ThreatConnect

Versão da integração: 11.0

Configure o ThreatConnect para funcionar com o Google Security Operations

Definições da organização: inscrição

Para obter o ID de acesso à API, a chave secreta e configurar uma organização de API predefinida, primeiro tem de adicionar um utilizador da API na organização. Estas configurações encontram-se em Definições > Definições da organização na interface do ThreatConnect.

Criar um utilizador da API

  1. Clique no botão Criar utilizador da API no separador Inscrição do ecrã Definições da organização.

  2. Preencha os seguintes campos para criar e configurar a conta de utilizador da API:

    • Nome próprio: introduza o nome próprio do utilizador da API.
    • Apelido: introduza o apelido do utilizador da API.
    • Incluir em observações e falsos positivos: selecione esta caixa para permitir que os dados fornecidos pelo utilizador da API sejam incluídos nas contagens de observações e falsos positivos. Consulte o artigo Denunciar falsos positivos para mais informações.
    • Desativado: clique na caixa de verificação para desativar a conta de um utilizador da API caso o administrador pretenda manter a integridade do registo quando o utilizador da API já não precisar de acesso ao ThreatConnect.

  3. Registe a chave secreta, uma vez que não vai estar acessível depois de fechar a janela.

  4. Clique no botão GUARDAR para criar a conta de utilizador da API.

Configure a integração do ThreatConnect no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Ações

Enriquecer entidades

Descrição

Enriqueça endereços IP, anfitriões, URLs e hashes com informações do ThreatConnect.

Parâmetros

Parâmetro Tipo Valor predefinido Descrição
Nome do proprietário String N/A Nome do proprietário a partir do qual obter os dados.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Filehash
  • URL
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
securityLabels Devolve se existir no resultado JSON
proprietários Devolve se existir no resultado JSON
vítimas Devolve se existir no resultado JSON
etiquetas Devolve se existir no resultado JSON
geral Devolve se existir no resultado JSON
observações Devolve se existir no resultado JSON
groups Devolve se existir no resultado JSON
indicadores Devolve se existir no resultado JSON
atributos Devolve se existir no resultado JSON
observationCount Devolve se existir no resultado JSON
victimAsset Devolve se existir no resultado JSON
Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_enriched Verdadeiro/Falso is_enriched:False
Resultado JSON
[
    {
        "EntityResult": {
            "securityLabels": {
                "securityLabel": [],
                "resultCount": 0
            },
            "owners": {
                "owner": [{
                    "type": "Organization",
                    "id": 440,
                    "name": "S"
                }]},
            "victims": {
                "resultCount": 0,
                "victim": []
            },
            "tags": [
                "C2",
                "Malware"
            ],
            "general": {
                "url": {
                    "rating": 5.0,
                    "confidence": 100,
                    "dateAdded": "2018-01-09T20: 12: 11Z",
                    "description": "URLAssociatedwithCryptoLockerC2Servers",
                    "threatAssessConfidence": 93.33,
                    "lastModified": "2018-01-09T20: 13: 24Z",
                    "threatAssessRating": 4.33,
                    "webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
                    "text": "http: //markossolomon.com/f1q7qx.php",
                    "owner": {
                        "type": "Organization",
                        "id": 440,
                        "name": "S"
                    },
                    "id": 43743075
                }},
            "observations": {
                "resultCount": 0,
                "observation": []
            },
            "groups": null,
            "indicators": {
                "indicator": [],
                "resultCount": 0
            },
            "attributes": {
                "Description": ["URLAssociatedwithCryptoLockerC2Servers"]
            },
            "observationCount": {
                "observationCount":
                {
                    "count": 0
                }},
            "victimAssets": {
                "victimAsset": [],
                "resultCount": 0
            }},
        "Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Tchim-tchim

Descrição

Testar conetividade.

Parâmetros

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
N/A

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.