Talos ThreatSource
Versión de integración: 17.0
Configurar la integración de Talos ThreatSource en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Obtener reputación
Descripción
Obtén la reputación y los detalles de una dirección IP o un dominio.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos prácticos
Esta acción no tiene casos prácticos.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Talos_reputation | Devuelve si existe en el resultado JSON. |
| Talos_domain | Devuelve si existe en el resultado JSON. |
| Talos_daychange | Devuelve si existe en el resultado JSON. |
| Talos_web_score | Devuelve si existe en el resultado JSON. |
| Talos_ip | Devuelve si existe en el resultado JSON. |
| Talos_dnsmatch | Devuelve si existe en el resultado JSON. |
| Talos_display_ipv6_volume | Devuelve si existe en el resultado JSON. |
| Talos_daily_spam_name | Devuelve si existe en el resultado JSON. |
| Talos_daily_spam_level | Devuelve si existe en el resultado JSON. |
| Talos_category | Devuelve si existe en el resultado JSON. |
| Talos_description | Devuelve si existe en el resultado JSON. |
| Talos_daily_mag | Devuelve si existe en el resultado JSON. |
| Talos_monthly_spam_level | Devuelve si existe en el resultado JSON. |
| Talos_hostname | Devuelve si existe en el resultado JSON. |
| Talos_monthly_spam_name | Devuelve si existe en el resultado JSON. |
| Talos_url | Devuelve si existe en el resultado JSON. |
| Talos_blacklists | Devuelve si existe en el resultado JSON. |
| Talos_rules | Devuelve si existe en el resultado JSON. |
| Talos_lookup_uri | Devuelve si existe en el resultado JSON. |
| Talos_idr | Devuelve si existe en el resultado JSON. |
| Talos_email_score | Devuelve si existe en el resultado JSON. |
| Talos_email_score_name | Devuelve si existe en el resultado JSON. |
| Talos_web_score_name | Devuelve si existe en el resultado JSON. |
| Talos_organization | Devuelve si existe en el resultado JSON. |
| Talos_monthly_mag | Devuelve si existe en el resultado JSON. |
| Talos_location | Devuelve si existe en el resultado JSON. |
| Talos_magnitude | Devuelve si existe en el resultado JSON. |
| Talos_longitude | Devuelve si existe en el resultado JSON. |
| Talos_country_code | Devuelve si existe en el resultado JSON. |
| Talos_country_flag | Devuelve si existe en el resultado JSON. |
| Talos_cities | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Successfully enriched the following entities using information from Talos ThreatSource: {entity.identifier}". ("Se han enriquecido correctamente las siguientes entidades con información de Talos ThreatSource: {entity.identifier}"). Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to enrich the following entities using information from Talos ThreatSource: {entity.identifier}". ("No se ha podido enriquecer la siguiente entidad con información de Talos ThreatSource: {entity.identifier}"). Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("Ninguna de las entidades proporcionadas se ha enriquecido"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener reputación". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: {entity.identifier} Columnas de la tabla:
|
Entidad |
Ping
Descripción
Verifica que el usuario tiene una conexión con Talos ThreatSource a través del dispositivo del usuario.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos prácticos
Esta acción no tiene casos prácticos.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
WhoIs
Descripción
Recupera información de Whois sobre entidades mediante Talos ThreatSource.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos prácticos
Esta acción no tiene casos prácticos.
Fecha de ejecución
Esta acción se ejecuta en las entidades Dirección IP, Nombre de host y URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Successfully returned Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}". ("Se ha devuelto correctamente la información de Whois sobre las siguientes entidades mediante la información de Talos ThreatSource: {entity.identifier}"). Si en la respuesta de una entidad aparece "error" (is_success=true): "Action wasn't able to return Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}" ("La acción no ha podido devolver información de Whois sobre las siguientes entidades usando información de Talos ThreatSource: {entity.identifier}"). Si en la respuesta aparece "error" (is_success=false): "No se ha encontrado información de Whois para las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Whois". Motivo: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.