ThreatConnect

Version de l'intégration : 11.0

Configurer ThreatConnect pour qu'il fonctionne avec Google Security Operations

Paramètres de l'organisation : abonnement

Pour obtenir votre ID d'accès à l'API et votre clé secrète, et pour configurer une organisation API par défaut, vous devez d'abord ajouter un utilisateur API à l'organisation. Ces configurations se trouvent dans Settings > Org Settings (Paramètres > Paramètres de l'organisation) de l'interface ThreatConnect.

Créer un utilisateur de l'API

  1. Cliquez sur le bouton Créer un utilisateur de l'API dans l'onglet Membres de l'écran Paramètres de l'organisation.

  2. Renseignez les champs suivants pour créer et configurer le compte utilisateur de l'API :

    • Prénom : saisissez le prénom de l'utilisateur de l'API.
    • Nom : saisissez le nom de famille de l'utilisateur de l'API.
    • Inclure dans les observations et les faux positifs : cochez cette case pour autoriser l'inclusion des données fournies par l'utilisateur de l'API dans les nombres d'observations et de faux positifs. Pour en savoir plus, consultez Signaler les faux positifs.
    • Désactivé : cochez la case pour désactiver le compte d'un utilisateur de l'API si l'administrateur souhaite préserver l'intégrité des journaux lorsque l'utilisateur de l'API n'a plus besoin d'accéder à ThreatConnect.

  3. Notez la clé secrète, car vous ne pourrez plus y accéder une fois la fenêtre fermée.

  4. Cliquez sur le bouton ENREGISTRER pour créer le compte utilisateur de l'API.

Configurer l'intégration de ThreatConnect dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Enrichir les entités

Description

Enrichissez les adresses IP, les hôtes, les URL et les hachages avec des informations provenant de ThreatConnect.

Paramètres

Paramètre Type Valeur par défaut Description
Nom du propriétaire Chaîne N/A Nom du propriétaire à partir duquel extraire les données.

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Filehash
  • URL
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
securityLabels Renvoie la valeur si elle existe dans le résultat JSON.
propriétaires Renvoie la valeur si elle existe dans le résultat JSON.
victimes Renvoie la valeur si elle existe dans le résultat JSON.
tags Renvoie la valeur si elle existe dans le résultat JSON.
general Renvoie la valeur si elle existe dans le résultat JSON.
observations Renvoie la valeur si elle existe dans le résultat JSON.
groupes Renvoie la valeur si elle existe dans le résultat JSON.
indicateurs Renvoie la valeur si elle existe dans le résultat JSON.
attributes Renvoie la valeur si elle existe dans le résultat JSON.
observationCount Renvoie la valeur si elle existe dans le résultat JSON.
victimAsset Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_enriched Vrai/Faux is_enriched:False
Résultat JSON
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Ping

Description

Testez la connectivité.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.