ThreatQ
集成版本:12.0
版本说明
如果客户使用的是 PS 版 ThreatQ 集成,则必须更新其 playbook,以与新的集成版本保持一致。“获取突发事件详细信息”不会丰富实体。不过,我们有其他可用于此目的的操作。
在 Google Security Operations 中配置 ThreatQ 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 尚未核查 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 尚未核查 | 否 | 实例的说明。 |
| ServerAddress | 字符串 | xx.xx.xx.xx | 是 | ThreatQ 实例的地址。 |
| ClientId | 字符串 | 不适用 | 是 | ThreatQ API 的 ClientId |
| 用户名 | 字符串 | 不适用 | 是 | 用户的电子邮件地址。 |
| 密码 | 密码 | 不适用 | 是 | 相应用户的密码。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
EnrichCVE
说明
使用 ThreatQ 信息扩充 CVE。
参数
| 名称 | 类型 | 默认 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 分数阈值 | 整数 | 5 | 否 | 为实体设置可接受的得分阈值。如果得分超过指定阈值,相应实体将被标记为可疑。 |
| 显示来源 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关来源的附加表格。 |
| 显示注释 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关评论的附加表格。 |
| 显示属性 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关属性的额外表格。 |
| 将已列入许可名单的实体标记为可疑 | 复选框 | 勾选 | 是 | 如果启用此选项,即使实体已列入 ThreatQ 的白名单,如果其通过了允许的阈值,系统也会将该实体标记为可疑。 |
运行于
此操作在 CVE 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
说明
使用 ThreatQ 信息丰富电子邮件地址。
参数
| 名称 | 类型 | 默认 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 分数阈值 | 整数 | 5 | 否 | 为实体设置可接受的得分阈值。如果得分超过指定阈值,相应实体将被标记为可疑。 |
| 显示来源 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关来源的附加表格。 |
| 显示注释 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关评论的附加表格。 |
| 显示属性 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关属性的额外表格。 |
| 将已列入许可名单的实体标记为可疑 | 复选框 | 勾选 | 是 | 如果启用此选项,即使实体已列入 ThreatQ 的白名单,如果其通过了允许的阈值,系统也会将该实体标记为可疑。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
说明
使用 ThreatQ 信息丰富哈希。
参数
| 名称 | 类型 | 默认 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 分数阈值 | 整数 | 5 | 否 | 为实体设置可接受的得分阈值。如果得分超过指定阈值,相应实体将被标记为可疑。 |
| 显示来源 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关来源的附加表格。 |
| 显示注释 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关评论的附加表格。 |
| 显示属性 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关属性的额外表格。 |
| 将已列入许可名单的实体标记为可疑 | 复选框 | 勾选 | 是 | 如果启用此选项,即使实体已列入 ThreatQ 的白名单,如果其通过了允许的阈值,系统也会将该实体标记为可疑。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
丰富 IP
说明
使用 ThreatQ 信息丰富 IP。
参数
| 名称 | 类型 | 默认 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 分数阈值 | 整数 | 5 | 否 | 为实体设置可接受的得分阈值。如果得分超过指定阈值,相应实体将被标记为可疑。 |
| 显示来源 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关来源的附加表格。 |
| 显示注释 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关评论的附加表格。 |
| 显示属性 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关属性的额外表格。 |
| 将已列入许可名单的实体标记为可疑 | 复选框 | 勾选 | 是 | 如果启用此选项,即使实体已列入 ThreatQ 的白名单,如果其通过了允许的阈值,系统也会将该实体标记为可疑。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
丰富网址
说明
使用 ThreatQ 信息丰富网址。
参数
| 名称 | 类型 | 默认 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 分数阈值 | 整数 | 5 | 否 | 为实体设置可接受的得分阈值。如果得分超过指定阈值,相应实体将被标记为可疑。 |
| 显示来源 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关来源的附加表格。 |
| 显示注释 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关评论的附加表格。 |
| 显示属性 | 复选框 | 勾选 | 否 | 如果启用,操作将返回一个包含相关属性的额外表格。 |
| 将已列入许可名单的实体标记为可疑 | 复选框 | 勾选 | 是 | 如果启用此选项,即使实体已列入 ThreatQ 的白名单,如果其通过了允许的阈值,系统也会将该实体标记为可疑。 |
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
获取指标详细信息
说明
以 CSV 格式获取 IP 地址的详细信息。
参数
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| null | 不适用 | 不适用 |
Ping
说明
验证用户是否通过自己的设备连接到 ThreatQ。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_connect | True/False | is_connect:False |
创建指示器
说明
在 ThreatQ 中创建指示器。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 文件哈希 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
是 | 指定新指标的类型。 |
| 状态 | DDL | 有效 可能的值: 有效 已过期 间接 查看 已列入白名单 |
是 | 指定新指标的状态。 |
| 说明 | 字符串 | 不适用 | 否 | 指定新指标的说明。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功,并且至少有一个提供的实体成功创建了指示器(is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) 如果未能根据特定实体创建指标(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) 如果未能丰富所有实体(is_success = false): 打印:“No indicators were created.” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "Create Indicator". 原因:{0}''.format(error.Stacktrace) |
常规 |
创建了 Adversary
说明
在 ThreatQ 中创建攻击者。
参数
不适用
运行于
此操作在 User 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功,并且至少有一个提供的实体成功创建了攻击者(is_success = true): 如果未能根据特定实体创建攻击者(is_success = true): 如果未能丰富所有实体(is_success = false): 打印:“未丰富任何对手。” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "Create Adversary". 原因:{0}''.format(error.Stacktrace) |
常规 |
创建活动
说明
在 ThreatQ 中创建事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标题 | 字符串 | 不适用 | 是 | 指定活动的标题。 |
| 事件类型 | DDL | 鱼叉式网络钓鱼 可能的值: 鱼叉式网络钓鱼 水坑 SQL 注入攻击 DoS 攻击 恶意软件 监控列表 命令与控制 匿名化 渗漏 主机特征 遭破解的 PKI 证书 登录信息泄露 突发事件 发现 |
是 | 指定事件的类型。 |
| 发生时间 | 字符串 | 不适用 | 是 | 指定事件发生的时间。如果此字段中未输入任何内容,操作将使用当前时间。格式:YYYY-MM-DD hh:mm:ss |
运行于
此操作不适用于实体类型。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true): 如果未能创建活动(is_success = false): 打印:“未在 ThreatQ 中创建事件‘{0}’。Reason: {1}".format(title, errors/[0].value) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "Create Event". 原因:{0}''.format(error.Stacktrace) 如果使用的时间格式不正确: print "Error executing action "Create Event". 原因:传递给“发生时间”操作参数的时间格式不正确。应为 YYYY-MM-DD hh:mm:ss。 |
常规 |
添加特性
说明
操作会向对象添加属性。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 TTP 漏洞 |
是 | 指定应向哪个对象类型添加属性。 |
| 对象标识符 | 字符串 | 不适用 | 是 | 指定对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
是 | 指定指标的类型。此参数仅在对象类型为“Indicator”时使用 |
| 属性名称 | 字符串 | 不适用 | 是 | 指定属性的名称。 |
| 属性值 | 字符串 | 不适用 | 是 | 指定属性的值 |
| 属性来源 | 字符串 | 不适用 | 否 | 指定属性的来源。 |
运行于
此操作不适用于实体类型。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success = true): 如果未找到对象(is_success = false): 打印:“在 ThreatQ 中未找到值为‘{1}’的‘{0}’对象。”。format(对象类型, 对象标识符) 如果出现一般性错误(is_success = false): 打印“无法将属性 {0} 添加到 ThreatQ 对象。”。format(Attribute Name) 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器等: print "Error executing action "Add Attribute". 原因:{0}''.format(error.Stacktrace) |
常规 |
添加来源
说明
此操作可向对象添加来源。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 TTP 漏洞 |
是 | 指定应向哪个对象类型添加来源。 |
| 对象标识符 | 字符串 | 不适用 | 是 | 指定对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
是 | 指定指标类型。此参数仅在对象类型为“指示器”时使用。 |
| 来源名称 | 字符串 | 不适用 | 是 | 指定来源的名称。 |
运行于
此操作不适用于实体类型。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true): 如果未找到对象(is_success = false): 打印:“在 ThreatQ 中未找到值为 '{1}' 的 '{0}' 对象。”。format(对象类型、对象值) 如果出现一般性错误(is_success = false): 打印“无法将来源 {0} 添加到 ThreatQ 对象。”。format(Source Name) 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器等: 打印“执行操作‘添加来源’时出错”。原因:{0}''.format(error.Stacktrace) |
常规 |
链接实体
说明
在 ThreatQ 中关联所有实体。
运行于
此操作适用于以下实体:
- CVE
- IP 地址
- 网址
- Filehash
- 用户
- 与电子邮件正则表达式匹配的所有实体
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少一个提供的实体已成功关联 (is_success = true): 如果未能列出特定实体的相关对象(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) 如果未能丰富所有实体(is_success = false): 打印:“No entities were linked.” 如果只提供了一个实体: 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "Link Entities". 原因:{0}''.format(error.Stacktrace) |
常规 |
将实体与对象相关联
说明
在 ThreatQ 中关联所有实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定要将实体链接到的对象类型。 |
| 对象标识符 | 字符串 | 不适用 | 是 | 指定要将实体关联到的对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
否 | 指定要将实体关联到的指标类型。仅当来源对象类型为“指标”时,才使用此参数。 |
运行于
此操作适用于以下实体:
- CVE
- IP 地址
- 网址
- Filehash
- 用户
- 与电子邮件正则表达式匹配的所有实体
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果未找到对象(is_success = false): 打印:“没有实体与值为 '{1}' 的对象 '{0}' 相关联。原因:在 ThreatQ 中未找到值为“{1}”的“{0}”对象。".format(Object Type, Object Value) 如果成功且至少一个提供的实体成功关联(is_success = true): 如果未能列出特定实体的相关对象(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) 如果未能丰富所有实体(is_success = false): 打印:“没有实体与值为‘{1}’的对象‘{0}’相关联。”。format(对象类型、对象标识符) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "Link Entities To Object". 原因:{0}''.format(error.Stacktrace) |
常规 |
链接对象
说明
此操作用于关联 ThreatQ 中的两个对象。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 源对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定源对象的类型。 |
| 源对象标识符 | 字符串 | 不适用 | 是 | 指定来源对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 来源指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
否 | 指定来源指示器的类型。仅当来源对象类型为“Indicator”时,才使用此参数。 |
| 目标对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定目标对象的类型。 |
| 目标对象标识符 | 字符串 | 不适用 | 是 | 指定目标对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 目的地指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
否 | 指定目的地指示器的类型。仅当目标对象类型为“Indicator”时,才使用此参数。 |
运行于
此操作不适用于实体类型。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success = true): 如果未找到对象(is_success = false): 打印:“在 ThreatQ 中未找到值为 '{1}' 的 '{0}' 对象。”。format(对象类型、对象值) 如果出现一般性错误(is_success = false): print "Action was not able to link objects in ThreatQ." 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器等: print "Error executing action "Link Objects". 原因:{0}''.format(error.Stacktrace) |
常规 |
列出相关对象
说明
在 ThreatQ 中列出相关对象。
参数
| 参数显示名称 | 类型 | 默认值 | 是强制性的 | 说明 |
|---|---|---|---|---|
| 源对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定源对象的类型。 |
| 源对象标识符 | 字符串 | 不适用 | 是 | 指定来源对象的标识符。例如,可以是 MD5 哈希、活动的标题、攻击者的名称等。 |
| 来源指示器类型 | DDL | ASN 可能的值: ASN 二进制字符串 CIDR 地址块 CVE 电子邮件地址 电子邮件附件 电子邮件主题 文件映射 文件路径 文件名 FQDN 模糊哈希 GOST 哈希 Hash ION IPv4 地址 IPv6 地址 MAC 地址 MD5 Mutex 密码 注册表项 服务名称 SHA-1 SHA-256 SHA-384 SHA-512 字符串 网址 网址路径 用户代理 用户名 X-Mailer x509 序列号 x509 主题 |
否 | 指定来源指示器的类型。仅当来源对象类型为“Indicator”时,才使用此参数。 |
| 相关对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定需要返回的相关对象的类型。 |
| 要返回的相关对象数量上限 | 整数 | 50 | 否 | 指定要返回的相关对象数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success = true): 如果未找到源对象 (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 如果相关对象类型没有相关对象(is_success=false): 打印“未找到任何相关的 {0} 对象。”。format(相关对象类型) 如果出现一般性错误(is_success = false): 打印“Action was not able to list related objects in ThreatQ.” 操作应失败并停止 playbook 执行: 如果出现严重错误(例如凭据错误、无法连接到服务器等),请选择“其他”: print "Error executing action "List Related Objects". 原因:{0}''.format(error.Stacktrace) |
常规 |
“案例墙”表格 (对象类型=活动) |
表名称:相关“活动”对象 表格列:
|
常规 |
“案例墙”表格 (对象类型=文件) |
表名称:相关“文件”对象 表格列:
|
常规 |
“案例墙”表格 (对象类型=攻击者) |
表格名称:相关“攻击者”对象 表格列:
|
常规 |
“案例墙”表格 (所有其他对象类型) |
表格名称:“与‘{0}’对象相关的对象”.format(目标对象类型) 表格列:
|
常规 |
列出与实体相关的对象
说明
列出 ThreatQ 中与实体相关的对象。
参数
| 参数显示名称 | 类型 | 默认值 | 是强制性的 | 说明 |
|---|---|---|---|---|
| 相关对象类型 | DDL | 敌手 可能的值: 敌手 攻击模式 宣传活动 行动方案 事件 漏洞目标 文件 身份 突发事件 指标 入侵集 恶意软件 报告 签名 任务 工具 TTP 漏洞 |
是 | 指定需要返回的相关对象的类型。 |
| 要返回的相关对象数量上限 | 整数 | 50 | 否 | 指定要返回的相关对象数量。最大值为 1000。这是 ThreatQ 的限制。 |
运行于
此操作适用于所有实体类型。
操作执行结果
实体扩充
| 扩充项字段名称 | 来源(JSON 密钥) | 逻辑 - 应用场景 |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | 如果 JSON 结果中包含此信息。 |
| TQ_related_{0}_value.format(相关对象类型) | 以显式方式初始化 GRU 状态。 如果相关对象类型为活动和文件: title 如果相关对象类型 = 敌对对象: name |
如果 JSON 结果中包含此信息。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功,并且至少一个提供的实体成功创建了指示器(is_success = true): 如果无法列出特定实体的相关对象(is_success = true): 如果未能丰富所有实体(is_success = false): 打印:“未列出任何相关对象。” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "List Related Objects". 原因:{0}''.format(error.Stacktrace) |
常规 |
“案例墙”表格 (对象类型=活动) |
表格名称:{实体标识符} 的相关“活动”对象 表格列:
|
常规 |
“案例墙”表格 (对象类型=文件) |
表名称:{实体标识符} 的相关“文件”对象 表格列:
|
常规 |
“案例墙”表格 (对象类型=攻击者) |
表名称:{实体标识符} 的相关“攻击者”对象 表格列:
|
常规 |
“案例墙”表格 (所有其他对象类型) |
表格名称:“与‘{0}’相关的对象 - {实体标识符}”。format(目标对象类型) 表格列:
|
常规 |
创建对象
说明
在 ThreatQ 中创建对象。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 对象类型 | DDL | 攻击模式 可能的值: 攻击模式 宣传活动 行动方案 漏洞目标 身份 突发事件 入侵集 恶意软件 报告 工具 TTP 漏洞 |
是 | 指定对象的类型。 |
| 值 | 字符串 | 不适用 | 是 | 指定新对象的值。 |
| 说明 | 字符串 | 不适用 | 否 | 为新对象指定说明。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 来源(JSON 密钥) | 逻辑 - 应用场景 |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | 如果 JSON 结果中包含此信息。 |
| TQ_related_{0}_value.format(相关对象类型) | 以显式方式初始化 GRU 状态。 如果相关对象类型为活动和文件: title 如果相关对象类型 = 敌对对象: name |
如果 JSON 结果中包含此信息。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true): 如果未能创建新操作(is_success = false): 打印:“Action was not able to create new {0} object in ThreatQ.”。format(object_type) 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器等: print "Error executing action "Create Object". 原因:{0}''.format(error.Stacktrace) |
常规 |
获取恶意软件详细信息
说明
操作会根据 ThreatQ 中的实体返回有关恶意软件的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 其他信息 | 字符串 | 不适用 | 否 | 指定应在响应中包含哪些其他字段。可能的值:adversaries、attackPattern、campaign、courseOfAction、attachments、attributes、comments、events、indicators、signatures、sources、status、tags、type、watchlist、exploitTarget、identity、incident、intrusionSet、malware、report、tool、ttp、vulnerability、tasks |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 来源(JSON 密钥) | 逻辑 - 应用场景 |
|---|---|---|
| TQ_malware_id | id | 如果 JSON 结果中包含此信息。 |
| TQ_malware_status_id | status_id | 如果 JSON 结果中包含此信息。 |
| TQ_malware_type_id | type_id | 如果 JSON 结果中包含此信息。 |
| TQ_malware_description | 说明 | 如果 JSON 结果中包含此信息。 |
| TQ_malware_created_at | created_at | 如果 JSON 结果中包含此信息。 |
| TQ_malware_updated_at | updated_at | 如果 JSON 结果中包含此信息。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且至少一个提供的实体成功得到了丰富(is_success = true): 如果未能列出特定实体的相关对象(is_success = true): 如果未能丰富所有实体(is_success = false): 打印:“No entities were enriched.” 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器等: print "Error executing action "Get Malware Details". 原因:{0}''.format(error.Stacktrace) |
常规 |
| 链接 | 名称:{entity} 的详细信息 Link:https://{server_ip}malware/{id}/details |
列出活动
说明
列出 ThreatQ 中的事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 其他字段 | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | 否 | 指定应在响应中包含哪些其他字段。可能的值:adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 |
| 排序字段 | DDL | ID 可能的值: ID 标题 创建时间 更新时间 发生时间 |
否 | 指定应使用哪个字段对事件进行排序。 |
| 排序方向 | DDL | 升序 可能的值:升序 降序 |
否 | 指定排序方向。 |
| 返回的事件数上限 | 整数 | 50 | 否 | 指定要返回的事件数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且有可用数据 (is_success=true): print "Successfully listed ThreatQ events." 如果失败(is_success=false): print "No events were found in ThreatQ." 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "List Events". 原因:{0}''.format(error.Stacktrace) 如果“其他字段”参数中指定了无效字段: print "Error executing action "List Events". 原因:在“其他字段”参数中指定了无效字段。'''.format(error.Stacktrace)" |
常规 |
| CSV Wall Table | 表格名称:ThreatQ Events 表格列:
|
常规 |
列出指标
说明
列出 ThreatQ 中的指标。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 其他字段 | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | 否 | 指定应在响应中包含哪些其他字段。可能的值:adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。 |
| 排序字段 | DDL | ID 可能的值: ID 标题 创建时间 更新时间 发生时间 |
否 | 指定应使用哪个字段来对指标进行排序。 |
| 排序方向 | DDL | 升序 可能的值:升序 降序 |
否 | 指定排序方向。 |
| 返回的事件数上限 | 整数 | 50 | 否 | 指定要返回的指标数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且有可用数据 (is_success=true): print "已成功列出 ThreatQ 攻击者。" 如果没有可用数据(is_success=false): print "No adversaries were found in ThreatQ." 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "List Adversaries". 原因:{0}''.format(error.Stacktrace) 如果“其他字段”参数中指定了无效字段: print "Error executing action "List Adversaries". 原因:在“其他字段”参数中指定了无效字段。'''.format(error.Stacktrace)" |
常规 |
| CSV Wall Table | 表格名称:ThreatQ 指标 表格列:
|
常规 |
列出攻击者
说明
列出 ThreatQ 中的攻击者。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 其他字段 | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | 否 | 指定应在响应中包含哪些其他字段。可能的值:adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。 |
| 排序字段 | DDL | ID 可能的值: ID 标题 创建时间 更新时间 发生时间 |
否 | 指定应使用哪个字段对攻击者进行排序。 |
| 排序方向 | DDL | 升序 可能的值:升序 降序 |
否 | 指定排序方向。 |
| 返回的事件数上限 | 整数 | 50 | 否 | 指定要返回的指标数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且有可用数据 (is_success=true): print "Successfully listed ThreatQ indicators." 如果没有可用数据(is_success=false): print "No indicators were found in ThreatQ." 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "List Indicators". 原因:{0}''.format(error.Stacktrace) 如果“其他字段”参数中指定了无效字段: print "Error executing action "List Indicators". 原因:在“其他字段”参数中指定了无效字段。'''.format(error.Stacktrace)" |
常规 |
| CSV Wall Table | 表格名称:ThreatQ 指标 表格列:
|
常规 |
更新指示器状态
说明
操作会更新 ThreatQ 中的指示器状态。
参数
| 参数显示名称 | 类型 | 默认值 | 是强制性的 | 说明 |
|---|---|---|---|---|
| 状态 | DDL | 有效 可能的值: 有效 已过期 间接 查看 已列入白名单 |
正确 | 指定指示器的新状态。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success = true): 如果未找到指示器(is_success = false): 如果失败,则显示一般性错误(is_success = false): 打印:“Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "Update Indicator Status". 原因:{0}''.format(error.Stacktrace) |
常规 |
更新了指标得分
说明
在 ThreatQ 中更新指示器得分的操作。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 得分 | DDL | “7 - 中等” 可能的值: “0 - 非常低” “1 - 非常低” “2 - 非常低” “3 - 非常低” “4 - 非常低” “5 - 低” “6 - 低” “7 - 中等” “8 - 中等” “9 - 高” “10 - 非常高” |
是 | 指定指标的新得分。 |
| 得分验证 | DDL | 最高分 可能的值: 最高分 强制更新 |
是 | 指定应使用哪种类型的得分验证。如果指定了“最高得分”,操作将比较当前值,并且仅当指定得分高于当前生成的得分和手动得分时,才会更新指标的得分。如果指定了“强制更新”,则操作将更新指标的分数,而不比较当前值。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(is_success = true): 如果 Score Validation == "Highest Score" 且操作参数中指定的得分小于当前得分,则 is_success = false: print "Action didn't update score for the indicator with value '{0}' in ThreatQ. 原因:当前得分较高。".format(indicator value) 如果未找到指示器(is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. 原因:在 ThreatQ 中未找到值为“{0}”且类型为“{1}”的指示器。”.format(indicator value, indicator type) 如果失败,则显示一般性错误(is_success = false): 打印:“Action was not able to update score for the indicator with value '{0}' in ThreatQ.".format(indicator value) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "Update Indicator Score". 原因:{0}''.format(error.Stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。