ThreatConnect
Versione integrazione: 11.0
Configura ThreatConnect in modo che funzioni con Google Security Operations
Impostazioni dell'organizzazione: iscrizione
Per ottenere l'ID accesso API, la chiave segreta e configurare un'organizzazione API predefinita, devi prima aggiungere un utente API nell'organizzazione. Queste configurazioni si trovano in Impostazioni > Impostazioni organizzazione nell'interfaccia di ThreatConnect.
Creazione di un utente API
- Fai clic sul pulsante Crea utente API nella scheda Abbonamento della schermata Impostazioni dell'organizzazione.
Compila i seguenti campi per creare e configurare l'account utente API:
- Nome:inserisci il nome dell'utente API.
- Cognome:inserisci il cognome dell'utente API.
- Includi in Osservazioni e falsi positivi:seleziona questa casella per consentire l'inclusione dei dati forniti dall'utente dell'API nei conteggi di osservazioni e falsi positivi. Per ulteriori informazioni, consulta la sezione Segnalazione di falsi positivi.
- Disattivato:fai clic sulla casella di controllo per disattivare l'account di un utente API nel caso in cui l'amministratore voglia mantenere l'integrità dei log quando l'utente API non richiede più l'accesso a ThreatConnect.
Registra la Secret Key, perché non sarà accessibile dopo la chiusura della finestra.
Fai clic sul pulsante SALVA per creare l'account utente API.
Configura l'integrazione di ThreatConnect in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Arricchisci entità
Descrizione
Arricchisci indirizzi IP, host, URL e hash con informazioni provenienti da ThreatConnect.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome proprietario | Stringa | N/D | Nome del proprietario da cui recuperare i dati. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Filehash
- URL
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| securityLabels | Restituisce se esiste nel risultato JSON |
| proprietari | Restituisce se esiste nel risultato JSON |
| vittime | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| generale | Restituisce se esiste nel risultato JSON |
| osservazioni | Restituisce se esiste nel risultato JSON |
| gruppi | Restituisce se esiste nel risultato JSON |
| indicatori | Restituisce se esiste nel risultato JSON |
| attributes | Restituisce se esiste nel risultato JSON |
| observationCount | Restituisce se esiste nel risultato JSON |
| victimAsset | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_enriched | Vero/Falso | is_enriched:False |
Risultato JSON
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.