Talos ThreatSource
整合版本:17.0
在 Google Security Operations 中設定 Talos ThreatSource 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
取得信譽
說明
取得 IP 位址或網域的信譽和詳細資料。
參數
這項動作沒有輸入參數。
用途
這項動作沒有任何用途。
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
- 網址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| Talos_reputation | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_domain | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_daychange | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_web_score | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_ip | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_dnsmatch | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_display_ipv6_volume | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_daily_spam_name | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_daily_spam_level | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_category | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_description | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_daily_mag | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_monthly_spam_level | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_hostname | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_monthly_spam_name | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_url | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_blacklists | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_rules | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_lookup_uri | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_idr | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_email_score | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_email_score_name | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_web_score_name | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_organization | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_monthly_mag | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_location | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_magnitude | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_longitude | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_country_code | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_country_flag | 如果 JSON 結果中存在該值,則傳回該值 |
| Talos_cities | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success = true):「Successfully enriched the following entities using information from Talos ThreatSource: {entity.identifier}」(已使用 Talos ThreatSource 的資訊,成功擴充下列實體:{entity.identifier})。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Talos ThreatSource: {entity.identifier}」(Action 無法使用 Talos ThreatSource 的資訊擴充下列實體:{entity.identifier})。 如果所有實體都沒有資料 (is_success=false):「提供的實體皆未經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『取得信譽』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表 欄:
|
實體 |
乒乓
說明
確認使用者裝置已連線至 Talos ThreatSource。
參數
這項動作沒有輸入參數。
用途
這項動作沒有任何用途。
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
WhoIs
說明
使用 Talos ThreatSource 擷取實體的 Whois 資訊。
參數
這項動作沒有輸入參數。
用途
這項動作沒有任何用途。
執行時間
這項操作會對 IP 位址、主機名稱和網址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果一個實體有可用資料 (is_success = true):「Successfully returned Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}」(已使用 Talos ThreatSource 的資訊,成功傳回下列實體的 Whois 資訊:{entity.identifier})。 如果某個實體的回應中包含「error」(is_success=true):「Action wasn't able to return Whois information about the following entities using information from Talos ThreatSource: {entity.identifier}」(動作無法使用 Talos ThreatSource 的資訊,傳回下列實體的 Whois 資訊:{entity.identifier})。 如果回應中含有「error」(is_success=false):「No Whois information was found for the provided entities.」(找不到所提供實體的 Whois 資訊)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『Whois』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。