Talos ThreatSource
Versão da integração: 17.0
Configurar a integração do Talos ThreatSource no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Ganhar reputação
Descrição
Confira a reputação e os detalhes de um endereço IP ou domínio.
Parâmetros
Essa ação não tem parâmetros de entrada.
Casos de uso
Essa ação não tem casos de uso.
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
- URL
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Talos_reputation | Retorna se ele existe no resultado JSON |
| Talos_domain | Retorna se ele existe no resultado JSON |
| Talos_daychange | Retorna se ele existe no resultado JSON |
| Talos_web_score | Retorna se ele existe no resultado JSON |
| Talos_ip | Retorna se ele existe no resultado JSON |
| Talos_dnsmatch | Retorna se ele existe no resultado JSON |
| Talos_display_ipv6_volume | Retorna se ele existe no resultado JSON |
| Talos_daily_spam_name | Retorna se ele existe no resultado JSON |
| Talos_daily_spam_level | Retorna se ele existe no resultado JSON |
| Talos_category | Retorna se ele existe no resultado JSON |
| Talos_description | Retorna se ele existe no resultado JSON |
| Talos_daily_mag | Retorna se ele existe no resultado JSON |
| Talos_monthly_spam_level | Retorna se ele existe no resultado JSON |
| Talos_hostname | Retorna se ele existe no resultado JSON |
| Talos_monthly_spam_name | Retorna se ele existe no resultado JSON |
| Talos_url | Retorna se ele existe no resultado JSON |
| Talos_blacklists | Retorna se ele existe no resultado JSON |
| Talos_rules | Retorna se ele existe no resultado JSON |
| Talos_lookup_uri | Retorna se ele existe no resultado JSON |
| Talos_idr | Retorna se ele existe no resultado JSON |
| Talos_email_score | Retorna se ele existe no resultado JSON |
| Talos_email_score_name | Retorna se ele existe no resultado JSON |
| Talos_web_score_name | Retorna se ele existe no resultado JSON |
| Talos_organization | Retorna se ele existe no resultado JSON |
| Talos_monthly_mag | Retorna se ele existe no resultado JSON |
| Talos_location | Retorna se ele existe no resultado JSON |
| Talos_magnitude | Retorna se ele existe no resultado JSON |
| Talos_longitude | Retorna se ele existe no resultado JSON |
| Talos_country_code | Retorna se ele existe no resultado JSON |
| Talos_country_flag | Retorna se ele existe no resultado JSON |
| Talos_cities | Retorna se ele existe no resultado JSON |
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success = true): "Enriquecimento das seguintes entidades usando informações do Talos ThreatSource: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Talos ThreatSource: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Get Reputation". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Ping
Descrição
Verifica se o usuário tem uma conexão com o Talos ThreatSource pelo dispositivo dele.
Parâmetros
Essa ação não tem parâmetros de entrada.
Casos de uso
Essa ação não tem casos de uso.
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
WhoIs
Descrição
Recuperar informações do Whois sobre entidades usando o Talos ThreatSource.
Parâmetros
Essa ação não tem parâmetros de entrada.
Casos de uso
Essa ação não tem casos de uso.
Executar em
Essa ação é executada nas entidades de endereço IP, nome do host e URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success = true): "As informações do Whois sobre as seguintes entidades foram retornadas usando informações do Talos ThreatSource: {entity.identifier}". Se "error" estiver na resposta de uma entidade (is_success=true): "A ação não conseguiu retornar informações de Whois sobre as seguintes entidades usando informações do Talos ThreatSource: {entity.identifier}". Se "error" estiver na resposta (is_success=false): "Nenhuma informação de Whois foi encontrada para as entidades fornecidas". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Whois". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.