ThreatCrowd

本文档提供了有关如何将 ThreatCrowd 与 Google SecOps 集成的指南。

在 Google Security Operations 中配置 ThreatCrowd 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

操作

丰富实体

说明

快速识别相关基础设施和恶意软件。

参数

不适用

使用场景

不适用

Run On

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

扩充项字段名称	逻辑 - 应用场景
固定链接	如果存在于 JSON 结果中，则返回
response_code	如果存在于 JSON 结果中，则返回
投票	如果存在于 JSON 结果中，则返回
references	如果存在于 JSON 结果中，则返回
hashes	如果存在于 JSON 结果中，则返回
分辨率	如果存在于 JSON 结果中，则返回
域名	如果存在于 JSON 结果中，则返回
last_resolved	如果存在于 JSON 结果中，则返回

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[
    {
        "EntityResult": {
            "permalink": "https: //www.threatcrowd.org/ip.php?ip=1.1.1.1",
            "response_code": "1",
            "votes": -1,
            "references": [
                "http: //www.talosintelligence.com/feeds/ip-filter.blf",
                "https: //check.torproject.org/exit-addresses",
                "https: //otx.alienvault.com/pulse/56714a2867db8c3f8a46fe95/"
            ],
            "hashes": [],
            "resolutions": [{
                "domain": "afplink.net",
                "last_resolved": "2016-06-24"
            },{
                "domain": "jabber.zwiebeltoralf.de",
                "last_resolved": "2016-12-28"
            }]},
        "Entity": "1.1.1.1"
    }
]

Ping

说明

测试连接。

参数

不适用

使用场景

不适用

Run On

此操作会针对所有实体运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_connect	True/False	is_connect:False

JSON 结果

N/A