Talos ThreatSource
統合バージョン: 17.0
Google Security Operations で Talos ThreatSource の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
評判を取得する
説明
IP アドレスまたはドメインの評価と詳細を取得します。
パラメータ
このアクションには入力パラメータはありません。
ユースケース
このアクションにはユースケースがありません。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- URL
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Talos_reputation | JSON の結果に存在する場合に返す |
| Talos_domain | JSON の結果に存在する場合に返す |
| Talos_daychange | JSON の結果に存在する場合に返す |
| Talos_web_score | JSON の結果に存在する場合に返す |
| Talos_ip | JSON の結果に存在する場合に返す |
| Talos_dnsmatch | JSON の結果に存在する場合に返す |
| Talos_display_ipv6_volume | JSON の結果に存在する場合に返す |
| Talos_daily_spam_name | JSON の結果に存在する場合に返す |
| Talos_daily_spam_level | JSON の結果に存在する場合に返す |
| Talos_category | JSON の結果に存在する場合に返す |
| Talos_description | JSON の結果に存在する場合に返す |
| Talos_daily_mag | JSON の結果に存在する場合に返す |
| Talos_monthly_spam_level | JSON の結果に存在する場合に返す |
| Talos_hostname | JSON の結果に存在する場合に返す |
| Talos_monthly_spam_name | JSON の結果に存在する場合に返す |
| Talos_url | JSON の結果に存在する場合に返す |
| Talos_blacklists | JSON の結果に存在する場合に返す |
| Talos_rules | JSON の結果に存在する場合に返す |
| Talos_lookup_uri | JSON の結果に存在する場合に返す |
| Talos_idr | JSON の結果に存在する場合に返す |
| Talos_email_score | JSON の結果に存在する場合に返す |
| Talos_email_score_name | JSON の結果に存在する場合に返す |
| Talos_web_score_name | JSON の結果に存在する場合に返す |
| Talos_organization | JSON の結果に存在する場合に返す |
| Talos_monthly_mag | JSON の結果に存在する場合に返す |
| Talos_location | JSON の結果に存在する場合に返す |
| Talos_magnitude | JSON の結果に存在する場合に返す |
| Talos_longitude | JSON の結果に存在する場合に返す |
| Talos_country_code | JSON の結果に存在する場合に返す |
| Talos_country_flag | JSON の結果に存在する場合に返す |
| Talos_cities | JSON の結果に存在する場合に返す |
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success = true): 「Talos ThreatSource の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Talos ThreatSource の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティが拡充されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「評判の取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: {entity.identifier} テーブル 列:
|
エンティティ |
Ping
説明
ユーザーのデバイスを介して Talos ThreatSource に接続していることを確認します。
パラメータ
このアクションには入力パラメータはありません。
ユースケース
このアクションにはユースケースがありません。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
WhoIs
説明
Talos ThreatSource を使用してエンティティに関する Whois 情報を取得します。
パラメータ
このアクションには入力パラメータはありません。
ユースケース
このアクションにはユースケースがありません。
実行
このアクションは、IP アドレス、ホスト名、URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success = true): 「Talos ThreatSource の情報を使用して、次のエンティティに関する Whois 情報を正常に返しました: {entity.identifier}」。 1 つのエンティティのレスポンスに「error」が含まれている場合(is_success=true): 「Talos ThreatSource の情報を使用して、次のエンティティの Whois 情報を取得できませんでした: {entity.identifier}」 レスポンスに「error」がある場合(is_success=false): 「指定されたエンティティの Whois 情報が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"Whois" アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。