ThreatConnect
Versão da integração: 11.0
Configurar o ThreatConnect para trabalhar com o Google Security Operations
Configurações da organização: participação
Para conseguir o ID de acesso à API, a chave secreta e configurar uma organização de API padrão, primeiro você precisa adicionar um usuário de API na organização. Essas configurações estão em Configurações > Configurações da organização na interface do ThreatConnect.
Como criar um usuário da API
- Clique no botão Criar usuário da API na guia Assinatura da tela Configurações da organização.
Preencha os seguintes campos para criar e configurar a conta de usuário da API:
- Nome:insira o nome do usuário da API.
- Sobrenome:insira o sobrenome do usuário da API.
- Incluir em observações e falsos positivos:marque esta caixa para permitir que os dados fornecidos pelo usuário da API sejam incluídos nas contagens de observações e falsos positivos. Consulte Denunciar falsos positivos para mais informações.
- Desativado:clique na caixa de seleção para desativar a conta de um usuário da API caso o administrador queira manter a integridade do registro quando o usuário da API não precisar mais de acesso ao ThreatConnect.
Registre a chave secreta, porque ela não estará acessível depois que a janela for fechada.
Clique no botão SALVAR para criar a conta de usuário da API.
Configurar a integração do ThreatConnect no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Enriquecer entidades
Descrição
Enriqueça endereços IP, hosts, URLs e hashes com informações do ThreatConnect.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome do proprietário | String | N/A | Nome do proprietário para buscar os dados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Filehash
- URL
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| securityLabels | Retorna se ele existe no resultado JSON |
| proprietários | Retorna se ele existe no resultado JSON |
| vítimas | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| general | Retorna se ele existe no resultado JSON |
| observações | Retorna se ele existe no resultado JSON |
| grupos | Retorna se ele existe no resultado JSON |
| indicadores | Retorna se ele existe no resultado JSON |
| atributos | Retorna se ele existe no resultado JSON |
| observationCount | Retorna se ele existe no resultado JSON |
| victimAsset | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_enriched | Verdadeiro/Falso | is_enriched:False |
Resultado do JSON
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.