ThreatConnect
集成版本:11.0
配置 ThreatConnect 以与 Google Security Operations 搭配使用
组织设置:会员
如需获取 API 访问 ID、密钥并设置默认 API 组织,您首先需要在组织中添加 API 用户。您可以在 ThreatConnect 界面中的设置 > 组织设置中找到这些配置。
创建 API 用户
- 在组织设置屏幕的会员标签页上,点击 Create API User(创建 API 用户)按钮。
填写以下字段,以创建和配置 API 用户账号:
- First Name:输入 API 用户的名字。
- Last Name:输入 API 用户的姓氏。
- 纳入观测结果和误报:选中此复选框可允许将 API 用户提供的数据纳入观测结果和误报计数中。如需了解详情,请参阅报告误报。
- 已停用:如果管理员希望在 API 用户不再需要 ThreatConnect 访问权限时保持日志完整性,请点击相应复选框以停用 API 用户的账号。
记录密钥,因为关闭窗口后将无法再访问该密钥。
点击保存按钮以创建 API 用户账号。
在 Google SecOps 中配置 ThreatConnect 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
丰富实体
说明
使用 ThreatConnect 中的信息丰富 IP 地址、主机、网址和哈希值。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 所有者姓名 | 字符串 | 不适用 | 要从中提取数据的资源所有者名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- Filehash
- 网址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| securityLabels | 返回 JSON 结果中是否存在相应值 |
| 所有者 | 返回 JSON 结果中是否存在相应值 |
| 受害者 | 返回 JSON 结果中是否存在相应值 |
| 标签 | 返回 JSON 结果中是否存在相应值 |
| general | 返回 JSON 结果中是否存在相应值 |
| 观察结果 | 返回 JSON 结果中是否存在相应值 |
| groups | 返回 JSON 结果中是否存在相应值 |
| 指标 | 返回 JSON 结果中是否存在相应值 |
| 属性 | 返回 JSON 结果中是否存在相应值 |
| observationCount | 返回 JSON 结果中是否存在相应值 |
| victimAsset | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON 结果
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
说明
测试连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。