Talos ThreatSource
Versión de integración: 17.0
Configura la integración de Talos ThreatSource en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Cómo obtener reputación
Descripción
Obtiene la reputación y los detalles de una dirección IP o un dominio.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos de uso
Esta acción no tiene casos de uso.
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Talos_reputation | Devuelve si existe en el resultado JSON. |
| Talos_domain | Devuelve si existe en el resultado JSON. |
| Talos_daychange | Devuelve si existe en el resultado JSON. |
| Talos_web_score | Devuelve si existe en el resultado JSON. |
| Talos_ip | Devuelve si existe en el resultado JSON. |
| Talos_dnsmatch | Devuelve si existe en el resultado JSON. |
| Talos_display_ipv6_volume | Devuelve si existe en el resultado JSON. |
| Talos_daily_spam_name | Devuelve si existe en el resultado JSON. |
| Talos_daily_spam_level | Devuelve si existe en el resultado JSON. |
| Talos_category | Devuelve si existe en el resultado JSON. |
| Talos_description | Devuelve si existe en el resultado JSON. |
| Talos_daily_mag | Devuelve si existe en el resultado JSON. |
| Talos_monthly_spam_level | Devuelve si existe en el resultado JSON. |
| Talos_hostname | Devuelve si existe en el resultado JSON. |
| Talos_monthly_spam_name | Devuelve si existe en el resultado JSON. |
| Talos_url | Devuelve si existe en el resultado JSON. |
| Talos_blacklists | Devuelve si existe en el resultado JSON. |
| Talos_rules | Devuelve si existe en el resultado JSON. |
| Talos_lookup_uri | Devuelve si existe en el resultado JSON. |
| Talos_idr | Devuelve si existe en el resultado JSON. |
| Talos_email_score | Devuelve si existe en el resultado JSON. |
| Talos_email_score_name | Devuelve si existe en el resultado JSON. |
| Talos_web_score_name | Devuelve si existe en el resultado JSON. |
| Talos_organization | Devuelve si existe en el resultado JSON. |
| Talos_monthly_mag | Devuelve si existe en el resultado JSON. |
| Talos_location | Devuelve si existe en el resultado JSON. |
| Talos_magnitude | Devuelve si existe en el resultado JSON. |
| Talos_longitude | Devuelve si existe en el resultado JSON. |
| Talos_country_code | Devuelve si existe en el resultado JSON. |
| Talos_country_flag | Devuelve si existe en el resultado JSON. |
| Talos_cities | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se enriquecieron correctamente las siguientes entidades con información de Talos ThreatSource: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información de Talos ThreatSource: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se muestra el siguiente mensaje: "Error al ejecutar la acción "Get Reputation". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: {entity.identifier} Tabla Columnas:
|
Entidad |
Ping
Descripción
Verifica que el usuario tenga una conexión a Talos ThreatSource a través de su dispositivo.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos de uso
Esta acción no tiene casos de uso.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
WhoIs
Descripción
Recupera información de Whois sobre entidades con Talos ThreatSource.
Parámetros
Esta acción no tiene parámetros de entrada.
Casos de uso
Esta acción no tiene casos de uso.
Ejecutar en
Esta acción se ejecuta en las entidades de dirección IP, nombre de host y URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se devolvió correctamente la información de Whois sobre las siguientes entidades con información de Talos ThreatSource: {entity.identifier}". Si "error" está en la respuesta para una entidad (is_success=true): "La acción no pudo devolver información de Whois sobre las siguientes entidades con información de Talos ThreatSource: {entity.identifier}". Si "error" está en la respuesta (is_success=false): "No se encontró información de Whois para las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Whois". Reason: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.