Talos ThreatSource
集成版本:17.0
在 Google Security Operations 中配置 Talos ThreatSource 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
获得声誉
说明
获取 IP 地址或网域的声誉和详细信息。
参数
此操作没有输入参数。
使用场景
此操作没有使用情形。
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
- 网址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| Talos_reputation | 返回 JSON 结果中是否存在相应值 |
| Talos_domain | 返回 JSON 结果中是否存在相应值 |
| Talos_daychange | 返回 JSON 结果中是否存在相应值 |
| Talos_web_score | 返回 JSON 结果中是否存在相应值 |
| Talos_ip | 返回 JSON 结果中是否存在相应值 |
| Talos_dnsmatch | 返回 JSON 结果中是否存在相应值 |
| Talos_display_ipv6_volume | 返回 JSON 结果中是否存在相应值 |
| Talos_daily_spam_name | 返回 JSON 结果中是否存在相应值 |
| Talos_daily_spam_level | 返回 JSON 结果中是否存在相应值 |
| Talos_category | 返回 JSON 结果中是否存在相应值 |
| Talos_description | 返回 JSON 结果中是否存在相应值 |
| Talos_daily_mag | 返回 JSON 结果中是否存在相应值 |
| Talos_monthly_spam_level | 返回 JSON 结果中是否存在相应值 |
| Talos_hostname | 返回 JSON 结果中是否存在相应值 |
| Talos_monthly_spam_name | 返回 JSON 结果中是否存在相应值 |
| Talos_url | 返回 JSON 结果中是否存在相应值 |
| Talos_blacklists | 返回 JSON 结果中是否存在相应值 |
| Talos_rules | 返回 JSON 结果中是否存在相应值 |
| Talos_lookup_uri | 返回 JSON 结果中是否存在相应值 |
| Talos_idr | 返回 JSON 结果中是否存在相应值 |
| Talos_email_score | 返回 JSON 结果中是否存在相应值 |
| Talos_email_score_name | 返回 JSON 结果中是否存在相应值 |
| Talos_web_score_name | 返回 JSON 结果中是否存在相应值 |
| Talos_organization | 返回 JSON 结果中是否存在相应值 |
| Talos_monthly_mag | 返回 JSON 结果中是否存在相应值 |
| Talos_location | 返回 JSON 结果中是否存在相应值 |
| Talos_magnitude | 返回 JSON 结果中是否存在相应值 |
| Talos_longitude | 返回 JSON 结果中是否存在相应值 |
| Talos_country_code | 返回 JSON 结果中是否存在相应值 |
| Talos_country_flag | 返回 JSON 结果中是否存在相应值 |
| Talos_cities | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个实体有数据(is_success = true):“已使用来自 Talos ThreatSource 的信息成功扩充以下实体:{entity.identifier}”。 如果某个实体没有数据 (is_success=true):“Action wasn't able to enrich the following entities using information from Talos ThreatSource: {entity.identifier}”。 如果并非所有实体都有数据 (is_success=false):“未扩充任何提供的实体。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“执行操作‘获取声誉’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:{entity.identifier} 表 列:
|
实体 |
Ping
说明
验证用户是否通过自己的设备连接到 Talos ThreatSource。
参数
此操作没有输入参数。
使用场景
此操作没有使用情形。
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
WhoIs
说明
使用 Talos ThreatSource 检索实体的 Whois 信息。
参数
此操作没有输入参数。
使用场景
此操作没有使用情形。
运行于
此操作适用于 IP 地址、主机名、网址实体。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个实体有可用数据 (is_success = true):“Successfully returned Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}”(已成功使用 Talos ThreatSource 中的信息返回以下实体的 Whois 信息:{entity.identifier})。 如果一个实体的响应中包含“error”(is_success=true):“Action wasn't able to return Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}”。 如果响应中包含“error”(is_success=false):“未找到所提供实体的 Whois 信息。” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Whois". 原因:{0}''.format(error.Stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。