Talos ThreatSource
Versão de integração: 17.0
Configure a integração do Talos ThreatSource no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Obtenha reputação
Descrição
Obtenha a reputação e os detalhes de um endereço IP ou um domínio.
Parâmetros
Esta ação não tem parâmetros de entrada.
Exemplos de utilização
Esta ação não tem exemplos de utilização.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- URL
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Talos_reputation | Devolve se existir no resultado JSON |
| Talos_domain | Devolve se existir no resultado JSON |
| Talos_daychange | Devolve se existir no resultado JSON |
| Talos_web_score | Devolve se existir no resultado JSON |
| Talos_ip | Devolve se existir no resultado JSON |
| Talos_dnsmatch | Devolve se existir no resultado JSON |
| Talos_display_ipv6_volume | Devolve se existir no resultado JSON |
| Talos_daily_spam_name | Devolve se existir no resultado JSON |
| Talos_daily_spam_level | Devolve se existir no resultado JSON |
| Talos_category | Devolve se existir no resultado JSON |
| Talos_description | Devolve se existir no resultado JSON |
| Talos_daily_mag | Devolve se existir no resultado JSON |
| Talos_monthly_spam_level | Devolve se existir no resultado JSON |
| Talos_hostname | Devolve se existir no resultado JSON |
| Talos_monthly_spam_name | Devolve se existir no resultado JSON |
| Talos_url | Devolve se existir no resultado JSON |
| Talos_blacklists | Devolve se existir no resultado JSON |
| Talos_rules | Devolve se existir no resultado JSON |
| Talos_lookup_uri | Devolve se existir no resultado JSON |
| Talos_idr | Devolve se existir no resultado JSON |
| Talos_email_score | Devolve se existir no resultado JSON |
| Talos_email_score_name | Devolve se existir no resultado JSON |
| Talos_web_score_name | Devolve se existir no resultado JSON |
| Talos_organization | Devolve se existir no resultado JSON |
| Talos_monthly_mag | Devolve se existir no resultado JSON |
| Talos_location | Devolve se existir no resultado JSON |
| Talos_magnitude | Devolve se existir no resultado JSON |
| Talos_longitude | Devolve se existir no resultado JSON |
| Talos_country_code | Devolve se existir no resultado JSON |
| Talos_country_flag | Devolve se existir no resultado JSON |
| Talos_cities | Devolve se existir no resultado JSON |
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success = true): "Successfully enriched the following entities using information from Talos ThreatSource: {entity.identifier}" (O enriquecimento das seguintes entidades foi realizado com êxito através de informações do Talos ThreatSource: {entity.identifier}). Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Action wasn't able to enrich the following entities using information from Talos ThreatSource: {entity.identifier}" (Não foi possível enriquecer as seguintes entidades com informações do Talos ThreatSource: {entity.identifier}). Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter reputação". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Tchim-tchim
Descrição
Verifica se o utilizador tem uma ligação ao Talos ThreatSource através do dispositivo do utilizador.
Parâmetros
Esta ação não tem parâmetros de entrada.
Exemplos de utilização
Esta ação não tem exemplos de utilização.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
WhoIs
Descrição
Recupere informações Whois sobre entidades através do Talos ThreatSource.
Parâmetros
Esta ação não tem parâmetros de entrada.
Exemplos de utilização
Esta ação não tem exemplos de utilização.
Executar em
Esta ação é executada nas entidades de endereço IP, nome de anfitrião e URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success = true): "Successfully returned Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}". Se "error" estiver na resposta de uma entidade (is_success=true): "Não foi possível devolver informações de Whois sobre as seguintes entidades através de informações do Talos ThreatSource: {entity.identifier}". Se "error" estiver na resposta (is_success=false): "Não foram encontradas informações de Whois para as entidades fornecidas." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Whois". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.