ThreatConnect
統合バージョン: 11.0
Google Security Operations と連携するように ThreatConnect を構成する
組織の設定: メンバーシップ
API アクセス ID とシークレット キーを取得し、デフォルトの API 組織を設定するには、まず組織に API ユーザーを追加する必要があります。これらの構成は、ThreatConnect インターフェースの [Settings] > [Org Settings] で確認できます。
API ユーザーの作成
- [組織の設定] 画面の [メンバーシップ] タブで、[API ユーザーを作成] ボタンをクリックします。
次のフィールドに入力して、API ユーザー アカウントを作成して構成します。
- First Name: API ユーザーの名を入力します。
- Last Name: API ユーザーの姓を入力します。
- Include in Observations and False Positives: API ユーザーから提供されたデータをモニタリングと誤検出のカウントに含めるには、このチェックボックスをオンにします。詳しくは、誤検出の報告をご覧ください。
- Disabled: API ユーザーが ThreatConnect へのアクセスを必要としなくなったときに、管理者がログの完全性を保持する場合は、チェックボックスをオンにして API ユーザーのアカウントを無効にします。
ウィンドウを閉じるとアクセスできなくなるため、シークレット キーを記録します。
[保存] ボタンをクリックして、API ユーザー アカウントを作成します。
Google SecOps で ThreatConnect の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
エンティティの拡充
説明
ThreatConnect の情報を使用して、IP アドレス、ホスト、URL、ハッシュを拡充します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| オーナー名 | 文字列 | なし | データを取得するオーナーの名前。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- Filehash
- URL
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| securityLabels | JSON の結果に存在する場合に返す |
| オーナー | JSON の結果に存在する場合に返す |
| 被害者 | JSON の結果に存在する場合に返す |
| tags | JSON の結果に存在する場合に返す |
| 全般 | JSON の結果に存在する場合に返す |
| 観測 | JSON の結果に存在する場合に返す |
| グループ | JSON の結果に存在する場合に返す |
| indicators | JSON の結果に存在する場合に返す |
| 属性 | JSON の結果に存在する場合に返す |
| observationCount | JSON の結果に存在する場合に返す |
| victimAsset | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON の結果
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。