ThreatConnect

Versión de integración: 11.0

Configura ThreatConnect para que funcione con Google Security Operations

Configuración de la organización: Membresía

Para obtener tu ID de acceso a la API, la clave secreta y configurar una organización predeterminada de la API, primero debes agregar un usuario de la API a la organización. Estas configuraciones se encuentran en Configuración > Configuración de la organización en la interfaz de ThreatConnect.

Crea un usuario de API

  1. Haz clic en el botón Create API User en la pestaña Membership de la pantalla Organization Settings.

  2. Completa los siguientes campos para crear y configurar la cuenta de usuario de la API:

    • Nombre: Ingresa el nombre del usuario de la API.
    • Apellido: Ingresa el apellido del usuario de la API.
    • Incluir en observaciones y falsos positivos: Marca esta casilla para permitir que los datos proporcionados por el usuario de la API se incluyan en los recuentos de observaciones y falsos positivos. Consulta Cómo informar falsos positivos para obtener más información.
    • Inhabilitado: Haz clic en la casilla de verificación para inhabilitar la cuenta de un usuario de la API en caso de que el administrador desee conservar la integridad del registro cuando el usuario de la API ya no requiera acceso a ThreatConnect.

  3. Registra la clave secreta, ya que no se podrá acceder a ella después de que se cierre la ventana.

  4. Haz clic en el botón SAVE para crear la cuenta de usuario de la API.

Configura la integración de ThreatConnect en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Acciones

Enriquece entidades

Descripción

Enriquece las direcciones IP, los hosts, las URLs y los hashes con información de ThreatConnect.

Parámetros

Parámetro Tipo Valor predeterminado Descripción
Nombre del propietario String N/A Nombre del propietario del que se recuperarán los datos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Filehash
  • URL
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
securityLabels Devuelve si existe en el resultado JSON.
propietarios Devuelve si existe en el resultado JSON.
víctimas Devuelve si existe en el resultado JSON.
etiquetas Devuelve si existe en el resultado JSON.
General Devuelve si existe en el resultado JSON.
observaciones Devuelve si existe en el resultado JSON.
grupos Devuelve si existe en el resultado JSON.
indicadores Devuelve si existe en el resultado JSON.
atributos Devuelve si existe en el resultado JSON.
observationCount Devuelve si existe en el resultado JSON.
victimAsset Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_enriched Verdadero/Falso is_enriched:False
Resultado de JSON
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Ping

Descripción

Prueba la conectividad.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.