ThreatQ
Versão da integração: 12.0
Notas da versão
Os clientes que têm uma versão PS da integração do ThreatQ precisam atualizar os playbooks para se alinhar à nova versão da integração. "Receber detalhes do incidente" não vai enriquecer entidades. Em vez disso, temos outras ações para essa finalidade.
Configurar a integração do ThreatQ no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | Desmarcado | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | Desmarcado | Não | Descrição da instância. |
| ServerAddress | String | xx.xx.xx.xx | Sim | Endereço da instância do ThreatQ. |
| ClientId | String | N/A | Sim | ClientId para a API ThreatQ. |
| Nome de usuário | String | N/A | Sim | E-mail do usuário. |
| Senha | Senha | N/A | Sim | A senha do usuário correspondente. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
EnrichCVE
Descrição
Enriqueça uma CVE usando informações do ThreatQ.
Parâmetros
| Nome | Tipo | Padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade será marcada como suspeita. |
| Mostrar origens | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela extra com fontes relacionadas. |
| Mostrar comentários | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar outra tabela com comentários relacionados. |
| Mostrar atributos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela adicional com atributos relacionados. |
| Marcar entidades na lista de permissões como suspeitas | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai marcar as entidades como suspeitas se elas ultrapassarem o limite permitido, mesmo que estejam na lista de permissões do ThreatQ. |
Executar em
Essa ação é executada na entidade CVE.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Descrição
Enriqueça um endereço de e-mail usando informações do ThreatQ.
Parâmetros
| Nome | Tipo | Padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade será marcada como suspeita. |
| Mostrar origens | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela extra com fontes relacionadas. |
| Mostrar comentários | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar outra tabela com comentários relacionados. |
| Mostrar atributos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela adicional com atributos relacionados. |
| Marcar entidades na lista de permissões como suspeitas | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai marcar as entidades como suspeitas se elas ultrapassarem o limite permitido, mesmo que estejam na lista de permissões do ThreatQ. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Descrição
Enriqueça um hash usando informações do ThreatQ.
Parâmetros
| Nome | Tipo | Padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade será marcada como suspeita. |
| Mostrar origens | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela extra com fontes relacionadas. |
| Mostrar comentários | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar outra tabela com comentários relacionados. |
| Mostrar atributos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela adicional com atributos relacionados. |
| Marcar entidades na lista de permissões como suspeitas | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai marcar as entidades como suspeitas se elas ultrapassarem o limite permitido, mesmo que estejam na lista de permissões do ThreatQ. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Enriquecer IP
Descrição
Enriqueça um IP usando informações do ThreatQ.
Parâmetros
| Nome | Tipo | Padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade será marcada como suspeita. |
| Mostrar origens | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela extra com fontes relacionadas. |
| Mostrar comentários | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar outra tabela com comentários relacionados. |
| Mostrar atributos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela adicional com atributos relacionados. |
| Marcar entidades na lista de permissões como suspeitas | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai marcar as entidades como suspeitas se elas ultrapassarem o limite permitido, mesmo que estejam na lista de permissões do ThreatQ. |
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
Aperfeiçoar URL
Descrição
Enriqueça um URL usando informações do ThreatQ.
Parâmetros
| Nome | Tipo | Padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade será marcada como suspeita. |
| Mostrar origens | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela extra com fontes relacionadas. |
| Mostrar comentários | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar outra tabela com comentários relacionados. |
| Mostrar atributos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar uma tabela adicional com atributos relacionados. |
| Marcar entidades na lista de permissões como suspeitas | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai marcar as entidades como suspeitas se elas ultrapassarem o limite permitido, mesmo que estejam na lista de permissões do ThreatQ. |
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Receber detalhes do indicador
Descrição
Receba os detalhes de um endereço IP em formato CSV.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| null | N/A | N/A |
Ping
Descrição
Verifica se o usuário tem uma conexão com o ThreatQ pelo dispositivo dele.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connect | Verdadeiro/Falso | is_connect:False |
Criar indicador
Descrição
Crie um indicador no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de indicador | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço Hash de arquivo SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo do novo indicador. |
| Status | DDL | Ativo Valores possíveis: Ativo Expirado Indireto Revisão Permitido |
Sim | Especifique o status do novo indicador. |
| Descrição | String | N/A | Não | Especifique a descrição do novo indicador. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: se for bem-sucedido e pelo menos uma das entidades fornecidas criar um indicador (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Se não for possível criar indicadores com base nas entidades específicas(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): print: "Nenhum indicador foi criado." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Create Indicator". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Criar adversário
Descrição
Crie um adversário no ThreatQ.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "User".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: if successful and at least one of the provided entities successfully created an adversary (is_success = true): Se não for possível criar adversários com base nas entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhum adversário foi enriquecido." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Create Adversary". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Criar evento
Descrição
Crie um evento no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Título | String | N/A | Sim | Especifique o título do evento. |
| Tipo de evento | DDL | Spearphishing Valores possíveis: Spearphishing Watering Hole Ataque de injeção SQL Ataque DoS Malware Lista de interesses Comando e controle Anonimização Exfiltração Características do host Certificado da ICP comprometido Comprometimento de login Incidente Avistamento |
Sim | Especifique o tipo de evento. |
| Ocorrido em | String | N/A | Sim | Especifique quando o evento aconteceu. Se nada for inserido nesse campo, a ação vai usar a hora atual. Formato: AAAA-MM-DD hh:mm:ss |
Executar em
Essa ação não é executada em tipos de entidade.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se a criação do evento falhar (is_success = false): Impressão: "O evento '{0}' não foi criado no ThreatQ. Motivo: {1}".format(title, errors/[0].value) A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Create Event". Motivo: {0}''.format(error.Stacktrace) Se o formato de hora estiver incorreto: print "Error executing action "Create Event". Motivo: um formato de hora incorreto foi transmitido ao parâmetro de ação "Ocorrência". Precisa ser AAAA-MM-DD hh:mm:ss.'' |
Geral |
Adicionar atributo
Descrição
A ação adiciona um atributo ao objeto.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura TTP Vulnerabilidade |
Sim | Especifique a qual tipo de objeto o atributo deve ser adicionado. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo de indicador. Esse parâmetro só é usado se o tipo de objeto for "Indicador". |
| Nome do atributo | String | N/A | Sim | Especifique o nome do atributo. |
| Attribute Value | String | N/A | Sim | Especifique o valor do atributo |
| Origem do atributo | String | N/A | Não | Especifique a origem do atributo. |
Executar em
Essa ação não é executada em tipos de entidade.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) Se houver um erro geral (is_success = false): Print "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro: print "Error executing action "Add Attribute". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar origem
Descrição
A ação adiciona uma origem ao objeto.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura TTP Vulnerabilidade |
Sim | Especifique a qual tipo de objeto a origem deve ser adicionada. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo de indicador. Esse parâmetro só é usado se o tipo de objeto for "Indicador". |
| Nome da origem | String | N/A | Sim | Especifique o nome da origem. |
Executar em
Essa ação não é executada em tipos de entidade.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Se houver um erro geral (is_success = false): Print "Action was not able to add source {0} to the ThreatQ object.".format(Source Name) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro: print "Error executing action "Add Source". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Vincular entidades
Descrição
A ação vincula todas as entidades no ThreatQ.
Executar em
Essa ação é executada nas seguintes entidades:
- CVE
- Endereço IP
- URL
- Filehash
- Usuário
- Todas as entidades que correspondem à regex de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a vinculação for bem-sucedida e pelo menos uma das entidades fornecidas for vinculada (is_success = true): Se não for possível listar objetos relacionados a entidades específicas(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhuma entidade foi vinculada." Se apenas uma entidade for fornecida: A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Link Entities". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Vincular entidades ao objeto
Descrição
A ação vincula todas as entidades no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto ao qual você quer vincular entidades. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto a que você quer vincular as entidades. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo do indicador ao qual você quer vincular entidades. Esse parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
Executar em
Essa ação é executada nas seguintes entidades:
- CVE
- Endereço IP
- URL
- Filehash
- Usuário
- Todas as entidades que correspondem à regex de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o objeto não foi encontrado (is_success = false): Impressão: "Nenhuma entidade foi vinculada ao objeto '{0}' com o valor '{1}'. Motivo: o objeto "{0}" com o valor "{1}" não foi encontrado no ThreatQ.".format(Object Type, Object Value) Se for bem-sucedido e pelo menos uma das entidades fornecidas for vinculada (is_success = true): Se não for possível listar objetos relacionados a entidades específicas(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): Print: "Nenhuma entidade foi vinculada ao objeto '{0}' com o valor '{1}'.".format(Object Type, Object Identifier) A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Link Entities To Object". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Objetos de link
Descrição
Uma ação vincula dois objetos no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto de origem | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de origem. |
| Identificador do objeto de origem | String | N/A | Sim | Especifique o identificador do objeto de origem. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador de origem | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de origem. Esse parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
| Tipo de objeto de destino | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de destino. |
| Identificador do objeto de destino | String | N/A | Sim | Especifique o identificador do objeto de destino. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador de destino | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de destino. Esse parâmetro só é usado se o tipo de objeto de destino for "Indicador". |
Executar em
Essa ação não é executada em tipos de entidade.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: if successful (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Se houver um erro geral (is_success = false): print "Não foi possível vincular objetos no ThreatQ." A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro: print "Error executing action "Link Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Listar objetos relacionados
Descrição
As listas de ações relacionadas a objetos no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto de origem | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de origem. |
| Identificador do objeto de origem | String | N/A | Sim | Especifique o identificador do objeto de origem. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário etc. |
| Tipo de indicador de origem | DDL | ASN Valores possíveis: ASN String binária Bloco de CIDR CVE Endereço de e-mail Anexo de e-mail Assunto do e-mail Mapeamento de arquivos Caminho do arquivo Nome do arquivo FQDN Hash difuso Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Senha Chave de registro Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho do URL User-agent Nome de usuário X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de origem. Esse parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
| Tipo de objeto relacionado | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto relacionado que precisa ser retornado. |
| Número máximo de objetos relacionados a serem retornados | Número inteiro | 50 | Não | Especifique quantos objetos relacionados serão retornados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: if successful (is_success = true): Se o objeto de origem não foi encontrado (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Se não houver objetos relacionados para o tipo de objeto relacionado (is_success=false): Imprima "Nenhum objeto {0} relacionado foi encontrado.".format(Related Object Type) Se houver um erro geral (is_success = false): Imprima "Não foi possível listar objetos relacionados no ThreatQ". A ação precisa falhar e interromper a execução de um playbook: se houver um erro fatal, como credenciais incorretas, nenhuma conexão com o servidor , outro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tabela do painel de casos (Tipo de objeto=Evento) |
Nome da tabela:objetos "Evento" relacionados Colunas da tabela:
|
Geral |
Tabela do painel de casos (Tipo de objeto=Arquivo) |
Nome da tabela:objetos "Arquivo" relacionados Colunas da tabela:
|
Geral |
Tabela do painel de casos (Tipo de objeto=Adversário) |
Nome da tabela:objetos relacionados de "Adversário" Colunas da tabela:
|
Geral |
Tabela do painel de casos (Todos os outros tipos de objeto) |
Nome da tabela: "Objetos relacionados de '{0}'".format(Destination Object Type) Colunas da tabela:
|
Geral |
Listar objetos relacionados a entidades
Descrição
Ação lista objetos relacionados a entidades no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto relacionado | DDL | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Curso de ação Evento Exploit Target Arquivo Identidade Incidente Indicador Conjunto de intrusão Malware Denunciar Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto relacionado que precisa ser retornado. |
| Número máximo de objetos relacionados a serem retornados | Número inteiro | 50 | Não | Especifique quantos objetos relacionados serão retornados. O máximo é 1.000. Essa é uma limitação do ThreatQ. |
Executar em
Essa ação é executada em todos os tipos de entidade.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | ID | Se disponível no resultado em JSON. |
| TQ_related_{0}_value.format(Related object type) | como valor. Se o tipo de objeto relacionado for "evento" e "arquivo": título Se o tipo de objeto relacionado for "adversário": nome |
Se disponível no resultado em JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e pelo menos uma das entidades fornecidas criar um indicador (is_success = true): Se não for possível listar objetos relacionados a entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhum objeto relacionado foi listado". A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tabela do painel de casos (Tipo de objeto=Evento) |
Nome da tabela:objetos "Event" relacionados para {identificador da entidade} Colunas da tabela:
|
Geral |
Tabela do painel de casos (Tipo de objeto=Arquivo) |
Nome da tabela:objetos "File" relacionados para {identificador da entidade} Colunas da tabela:
|
Geral |
Tabela do painel de casos (Tipo de objeto=Adversário) |
Nome da tabela:objetos relacionados de "Adversário" para {identificador da entidade} Colunas da tabela:
|
Geral |
Tabela do painel de casos (Todos os outros tipos de objeto) |
Nome da tabela: "Objetos relacionados de '{0}' para {entity identifier}".format(Destination Object Type) Colunas da tabela:
|
Geral |
Criar objeto
Descrição
Crie um objeto no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | DDL | Padrão de ataque Valores possíveis: Padrão de ataque Campanha Curso de ação Exploit Target Identidade Incidente Conjunto de intrusão Malware Denunciar Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto. |
| Valor | String | N/A | Sim | Especifique o valor do novo objeto. |
| Descrição | String | N/A | Não | Especifique uma descrição para o novo objeto. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | ID | Se disponível no resultado em JSON. |
| TQ_related_{0}_value.format(Related object type) | como valor. Se o tipo de objeto relacionado for "evento" e "arquivo": título Se o tipo de objeto relacionado for "adversário": nome |
Se disponível no resultado em JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se não for possível criar uma nova ação (is_success = false): Print: "Não foi possível criar um novo objeto {0} no ThreatQ.".format(object_type) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro: print "Error executing action "Create Object". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber detalhes do malware
Descrição
A ação retorna informações sobre malware com base em entidades do ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Informações adicionais | String | N/A | Não | Especifique quais campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_malware_id | ID | Se disponível no resultado em JSON. |
| TQ_malware_status_id | status_id | Se disponível no resultado em JSON. |
| TQ_malware_type_id | type_id | Se disponível no resultado em JSON. |
| TQ_malware_description | descrição | Se disponível no resultado em JSON. |
| TQ_malware_created_at | created_at | Se disponível no resultado em JSON. |
| TQ_malware_updated_at | updated_at | Se disponível no resultado em JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas tiver sido enriquecida (is_success = true): Se não for possível listar objetos relacionados a entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida." A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro: print "Error executing action "Get Malware Details". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Link | Nome:detalhes de {entity} Link:https://{server_ip}malware/{id}/details |
Listar eventos
Descrição
Listar eventos do ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, fontes, spearphish, tags, tipo, lista de observação. | Não | Especifique quais campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Campo de classificação | DDL | ID Valores possíveis: ID Título Criado em Atualização em Ocorrido em |
Não | Especifique qual campo deve ser usado para classificar eventos. |
| Direção de classificação | DDL | Crescente Valores possíveis: crescente Decrescente |
Não | Especifique a direção da classificação. |
| Número máximo de eventos a serem retornados | Número inteiro | 50 | Não | Especifique quantos eventos retornar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: se a operação for bem-sucedida e os dados estiverem disponíveis (is_success=true): print "Successfully listed ThreatQ events." Se falhar em nenhum evento (is_success=false): print "Nenhum evento foi encontrado no ThreatQ." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "List Events". Motivo: {0}''.format(error.Stacktrace) Se um campo inválido for especificado no parâmetro "Additional Fields": print "Error executing action "List Events". Motivo: um campo inválido foi especificado no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela:Eventos do ThreatQ Coluna da tabela:
|
Geral |
Listar indicadores
Descrição
Listar indicadores do ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, fontes, spearphish, tags, tipo, lista de observação. | Não | Especifique quais campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de classificação | DDL | ID Valores possíveis: ID Título Criado em Atualização em Ocorrido em |
Não | Especifique qual campo deve ser usado para classificar indicadores. |
| Direção de classificação | DDL | Crescente Valores possíveis: crescente Decrescente |
Não | Especifique a direção da classificação. |
| Número máximo de eventos a serem retornados | Número inteiro | 50 | Não | Especifique quantos indicadores serão retornados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: se a operação for bem-sucedida e os dados estiverem disponíveis (is_success=true): print "Successfully listed ThreatQ adversaries." Se não houver dados disponíveis (is_success=false): print "Nenhum adversário foi encontrado no ThreatQ." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "List Adversaries". Motivo: {0}''.format(error.Stacktrace) Se um campo inválido for especificado no parâmetro "Additional Fields": print "Error executing action "List Adversaries". Motivo: um campo inválido foi especificado no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela:Indicadores do ThreatQ Coluna da tabela:
|
Geral |
Listar adversários
Descrição
Liste adversários do ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, fontes, spearphish, tags, tipo, lista de observação. | Não | Especifique quais campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de classificação | DDL | ID Valores possíveis: ID Título Criado em Atualização em Ocorrido em |
Não | Especifique qual campo deve ser usado para classificar os adversários. |
| Direção de classificação | DDL | Crescente Valores possíveis: crescente Decrescente |
Não | Especifique a direção da classificação. |
| Número máximo de eventos a serem retornados | Número inteiro | 50 | Não | Especifique quantos indicadores serão retornados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: se a operação for bem-sucedida e os dados estiverem disponíveis (is_success=true): print "Successfully listed ThreatQ indicators." Se não houver dados disponíveis (is_success=false): print "No indicators were found in ThreatQ." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "List Indicators". Motivo: {0}''.format(error.Stacktrace) Se um campo inválido for especificado no parâmetro "Additional Fields": print "Error executing action "List Indicators". Motivo: um campo inválido foi especificado no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela:Indicadores do ThreatQ Coluna da tabela:
|
Geral |
Atualizar o status do indicador
Descrição
A ação atualiza o status do indicador no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Status | DDL | Ativo Valores possíveis: Ativo Expirado Indireto Revisão Permitido |
Verdadeiro | Especifique o novo status do indicador. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se o indicador não foi encontrado (is_success = false): Se houver uma falha de erro geral(is_success = false): Print: "Não foi possível atualizar o status do indicador com o valor '{0}' no ThreatQ.".format(valor do indicador) A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Update Indicator Status". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar pontuação do indicador
Descrição
A ação atualiza a pontuação do indicador no ThreatQ.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Pontuação | DDL | "7 - Médio" Valores possíveis: "0 - Muito baixa" "1 - Muito baixo" "2 - Muito baixa" "3 - Muito baixa" "4 - Muito baixo" "5 - Baixa" "6 - Baixa" "7 - Médio" "8 - Médio" "9 - Alto" "10 - Muito alto" |
Sim | Especifique a nova pontuação do indicador. |
| Validação de pontuação | DDL | Pontuação mais alta Valores possíveis: Pontuação mais alta Forçar atualização |
Sim | Especifique o tipo de validação de pontuação a ser usado. Se "Pontuação mais alta" for especificado, a ação vai comparar os valores atuais e atualizar apenas a pontuação do indicador se a pontuação especificada for maior que a pontuação manual e gerada atual. Se "Atualização forçada" for especificada, a ação vai atualizar a pontuação do indicador sem comparar os valores atuais. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success = true): Se "Validação da pontuação" == "Pontuação mais alta" e a pontuação especificada no parâmetro de ação for menor que as atuais: (is_success = false): print "A ação não atualizou a pontuação do indicador com o valor '{0}' no ThreatQ. Motivo: a pontuação atual é maior.".format(indicator value) Se o indicador não foi encontrado (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Motivo: o indicador com valor "{0}" e tipo "{1}" não foi encontrado no ThreatQ.".format(indicator value, indicator type) Se houver uma falha de erro geral(is_success = false): Print: "Action was not able to update score for the indicator with value '{0}' in ThreatQ.".format(indicator value) A ação precisa falhar e interromper a execução de um playbook: se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outros: print "Error executing action "Update Indicator Score". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.