ThreatConnect

Versión de integración: 11.0

Configurar ThreatConnect para que funcione con Google Security Operations

Configuración de la organización: Miembros

Para obtener tu ID de acceso a la API y tu clave secreta, y configurar una organización de API predeterminada, primero debes añadir un usuario de la API a la organización. Estas configuraciones se encuentran en Ajustes > Ajustes de la organización en la interfaz de ThreatConnect.

Crear un usuario de API

  1. En la pestaña Miembros de la pantalla Configuración de la organización, haz clic en el botón Crear usuario de API.

  2. Rellena los siguientes campos para crear y configurar la cuenta de usuario de la API:

    • Nombre: introduce el nombre del usuario de la API.
    • Apellidos: introduce los apellidos del usuario de la API.
    • Incluir en observaciones y falsos positivos: marca esta casilla para permitir que los datos proporcionados por el usuario de la API se incluyan en los recuentos de observaciones y falsos positivos. Consulta Informar de falsos positivos para obtener más información.
    • Inhabilitado: marca la casilla para inhabilitar la cuenta de un usuario de la API en caso de que el administrador quiera conservar la integridad de los registros cuando el usuario de la API ya no necesite acceder a ThreatConnect.

  3. Anota la clave secreta, ya que no podrás acceder a ella después de cerrar la ventana.

  4. Haz clic en el botón GUARDAR para crear la cuenta de usuario de la API.

Configurar la integración de ThreatConnect en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Acciones

Enriquecer entidades

Descripción

Enriquece direcciones IP, hosts, URLs y hashes con información de ThreatConnect.

Parámetros

Parámetro Tipo Valor predeterminado Descripción
Nombre del propietario Cadena N/A Nombre del propietario del que se obtendrán los datos.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Filehash
  • URL
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo aplicar
securityLabels Devuelve si existe en el resultado JSON.
propietarios Devuelve si existe en el resultado JSON.
víctimas Devuelve si existe en el resultado JSON.
etiquetas Devuelve si existe en el resultado JSON.
general Devuelve si existe en el resultado JSON.
observaciones Devuelve si existe en el resultado JSON.
grupos Devuelve si existe en el resultado JSON.
indicadores Devuelve si existe en el resultado JSON.
attributes Devuelve si existe en el resultado JSON.
observationCount Devuelve si existe en el resultado JSON.
victimAsset Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_enriched Verdadero/Falso is_enriched:False
Resultado de JSON
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Ping

Descripción

Prueba de conectividad.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.