ThreatCrowd

Questo documento fornisce indicazioni su come integrare ThreatCrowd con Google SecOps.

Configura l'integrazione di ThreatCrowd in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Azioni

Arricchisci le entità

Descrizione

Identifica rapidamente le infrastrutture e il malware correlati.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica: quando applicarla
permalink	Restituisce se esiste nel risultato JSON
response_code	Restituisce se esiste nel risultato JSON
voti	Restituisce se esiste nel risultato JSON
cliente	Restituisce se esiste nel risultato JSON
hash	Restituisce se esiste nel risultato JSON
risoluzioni	Restituisce se esiste nel risultato JSON
dominio	Restituisce se esiste nel risultato JSON
last_resolved	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

[
    {
        "EntityResult": {
            "permalink": "https: //www.threatcrowd.org/ip.php?ip=1.1.1.1",
            "response_code": "1",
            "votes": -1,
            "references": [
                "http: //www.talosintelligence.com/feeds/ip-filter.blf",
                "https: //check.torproject.org/exit-addresses",
                "https: //otx.alienvault.com/pulse/56714a2867db8c3f8a46fe95/"
            ],
            "hashes": [],
            "resolutions": [{
                "domain": "afplink.net",
                "last_resolved": "2016-06-24"
            },{
                "domain": "jabber.zwiebeltoralf.de",
                "last_resolved": "2016-12-28"
            }]},
        "Entity": "1.1.1.1"
    }
]

Dindin