰值。
應用實例
充實實體。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 Siemplify ThreatFuse 的連線。
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
充實實體
說明
從 Siemplify ThreatFuse 擷取 IP、網址、雜湊、電子郵件地址的相關資訊。如果系統為同一實體找到多筆記錄,就會使用最新記錄來擴充動作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 嚴重性門檻 | DDL | 中 可能的值:
|
是 | 指定實體的嚴重程度門檻,以便將其標示為可疑。 如果系統為同一實體找到多筆記錄,則會根據所有可用記錄中最高嚴重程度的記錄採取行動。 |
| 可信度門檻 | 整數 | 不適用 | 是 | 指定實體的可信度門檻,以便將實體標示為可疑。 上限為 100。 如果系統找到多筆實體記錄,這項動作會取平均值。 有效記錄的優先順序較高。 |
| 忽略誤判狀態 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會忽略誤判狀態,並根據「嚴重程度門檻」和「信心門檻」參數,將實體標示為可疑。 如果停用這項功能,即使實體通過「嚴重程度門檻」和「信心門檻」條件,系統也不會將偽陽性實體標示為可疑。 |
| 將威脅類型新增至案件 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會將所有記錄中實體的威脅類型新增為案件的標記。 範例:apt |
| 僅限可疑實體洞察資料 | 核取方塊 | 已取消勾選 | 是 | 啟用後,這項動作只會為超過「嚴重程度門檻」和「信心門檻」參數的實體建立洞察資料。 |
| 建立洞察資料 | 核取方塊 | 已取消勾選 | 是 | 啟用後,這項動作會為每個處理過的實體新增洞察資料。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"objects": [
{
"status": "inactive",
"itype": "mal_md5",
"expiration_ts": "2019-02-25T08:58:58.000Z",
"ip": null,
"is_editable": false,
"feed_id": 2197,
"update_id": 3328068779,
"longitude": null,
"org": "",
"threat_type": "malware",
"workgroups": [],
"rdns": null,
"confidence": 60,
"uuid": "31d9ed97-9811-4b4b-9e2d-4b3f822eb37f",
"subtype": "MD5",
"trusted_circle_ids": [
146,
254
],
"id": 51744433673,
"source": "targetedthreats - OSINT",
"owner_organization_id": 2,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1551097291170
],
"description": null,
"tags": [
{
"id": "fvj",
"name": "Family=Code4HK"
},
{
"id": "zwz",
"name": "Report=https://malware.lu/articles/2014/09/29/analysis-of-code4hk.html"
}
],
"threatscore": 54,
"source_reported_confidence": 60,
"modified_ts": "2019-02-25T12:21:31.170Z",
"is_public": false,
"asn": "",
"created_ts": "2018-11-27T09:00:33.468Z",
"tlp": null,
"is_anonymous": false,
"country": null,
"can_add_public_tags": false,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"retina_confidence": -1,
"meta": {
"detail2": "bifocals_deactivated_on_2019-02-25_09:30:00.127233",
"severity": "high"
},
"resource_uri": "/api/v2/intelligence/51744433673/"
"report_link": "https://siemplify.threatstream.com/detail/url/http:%2F%2Fsweetpineapple.co.za%2Fwp-admin%2Fuser%2Finternetbanking.suncorpbank.htm"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 191,
"update_id": 5406560,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 90,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 5406560,
"source": "SLC Alert Malware Domains",
"owner_organization_id": 736,
"import_session_id": null,
"latitude": null,
"type": "md5",
"sort": [
1421928716491
],
"description": null,
"tags": [
{
"name": "HITRUST"
},
{
"name": "Public-Threats"
}
],
"threatscore": 77,
"source_reported_confidence": 60,
"modified_ts": "2015-01-22T12:11:56.491Z",
"org": "",
"asn": "",
"created_ts": "2015-01-22T12:11:56.491Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": true,
"longitude": null,
"subtype": "MD5",
"meta": {
"severity": "high",
"detail": "Public Threats,HITRUST"
},
"resource_uri": "/api/v2/intelligence/5406560/"
},
{
"status": "active",
"itype": "apt_md5",
"expiration_ts": "9999-12-31T00:00:00+00:00",
"ip": null,
"is_editable": false,
"feed_id": 0,
"update_id": 59177,
"value": "15e5143e1c843b4836d7b6d5424fb4a5",
"is_public": true,
"threat_type": "apt",
"workgroups": [],
"rdns": null,
"confidence": 100,
"uuid": null,
"retina_confidence": -1,
"trusted_circle_ids": null,
"id": 59177,
"source": "Analyst",
"owner_organization_id": 2,
"import_session_id": 2325,
"latitude": null,
"type": "md5",
"sort": [
1412172414589
],
"description": null,
"tags": [
{
"name": "apt_md5"
},
{
"name": "CN-APT"
},
{
"name": "IOS-Malware"
},
{
"name": "LadyBoyle"
}
],
"threatscore": 85,
"source_reported_confidence": 0,
"modified_ts": "2014-10-01T14:06:54.589Z",
"org": "",
"asn": "",
"created_ts": "2014-10-01T14:06:40.858Z",
"tlp": null,
"is_anonymous": null,
"country": null,
"can_add_public_tags": false,
"longitude": null,
"subtype": "MD5",
"meta": {
"detail2": "imported by user 1",
"severity": "very-high",
"detail": "LadyBoyle, IOS Malware, CN APT"
},
"resource_uri": "/api/v2/intelligence/59177/"
}
],
"is_risky": "true"
"meta": {
"total_count": 3,
"offset": 0,
"limit": 1000,
"took": 27,
"next": null
}
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| TFuse_id | 以 JSON 格式提供時 |
| TFuse_status | 以 JSON 格式提供時 |
| TFuse_itype | 以 JSON 格式提供時 |
| TFuse_expiration_time | 以 JSON 格式提供時 |
| TFuse_ip | 以 JSON 格式提供時 |
| TFuse_feed_id | 以 JSON 格式提供時 |
| TFuse_confidence | 以 JSON 格式提供時 |
| TFuse_uuid | 以 JSON 格式提供時 |
| TFuse_retina_confidence | 以 JSON 格式提供時 |
| TFuse_trusted_circle_ids | 以 JSON 格式提供時 |
| TFuse_source | 以 JSON 格式提供時 |
| TFuse_latitude | 以 JSON 格式提供時 |
| TFuse_type | 以 JSON 格式提供時 |
| TFuse_description | 以 JSON 格式提供時 |
| TFuse_tags | 以 JSON 格式提供時 |
| TFuse_threat_score | 以 JSON 格式提供時 |
| TFuse_source_confidence | 以 JSON 格式提供時 |
| TFuse_modification_time | 以 JSON 格式提供時 |
| TFuse_org_name | 以 JSON 格式提供時 |
| TFuse_asn | 以 JSON 格式提供時 |
| TFuse_creation_time | 以 JSON 格式提供時 |
| TFuse_tlp | 以 JSON 格式提供時 |
| TFuse_country | 以 JSON 格式提供時 |
| TFuse_longitude | 以 JSON 格式提供時 |
| TFuse_severity | 以 JSON 格式提供時 |
| TFuse_subtype | 以 JSON 格式提供時 |
| TFuse_report | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且至少有一個提供的實體經過擴充 (is_success=true):「Successfully enriched the following entities using Siemplify ThreatFuse: \n {0}」。format(entity.identifier list) 如果無法擴充特定實體 (is_success=true):「Action was not able to enrich the following entities using Siemplify ThreatFuse\n: {0}".format([entity.identifier]) 如果所有實體都無法完成擴充 (is_success=false):「No entities were enriched.」(沒有任何實體完成擴充。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 的範圍內: 「『信心門檻』值應介於 0 到 100 之間。」 |
一般 |
| CSV | 資料表名稱:相關分析連結:{entity_identifier} 資料表資料欄:
|
一般 |
| CSV | 根據擴充資料表建立鍵。 無擴充前置字元,參數為大寫。 |
一般 |
取得相關雜湊
說明
根據 Siemplify ThreatFuse 中的關聯,擷取實體相關的雜湊值。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 可信度門檻 | 整數 | 不適用 | 是 | 指定信賴度門檻。 上限:100 |
| 搜尋威脅公告 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在威脅公告中搜尋。 |
| 搜尋演員 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在演員中搜尋動作。 |
| 搜尋攻擊模式 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在攻擊模式中搜尋。 |
| 搜尋廣告活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋廣告活動。 |
| 搜尋安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在行動方案中搜尋。 |
| 搜尋身分 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在身分中搜尋。 |
| 搜尋事件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在事件中搜尋。 |
| 搜尋基礎架構 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在基礎架構中搜尋。 |
| 搜尋入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在入侵組合中搜尋。 |
| 搜尋惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋惡意軟體。 |
| 搜尋簽名 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會搜尋簽章。 |
| 搜尋工具 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在工具中搜尋。 |
| 搜尋 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在 TTP 中搜尋動作。 |
| 搜尋安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋安全漏洞。 |
| 要傳回的雜湊數量上限 | 整數 | 50 | 否 | 指定要傳回的雜湊數量。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
- 威脅發動者
- CVE
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"{}_hashes".format(subtype): ["md5hash_1"],
"all_hashes": ["md5hash_1"]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且找到至少一個實體雜湊 (is_success=true):「Successfully retrieved related hashes from Siemplify ThreatFuse」(已從 Siemplify ThreatFuse 成功擷取相關雜湊) 如果找不到任何雜湊值 (is_success=false):「No related hashes were found.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行動作『取得相關雜湊值』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 的範圍內:「'Confidence Threshold' value should be in range from 0 to 100.」 |
一般 |
取得相關網址
說明
根據 Siemplify ThreatFuse 中的關聯,擷取實體相關網址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 可信度門檻 | 整數 | 不適用 | 是 | 指定信賴度門檻。 上限:100 |
| 搜尋威脅公告 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在威脅公告中搜尋。 |
| 搜尋演員 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在演員中搜尋動作。 |
| 搜尋攻擊模式 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在攻擊模式中搜尋。 |
| 搜尋廣告活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋廣告活動。 |
| 搜尋安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋行動方案。 |
| 搜尋身分 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在身分中搜尋。 |
| 搜尋事件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在事件中搜尋。 |
| 搜尋基礎架構 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在基礎架構中搜尋。 |
| 搜尋入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在入侵組合中搜尋。 |
| 搜尋惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋惡意軟體。 |
| 搜尋簽名 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會搜尋簽章。 |
| 搜尋工具 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在工具中搜尋。 |
| 搜尋 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在 TTP 中搜尋動作。 |
| 搜尋安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋安全漏洞。 |
| 要傳回的網址數量上限 | 整數 | 50 | 否 | 指定要傳回的網址數量。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
- 威脅發動者
- CVE
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且在實體中找到至少一個網址 (is_success=true):「Successfully retrieved related urls from Siemplify ThreatFuse.」 如果找不到任何雜湊值 (is_success=false):「找不到相關網址。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行『取得相關網址』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 的範圍內:「'Confidence Threshold' value should be in range from 0 to 100.」 |
一般 |
取得相關網域
說明
根據 Siemplify ThreatFuse 中的關聯,擷取實體相關網域。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 可信度門檻 | 整數 | 不適用 | 是 | 指定信賴度門檻。 上限:100 |
| 搜尋威脅公告 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在威脅公告中搜尋。 |
| 搜尋演員 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在演員中搜尋動作。 |
| 搜尋攻擊模式 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在攻擊模式中搜尋。 |
| 搜尋廣告活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋廣告活動。 |
| 搜尋安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋行動方案。 |
| 搜尋身分 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在身分中搜尋。 |
| 搜尋事件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在事件中搜尋。 |
| 搜尋基礎架構 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在基礎架構中搜尋。 |
| 搜尋入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在入侵組合中搜尋。 |
| 搜尋惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋惡意軟體。 |
| 搜尋簽名 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會搜尋簽章。 |
| 搜尋工具 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在工具中搜尋。 |
| 搜尋 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在 TTP 中搜尋動作。 |
| 搜尋安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋安全漏洞。 |
| 要傳回的網域數量上限 | 整數 | 50 | 否 | 指定要傳回的網域數量。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
- 威脅發動者
- CVE
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"domains": ["www.google.com"]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且在實體中找到至少一個雜湊 (issuccess=true):「Successfully retrieved related domains from Siemplify ThreatFuse.」(已從 Siemplify ThreatFuse 成功擷取相關網域。) 如果找不到任何雜湊值 (issuccess=false):「找不到相關網域。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『取得相關網域』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 的範圍內:「'Confidence Threshold' value should be in range from 0 to 100.」 |
一般 |
取得相關電子郵件地址
說明
根據 Siemplify ThreatFuse 中的關聯,擷取實體相關的電子郵件地址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 可信度門檻 | 整數 | 不適用 | 是 | 指定信賴度門檻。 上限:100 個 |
| 搜尋威脅公告 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在威脅公告中搜尋。 |
| 搜尋演員 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在演員中搜尋動作。 |
| 搜尋攻擊模式 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在攻擊模式中搜尋。 |
| 搜尋廣告活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋廣告活動。 |
| 搜尋安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋行動方案。 |
| 搜尋身分 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在身分中搜尋。 |
| 搜尋事件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在事件中搜尋。 |
| 搜尋基礎架構 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在基礎架構中搜尋。 |
| 搜尋入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在入侵組合中搜尋。 |
| 搜尋惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋惡意軟體。 |
| 搜尋簽名 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會搜尋簽章。 |
| 搜尋工具 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在工具中搜尋。 |
| 搜尋 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在 TTP 中搜尋動作。 |
| 搜尋安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋安全漏洞。 |
| 要傳回的網域數量上限 | 整數 | 50 | 否 | 指定要傳回的網域數量。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
- 威脅發動者
- CVE
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且找到至少一個實體雜湊 (issuccess=true):「Successfully retrieved related email addresses from Siemplify ThreatFuse.」(已從 Siemplify ThreatFuse 成功擷取相關電子郵件地址。) 如果找不到任何雜湊值 (issuccess=false):「找不到相關電子郵件地址。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『取得相關電子郵件地址』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 之間:「'信心門檻' 值應介於 0 到 100 之間。」 |
一般 |
取得相關 IP
說明
根據 Siemplify ThreatFuse 中的關聯性,擷取與實體相關的 IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 可信度門檻 | 整數 | 不適用 | 是 | 指定信賴度門檻。 上限:100 個 |
| 搜尋威脅公告 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在威脅公告中搜尋。 |
| 搜尋演員 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在演員中搜尋動作。 |
| 搜尋攻擊模式 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在攻擊模式中搜尋。 |
| 搜尋廣告活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋廣告活動。 |
| 搜尋安全防護程序 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會搜尋行動方案。 |
| 搜尋身分 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在身分中搜尋。 |
| 搜尋事件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在事件中搜尋。 |
| 搜尋基礎架構 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在基礎架構中搜尋。 |
| 搜尋入侵集 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在入侵組合中搜尋。 |
| 搜尋惡意軟體 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會搜尋惡意軟體。 |
| 搜尋簽名 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會搜尋簽章。 |
| 搜尋工具 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會在工具中搜尋。 |
| 搜尋 TTP | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,系統會在 TTP 中搜尋動作。 |
| 搜尋安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用這項功能,動作會搜尋安全漏洞。 |
| 要傳回的網域數量上限 | 整數 | 50 | 否 | 指定要傳回的網域數量。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
- 威脅發動者
- CVE
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"urls": ["https://www.google.com/url?q=http:/wzFgw"]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息\* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且找到至少一個實體雜湊 (is_success=true):「Successfully retrieved related IPs from Siemplify ThreatFuse.」(已從 Siemplify ThreatFuse 成功擷取相關 IP。) 如果找不到任何雜湊值 (is_success=false):「找不到相關 IP。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行動作『取得相關 IP』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「信心門檻」參數不在 0 到 100 的範圍內: 「『信心門檻』值應介於 0 到 100 之間。」 |
一般 |
取得相關聯結
說明
從 Siemplify ThreatFuse 擷取實體相關聯結。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 退回活動 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關廣告活動和詳細資料。 |
| Return Threat Bulletins | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關的威脅公告和詳細資料。 |
| Return Actors | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關演員及其詳細資料。 |
| 回覆攻擊模式 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關的攻擊模式和詳細資料。 |
| 傳回安全防護程序 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關的行動方案和詳細資料。 |
| 傳回身分 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關身分和詳細資料。 |
| 退貨事件 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關事件和詳細資料。 |
| 退回基礎架構 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關基礎架構和詳細資料。 |
| 傳回入侵集 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關的入侵集合及其詳細資料。 |
| 退回惡意軟體 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關惡意軟體和詳細資料。 |
| 傳回簽章 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關簽章和詳細資料。 |
| 退貨工具 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關工具和詳細資料。 |
| 傳回 TTP | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會擷取相關 TTP 和詳細資料。 |
| 傳回安全漏洞 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會擷取相關的安全性漏洞和詳細資料。 |
| 建立廣告活動實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會根據可用的「廣告活動」關聯建立實體。 |
| 建立 Actors 實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會根據可用的「Actor」關聯建立實體。 |
| 建立簽章實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會根據可用的「簽章」關聯建立實體。 |
| 建立安全漏洞實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會根據可用的「弱點」關聯建立實體。 |
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會根據結果建立洞察資料。 |
| 建立案件標記 | 核取方塊 | 已勾選 | 否 | 啟用後,系統會根據結果建立案件標記。 |
| 要傳回的關聯數量上限 | 整數 | 不適用 | 否 | 指定要傳回的每個類型關聯數量。 |
| 要傳回的統計資料數量上限 | 整數 | 3 | 否 | 指定要傳回的 IOC 相關統計資料結果數上限。 注意:這項動作最多會處理與關聯相關的 1000 個 IOC。如果提供「0」,動作就不會嘗試擷取統計資訊。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
動作執行結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"campaign": [
{
"name": "Coronavirus",
"id": 1
},
{
"name": "Bad campaign",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且找到至少一個實體間的關聯 (is_success=true):「Successfully retrieved related associations from Siemplify ThreatFuse」(已從 Siemplify ThreatFuse 成功擷取相關聯結) 如果找不到任何關聯 (is_success=false): 「No related associations were found.」 非同步訊息:等待擷取所有關聯詳細資料」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『取得相關聯結』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 名稱:「相關聯結」 欄:
|
一般 |
提交可觀察項目
說明
根據 IP、網址、雜湊、電子郵件實體,將可觀察項目提交至 Siemplify ThreatFuse。
如何查看信任的社交圈 ID
如要找出信任圈的 ID,請在 Siemplify ThreatFuse 中找出信任圈,然後按一下其名稱。網址列中顯示的網址會包含 ID。
例如:https://siemplify.threatstream.com/search?trustedcircles=13。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 分類 | DDL | 私人 可能的值:
|
是 | 指定可觀測項目的分類。 |
| 威脅類型 | DDL | APT 可能的值
|
是 | 指定可觀測項目的威脅類型。 |
| 來源 | 字串 | Siemplify | 否 | 指定可觀測項目的情報來源。 |
| 到期日期 | 整數 | 不適用 | 否 | 指定可觀測項目的到期日 (以天為單位)。 如果未在此指定任何內容,動作會建立永不過期的可觀測項目。 |
| 信任圈 ID | CSV | 不適用 | 否 | 指定以半形逗號分隔的信任圈 ID 清單。 可觀測項目會與這些信任的社交圈共用。 |
| TLP | DDL | 請選取一項 可能的值:
|
否 | 指定可觀測項目的 TLP。 |
| 可信度 | 整數 | 不適用 | 否 | 指定可觀測項目的信賴度。 注意:只有在貴機構中建立可觀測項目,並啟用「覆寫系統信賴度」參數時,這個參數才會生效。 |
| 覆寫系統信賴度 | 核取方塊 | 已取消勾選 | 否 | 啟用後,建立的可觀測項目會具有「可信度」參數中指定的可信度。 注意:啟用這項參數後,您就無法在信任的社交圈和公開分享可觀測項目。 |
| 匿名提交 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,動作會匿名提交。 |
| 標記 | CSV | 不適用 | 否 | 指定要新增至可觀測項目的標記清單 (以半形逗號分隔)。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
approved_jobs = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id": 123123,
"entity": {entity.identifier}
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且找到至少一個實體雜湊 (is_success=true): 「已在 Siemplify ThreatFuse 中成功提交並核准下列實體:\n{0}」。format(entity.identifier list) 如果部分實體失敗 (遭拒實體) (is_success=true):「Action was not able to successfully submit and approve the following entities in Siemplify ThreatFuse\n: {0}」。format([entity.identifier]) 如果所有實體都無法完成擴充 (is_success=false): 「No entities were successfully submitted to Siemplify ThreatFuse.」(沒有任何實體成功提交至 Siemplify ThreatFuse。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「Error executing action "Submit Observable". 原因:{0}''.format(error.Stacktrace) 如果系統回報 400 狀態碼:「Error executing action "Submit Observable". 原因:{0}''.format(message) |
一般 |
回報為誤判
說明
將 Siemplify ThreatFuse 中的實體回報為誤判。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 原因 | 字串 | 不適用 | 是 | 指定要將實體標示為誤判的原因。 |
| 註解 | 字串 | 不適用 | 是 | 指定與將實體標示為誤報相關的決策資訊。 |
執行時間
這項動作會對下列實體執行:
- 雜湊
- IP 位址
- 網址
- 使用者名稱 (含電子郵件地址) 的規則運算式
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且至少找到一個實體雜湊 (is_success=true):「Successfully reported the following entities as false positive in Siemplify ThreatFuse:\n{0}」。format(entity.identifier list) 如果無法標示特定實體 (is_success=true):「Action was not able to report the following entities as false positive in Siemplify ThreatFuse\n: {0}".format([entity.identifier]) 如果所有實體都無法完成擴充 (issuccess=false):「沒有任何實體回報為誤判。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『回報為誤判』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
連接器
設定 Siemplify ThreatFuse - Observables 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
Siemplify ThreatFuse - Observables Connector
從 Siemplify ThreatFuse 提取可觀測項目。
建議
設定連結器時,建議使用獨立環境,以免分析師收到大量推測性快訊。
如何查看信任的社交圈 ID
如要找出信任圈的 ID,請在 Siemplify ThreatFuse 中找到信任圈,然後按一下其名稱。網址列中顯示的網址會包含 ID。
例如 https://siemplify.threatstream.com/search?trustedcircles=13。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 300 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://api.threat |
是 | Siemplify ThreatFuse 執行個體的 API 根目錄。 |
| 電子郵件地址 | 字串 | 不適用 | 是 | Siemplify ThreatFuse 帳戶的電子郵件地址。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Siemplify ThreatFuse 帳戶的 API 金鑰。 |
| 要擷取的最低嚴重程度 | 字串 | 高 | 是 | 用於擷取可觀測項目的最低嚴重性。 可能的值: 中 高 Very-High |
| 要擷取的最低信賴度 | 整數 | 50 | 是 | 用於擷取可觀測項目的最低信賴度。上限為 100。 |
| 來源動態饋給篩選器 | CSV | 不適用 | 否 | 以半形逗號分隔的動態饋給 ID 清單,用於擷取可觀測項目。範例:515、4129 |
| 可觀測類型篩選器 | CSV | 網址、網域、電子郵件、雜湊、IP、IPv6 | 否 | 以半形逗號分隔的清單,列出應擷取的觀察項目類型。例如:網址、網域 可能的值:網址、網域、電子郵件、雜湊、IP、IPv6 |
| 可觀察狀態篩選器 | CSV | 有效 | 否 | 請以半形逗號分隔清單的形式,列出應使用的可觀察狀態,以便擷取新資料。範例:active、inactive 可能的值:active、inactive、falsepos |
| 威脅類型篩選器 | CSV | 不適用 | 否 | 請以半形逗號分隔清單的形式,列出要用於擷取可觀測項目的威脅類型。例如:аdware、anomalous、anonymization、apt 可能的值: |
| 「信任圈」篩選器 | CSV | 不適用 | 否 | 以半形逗號分隔的信任圈 ID 清單,用於擷取可觀測項目。 範例:146、147 |
| 標記名稱篩選器 | CSV | 不適用 | 否 | 以半形逗號分隔的標記名稱清單,與應搭配擷取作業使用的可觀測項目相關聯。例如:Microsoft 憑證、網路釣魚。 |
| 來源動態饋給分組 | 核取方塊 | 已取消勾選 | 否 | 啟用後,連接器會將來自相同來源的可觀測項目歸入同一個 Siemplify 快訊。 |
| Fetch Max Days Backwards | 整數 | 1 | 否 | 要擷取可觀測項目的天數。 |
| 每個快訊的可觀測項目數量上限 | 整數 | 100 | 否 | 一個 Siemplify 快訊應包含多少個可觀測項目?上限為 200。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將動態清單做為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 Siemplify Threatfuse 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。