ThreatConnect
Versi integrasi: 11.0
Mengonfigurasi ThreatConnect agar dapat berfungsi dengan Google Security Operations
Setelan Organisasi: Keanggotaan
Untuk mendapatkan ID Akses API dan Kunci Rahasia, serta menyiapkan Organisasi API Default, Anda harus menambahkan pengguna API di organisasi terlebih dahulu. Konfigurasi ini dapat ditemukan di Setelan > Setelan Org. di Antarmuka ThreatConnect Anda.
Membuat Pengguna API
- Klik tombol Buat Pengguna API di tab Keanggotaan di layar Setelan Organisasi.
Isi kolom berikut untuk membuat dan mengonfigurasi akun pengguna API:
- Nama Depan: Masukkan nama depan pengguna API.
- Nama Belakang: Masukkan nama belakang pengguna API.
- Sertakan dalam Pengamatan dan Positif Palsu: Centang kotak ini untuk mengizinkan data yang disediakan oleh pengguna API disertakan dalam pengamatan dan jumlah positif palsu. Lihat Melaporkan Positif Palsu untuk mengetahui informasi selengkapnya.
- Dinonaktifkan: Klik kotak centang untuk menonaktifkan akun pengguna API jika Administrator ingin mempertahankan integritas log saat pengguna API tidak lagi memerlukan akses ThreatConnect.
Catat Secret Key, karena tidak akan dapat diakses setelah jendela ditutup.
Klik tombol SIMPAN untuk membuat akun pengguna API.
Mengonfigurasi integrasi ThreatConnect di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Memperkaya Entitas
Deskripsi
Memperkaya alamat IP, host, URL, dan hash dengan informasi dari ThreatConnect.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Pemilik | String | T/A | Nama pemilik untuk mengambil data. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Filehash
- URL
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| securityLabels | Menampilkan apakah ada di hasil JSON |
| pemilik | Menampilkan apakah ada di hasil JSON |
| korban | Menampilkan apakah ada di hasil JSON |
| tags | Menampilkan apakah ada di hasil JSON |
| general | Menampilkan apakah ada di hasil JSON |
| pengamatan | Menampilkan apakah ada di hasil JSON |
| grup | Menampilkan apakah ada di hasil JSON |
| indikator | Menampilkan apakah ada di hasil JSON |
| atribut | Menampilkan apakah ada di hasil JSON |
| observationCount | Menampilkan apakah ada di hasil JSON |
| victimAsset | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_enriched | Benar/Salah | is_enriched:False |
Hasil JSON
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.