Talos ThreatSource
Integrationsversion: 17.0
Talos ThreatSource-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Bewertung erhalten
Beschreibung
Rufen Sie den Ruf und die Details einer IP-Adresse oder einer Domain ab.
Parameter
Diese Aktion hat keine Eingabeparameter.
Anwendungsfälle
Für diese Aktion gibt es keine Anwendungsfälle.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
- URL
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Talos_reputation | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_daychange | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_web_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_dnsmatch | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_display_ipv6_volume | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_daily_spam_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_daily_spam_level | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_category | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_description | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_daily_mag | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_monthly_spam_level | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_monthly_spam_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_url | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_blacklists | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_rules | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_lookup_uri | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_idr | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_email_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_email_score_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_web_score_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_organization | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_monthly_mag | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_location | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_magnitude | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_longitude | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_country_code | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_country_flag | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Talos_cities | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success = true): „Successfully enriched the following entities using information from Talos ThreatSource: {entity.identifier}“ (Die folgenden Entitäten wurden mit Informationen aus Talos ThreatSource angereichert: {entity.identifier}). Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen aus Talos ThreatSource anreichern: {entity.identifier}“. Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Ruf abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: {entity.identifier} Tabellenspalten:
|
Entität |
Ping
Beschreibung
Prüft, ob der Nutzer über sein Gerät eine Verbindung zu Talos ThreatSource hat.
Parameter
Diese Aktion hat keine Eingabeparameter.
Anwendungsfälle
Für diese Aktion gibt es keine Anwendungsfälle.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
WhoIs
Beschreibung
Whois-Informationen zu Entitäten mit Talos ThreatSource abrufen
Parameter
Diese Aktion hat keine Eingabeparameter.
Anwendungsfälle
Für diese Aktion gibt es keine Anwendungsfälle.
Ausführen am
Diese Aktion wird für die Elemente „IP-Adresse“, „Hostname“ und „URL“ ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success = true): „Whois-Informationen für die folgenden Entitäten wurden erfolgreich zurückgegeben. Die Informationen stammen von Talos ThreatSource: {entity.identifier}“. Wenn „error“ in der Antwort für eine Entität enthalten ist (is_success=true): „Action wasn't able to return Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}“. Wenn „error“ in der Antwort enthalten ist (is_success=false): „Für die angegebenen Entitäten wurden keine Whois-Informationen gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Whois‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten