ThreatConnect
整合版本:11.0
設定 ThreatConnect 以與 Google Security Operations 搭配使用
機構設定:成員
如要取得 API 存取 ID、密鑰及設定預設 API 機構,請先在機構中新增 API 使用者。如要進行這些設定,請前往 ThreatConnect 介面的「設定」>「機構設定」。
建立 API 使用者
- 在「Organization Settings」(機構設定) 畫面中的「Membership」(成員資格) 分頁標籤上,按一下「Create API User」(建立 API 使用者) 按鈕。
填寫下列欄位,建立及設定 API 使用者帳戶:
- 名字:輸入 API 使用者的名字。
- 姓氏:輸入 API 使用者的姓氏。
- 納入觀察結果和誤判:勾選這個方塊,允許將 API 使用者提供的資料納入觀察結果和誤判次數。詳情請參閱「回報誤判」。
- 已停用:如果管理員希望在 API 使用者不再需要 ThreatConnect 存取權時,保留記錄完整性,請按一下核取方塊停用 API 使用者的帳戶。
請記下密鑰,因為關閉視窗後就無法再存取。
按一下「儲存」按鈕,建立 API 使用者帳戶。
在 Google SecOps 中設定 ThreatConnect 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
充實實體
說明
使用 ThreatConnect 的資訊,豐富 IP 位址、主機、網址和雜湊。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 擁有者名稱 | 字串 | 不適用 | 要從中擷取資料的擁有者名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- Filehash
- 網址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| securityLabels | 如果 JSON 結果中存在該值,則傳回該值 |
| 擁有者 | 如果 JSON 結果中存在該值,則傳回該值 |
| 受害者 | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| 一般 | 如果 JSON 結果中存在該值,則傳回該值 |
| 觀察 | 如果 JSON 結果中存在該值,則傳回該值 |
| 群組 | 如果 JSON 結果中存在該值,則傳回該值 |
| 指標 | 如果 JSON 結果中存在該值,則傳回該值 |
| 屬性 | 如果 JSON 結果中存在該值,則傳回該值 |
| observationCount | 如果 JSON 結果中存在該值,則傳回該值 |
| victimAsset | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON 結果
[
{
"EntityResult": {
"securityLabels": {
"securityLabel": [],
"resultCount": 0
},
"owners": {
"owner": [{
"type": "Organization",
"id": 440,
"name": "S"
}]},
"victims": {
"resultCount": 0,
"victim": []
},
"tags": [
"C2",
"Malware"
],
"general": {
"url": {
"rating": 5.0,
"confidence": 100,
"dateAdded": "2018-01-09T20: 12: 11Z",
"description": "URLAssociatedwithCryptoLockerC2Servers",
"threatAssessConfidence": 93.33,
"lastModified": "2018-01-09T20: 13: 24Z",
"threatAssessRating": 4.33,
"webLink": "https: //sandbox.threatconnect.com/auth/indicators/details/url.xhtml?orgid=43743075&owner=S",
"text": "http: //markossolomon.com/f1q7qx.php",
"owner": {
"type": "Organization",
"id": 440,
"name": "S"
},
"id": 43743075
}},
"observations": {
"resultCount": 0,
"observation": []
},
"groups": null,
"indicators": {
"indicator": [],
"resultCount": 0
},
"attributes": {
"Description": ["URLAssociatedwithCryptoLockerC2Servers"]
},
"observationCount": {
"observationCount":
{
"count": 0
}},
"victimAssets": {
"victimAsset": [],
"resultCount": 0
}},
"Entity": "HTTP: //MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。