Talos ThreatSource
Versione integrazione: 17.0
Configurare l'integrazione di Talos ThreatSource in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Ottenere reputazione
Descrizione
Visualizza la reputazione e i dettagli di un indirizzo IP o di un dominio.
Parametri
Questa azione non ha parametri di input.
Casi d'uso
Questa azione non ha casi d'uso.
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
- URL
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| Talos_reputation | Restituisce se esiste nel risultato JSON |
| Talos_domain | Restituisce se esiste nel risultato JSON |
| Talos_daychange | Restituisce se esiste nel risultato JSON |
| Talos_web_score | Restituisce se esiste nel risultato JSON |
| Talos_ip | Restituisce se esiste nel risultato JSON |
| Talos_dnsmatch | Restituisce se esiste nel risultato JSON |
| Talos_display_ipv6_volume | Restituisce se esiste nel risultato JSON |
| Talos_daily_spam_name | Restituisce se esiste nel risultato JSON |
| Talos_daily_spam_level | Restituisce se esiste nel risultato JSON |
| Talos_category | Restituisce se esiste nel risultato JSON |
| Talos_description | Restituisce se esiste nel risultato JSON |
| Talos_daily_mag | Restituisce se esiste nel risultato JSON |
| Talos_monthly_spam_level | Restituisce se esiste nel risultato JSON |
| Talos_hostname | Restituisce se esiste nel risultato JSON |
| Talos_monthly_spam_name | Restituisce se esiste nel risultato JSON |
| Talos_url | Restituisce se esiste nel risultato JSON |
| Talos_blacklists | Restituisce se esiste nel risultato JSON |
| Talos_rules | Restituisce se esiste nel risultato JSON |
| Talos_lookup_uri | Restituisce se esiste nel risultato JSON |
| Talos_idr | Restituisce se esiste nel risultato JSON |
| Talos_email_score | Restituisce se esiste nel risultato JSON |
| Talos_email_score_name | Restituisce se esiste nel risultato JSON |
| Talos_web_score_name | Restituisce se esiste nel risultato JSON |
| Talos_organization | Restituisce se esiste nel risultato JSON |
| Talos_monthly_mag | Restituisce se esiste nel risultato JSON |
| Talos_location | Restituisce se esiste nel risultato JSON |
| Talos_magnitude | Restituisce se esiste nel risultato JSON |
| Talos_longitude | Restituisce se esiste nel risultato JSON |
| Talos_country_code | Restituisce se esiste nel risultato JSON |
| Talos_country_flag | Restituisce se esiste nel risultato JSON |
| Talos_cities | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success = true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Talos ThreatSource: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Talos ThreatSource: {entity.identifier}". Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni reputazione". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: {entity.identifier} Tabella Colonne:
|
Entità |
Dindin
Descrizione
Verifica che l'utente abbia una connessione a Talos ThreatSource tramite il suo dispositivo.
Parametri
Questa azione non ha parametri di input.
Casi d'uso
Questa azione non ha casi d'uso.
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
WhoIs
Descrizione
Recupera le informazioni Whois sulle entità utilizzando Talos ThreatSource.
Parametri
Questa azione non ha parametri di input.
Casi d'uso
Questa azione non ha casi d'uso.
Run On
Questa azione viene eseguita sulle entità Indirizzo IP, Nome host e URL.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success = true): "Restituite correttamente le informazioni Whois sulle seguenti entità utilizzando le informazioni di Talos ThreatSource: {entity.identifier}". Se nella risposta per un'entità è presente "error" (is_success=true): "L'azione non è riuscita a restituire le informazioni Whois sulle seguenti entità utilizzando le informazioni di Talos ThreatSource: {entity.identifier}". Se nella risposta è presente "error" (is_success=false): "No Whois information was found for the provided entities." (Non sono state trovate informazioni Whois per le entità fornite.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Whois". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.