ThreatConnect

Integrationsversion: 11.0

ThreatConnect für die Verwendung mit Google Security Operations konfigurieren

Organisationseinstellungen: Mitgliedschaft

Um Ihre API-Zugriffs-ID und Ihren geheimen Schlüssel zu erhalten und eine Standard-API-Organisation einzurichten, müssen Sie zuerst einen API-Nutzer in der Organisation hinzufügen. Diese Konfigurationen finden Sie in der ThreatConnect-Benutzeroberfläche unter Einstellungen > Organisationseinstellungen.

API-Nutzer erstellen

  1. Klicken Sie auf dem Bildschirm Organization Settings (Organisationseinstellungen) auf dem Tab Membership (Mitgliedschaft) auf die Schaltfläche Create API User (API-Nutzer erstellen).

  2. Füllen Sie die folgenden Felder aus, um das API-Nutzerkonto zu erstellen und zu konfigurieren:

    • Vorname:Geben Sie den Vornamen des API-Nutzers ein.
    • Nachname: Geben Sie den Nachnamen des API-Nutzers ein.
    • In Beobachtungen und Falsch-Positiv-Meldungen einbeziehen:Aktivieren Sie dieses Kästchen, damit die vom API-Nutzer bereitgestellten Daten in die Anzahl der Beobachtungen und Falsch-Positiv-Meldungen einbezogen werden. Weitere Informationen finden Sie unter Falsch-positive Ergebnisse melden.
    • Deaktiviert:Klicken Sie das Kästchen an, um das Konto eines API-Nutzers zu deaktivieren, wenn der Administrator die Protokollintegrität beibehalten möchte, wenn der API-Nutzer keinen ThreatConnect-Zugriff mehr benötigt.

  3. Notieren Sie den Secret Key, da er nach dem Schließen des Fensters nicht mehr verfügbar ist.

  4. Klicken Sie auf die Schaltfläche SPEICHERN, um das API-Nutzerkonto zu erstellen.

ThreatConnect-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Entitäten anreichern

Beschreibung

IP-Adressen, Hosts, URLs und Hashes mit Informationen aus ThreatConnect anreichern.

Parameter

Parameter Typ Standardwert Beschreibung
Name des Eigentümers String Name des Inhabers, von dem die Daten abgerufen werden sollen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • IP-Adresse
  • Filehash
  • URL
  • Hostname

Aktionsergebnisse

Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
securityLabels Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Inhaber Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Opfer Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Tags Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Allgemein Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Beobachtungen Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Gruppen Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Indikatoren Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Attribute Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
observationCount Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
victimAsset Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_enriched Wahr/falsch is_enriched:False
JSON-Ergebnis
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Ping

Beschreibung

Verbindung testen

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Statistiken

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
N/A

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten