ThreatQ
Integrationsversion: 12.0
Versionshinweise
Kunden, die eine PS-Version der ThreatQ-Integration haben, müssen ihre Playbooks an die neue Integrationsversion anpassen. „Get incident details“ (Vorfalldetails abrufen) reichert Entitäten nicht an. Stattdessen haben wir andere Aktionen für diesen Zweck.
ThreatQ-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | Deaktiviert | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | Deaktiviert | Nein | Beschreibung der Instanz. |
| ServerAddress | String | xx.xx.xx.xx | Ja | Adresse der ThreatQ-Instanz. |
| ClientId | String | – | Ja | ClientId für die ThreatQ-API |
| Nutzername | String | – | Ja | E‑Mail-Adresse des Nutzers. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
EnrichCVE
Beschreibung
CVE mit ThreatQ-Informationen anreichern
Parameter
| Name | Typ | Default | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Score-Schwellenwert | Ganzzahl | 5 | Nein | Legen Sie den akzeptablen Grenzwert für die Bewertung für die Entität fest. Wenn der Wert den angegebenen Schwellenwert überschreitet, wird die Einheit als verdächtig markiert. |
| Quellen anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird von der Aktion eine zusätzliche Tabelle mit zugehörigen Quellen zurückgegeben. |
| Kommentare anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird eine zusätzliche Tabelle mit zugehörigen Kommentaren zurückgegeben. |
| Attribute anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion eine zusätzliche Tabelle mit zugehörigen Attributen zurückgegeben. |
| Auf die Whitelist gesetzte Entitäten als verdächtig markieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, werden Entitäten als verdächtig markiert, wenn sie den zulässigen Schwellenwert überschritten haben, auch wenn die Entität in ThreatQ auf der Zulassungsliste steht. |
Ausführen am
Diese Aktion wird für die CVE-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Beschreibung
Eine E‑Mail-Adresse mit ThreatQ-Informationen anreichern.
Parameter
| Name | Typ | Default | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Score-Schwellenwert | Ganzzahl | 5 | Nein | Legen Sie den akzeptablen Grenzwert für die Bewertung für die Entität fest. Wenn der Wert den angegebenen Schwellenwert überschreitet, wird die Einheit als verdächtig markiert. |
| Quellen anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird von der Aktion eine zusätzliche Tabelle mit zugehörigen Quellen zurückgegeben. |
| Kommentare anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird eine zusätzliche Tabelle mit zugehörigen Kommentaren zurückgegeben. |
| Attribute anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion eine zusätzliche Tabelle mit zugehörigen Attributen zurückgegeben. |
| Auf die Whitelist gesetzte Entitäten als verdächtig markieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, werden Entitäten als verdächtig markiert, wenn sie den zulässigen Schwellenwert überschritten haben, auch wenn die Entität in ThreatQ auf der Zulassungsliste steht. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Beschreibung
Einen Hash mit ThreatQ-Informationen anreichern.
Parameter
| Name | Typ | Default | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Score-Schwellenwert | Ganzzahl | 5 | Nein | Legen Sie den akzeptablen Grenzwert für die Bewertung für die Entität fest. Wenn der Wert den angegebenen Schwellenwert überschreitet, wird die Einheit als verdächtig markiert. |
| Quellen anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird von der Aktion eine zusätzliche Tabelle mit zugehörigen Quellen zurückgegeben. |
| Kommentare anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird eine zusätzliche Tabelle mit zugehörigen Kommentaren zurückgegeben. |
| Attribute anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion eine zusätzliche Tabelle mit zugehörigen Attributen zurückgegeben. |
| Auf die Whitelist gesetzte Entitäten als verdächtig markieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, werden Entitäten als verdächtig markiert, wenn sie den zulässigen Schwellenwert überschritten haben, auch wenn die Entität in ThreatQ auf der Zulassungsliste steht. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
IP anreichern
Beschreibung
Eine IP-Adresse mit ThreatQ-Informationen anreichern.
Parameter
| Name | Typ | Default | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Score-Schwellenwert | Ganzzahl | 5 | Nein | Legen Sie den akzeptablen Grenzwert für die Bewertung für die Entität fest. Wenn der Wert den angegebenen Schwellenwert überschreitet, wird die Einheit als verdächtig markiert. |
| Quellen anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird von der Aktion eine zusätzliche Tabelle mit zugehörigen Quellen zurückgegeben. |
| Kommentare anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird eine zusätzliche Tabelle mit zugehörigen Kommentaren zurückgegeben. |
| Attribute anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion eine zusätzliche Tabelle mit zugehörigen Attributen zurückgegeben. |
| Auf die Whitelist gesetzte Entitäten als verdächtig markieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, werden Entitäten als verdächtig markiert, wenn sie den zulässigen Schwellenwert überschritten haben, auch wenn die Entität in ThreatQ auf der Zulassungsliste steht. |
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL anreichern
Beschreibung
Eine URL mit ThreatQ-Informationen anreichern
Parameter
| Name | Typ | Default | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Score-Schwellenwert | Ganzzahl | 5 | Nein | Legen Sie den akzeptablen Grenzwert für die Bewertung für die Entität fest. Wenn der Wert den angegebenen Schwellenwert überschreitet, wird die Einheit als verdächtig markiert. |
| Quellen anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird von der Aktion eine zusätzliche Tabelle mit zugehörigen Quellen zurückgegeben. |
| Kommentare anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird eine zusätzliche Tabelle mit zugehörigen Kommentaren zurückgegeben. |
| Attribute anzeigen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion eine zusätzliche Tabelle mit zugehörigen Attributen zurückgegeben. |
| Auf die Whitelist gesetzte Entitäten als verdächtig markieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, werden Entitäten als verdächtig markiert, wenn sie den zulässigen Schwellenwert überschritten haben, auch wenn die Entität in ThreatQ auf der Zulassungsliste steht. |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Indikatordetails abrufen
Beschreibung
Rufen Sie die Details für eine IP-Adresse im CSV-Format ab.
Parameter
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
Ping
Beschreibung
Prüft, ob der Nutzer über sein Gerät eine Verbindung zu ThreatQ hat.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_connect | Wahr/falsch | is_connect:False |
Indikator erstellen
Beschreibung
Erstellen Sie einen Indikator in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Indikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname Datei-Hash SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Ja | Geben Sie den Typ des neuen Indikators an. |
| Status | DDL | Aktiv Mögliche Werte: Aktiv Abgelaufen Indirekt Überprüfen App ist auf der weißen Liste |
Ja | Geben Sie den Status des neuen Indikators an. |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung für den neuen Indikator an. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn für mindestens eine der bereitgestellten Entitäten ein Indikator erstellt wurde (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Wenn keine Indikatoren auf Grundlage der spezifischen Einheiten erstellt werden können(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): print: "No indicators were created." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "Create Indicator". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Gegner erstellen
Beschreibung
Erstellen Sie einen Gegner in ThreatQ.
Parameter
–
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn für mindestens eine der bereitgestellten Entitäten ein Gegner erstellt wurde (is_success = true): Wenn das Erstellen von Gegnern basierend auf den spezifischen Entitäten fehlschlägt(is_success = true): Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausdruck: „Es wurden keine Kontrahenten angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "Create Adversary". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Termin erstellen
Beschreibung
Erstellen Sie ein Ereignis in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel | String | – | Ja | Geben Sie den Titel des Ereignisses an. |
| Ereignistyp | DDL | Spear-Phishing Mögliche Werte: Spear-Phishing Watering Hole Angriff mit SQL-Einschleusung DoS-Angriff Malware Beobachtungsliste Command-and-Control-Aktivitäten Anonymisierung Exfiltration Hostmerkmale Manipuliertes PKI-Zertifikat Kompromittierung der Anmeldung Vorfall Sichtung |
Ja | Geben Sie den Typ des Ereignisses an. |
| Geschehen um | String | – | Ja | Geben Sie an, wann das Ereignis stattgefunden hat. Wenn in diesem Feld nichts eingegeben wird, wird die aktuelle Zeit verwendet. Format: JJJJ-MM-TT hh:mm:ss |
Ausführen am
Diese Aktion wird nicht für Entitätstypen ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn das Erstellen des Ereignisses fehlschlägt (is_success = false): Druck: „Das Ereignis ‚{0}‘ wurde nicht in ThreatQ erstellt. Grund: {1}".format(title, errors/[0].value) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "Create Event". Grund: {0}''.format(error.Stacktrace) Wenn ein falsches Zeitformat verwendet wird: print "Error executing action "Create Event". Grund: Für den Aktionsparameter „Happened At“ (Ereigniszeitpunkt) wurde ein falsches Zeitformat übergeben. Sollte „JJJJ-MM-TT hh:mm:ss“ lauten. |
Allgemein |
Attribut hinzufügen
Beschreibung
Durch die Aktion wird dem Objekt ein Attribut hinzugefügt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Objektart | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift TTP Sicherheitslücke |
Ja | Geben Sie an, welchem Objekttyp das Attribut hinzugefügt werden soll. |
| Objekt-ID | String | – | Ja | Geben Sie die Kennung des Objekts an. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Indikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Ja | Geben Sie den Typ des Indikators an. Dieser Parameter wird nur verwendet, wenn der Objekttyp „Indikator“ ist. |
| Attributname | String | – | Ja | Geben Sie den Namen des Attributs an. |
| Attributwert | String | – | Ja | Wert des Attributs angeben |
| Attributquelle | String | – | Nein | Geben Sie die Quelle des Attributs an. |
Ausführen am
Diese Aktion wird nicht für Entitätstypen ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn das Objekt nicht gefunden wurde (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) Bei allgemeinem Fehler (is_success = false): Gib „Das Attribut {0} konnte dem ThreatQ-Objekt nicht hinzugefügt werden.“ aus.format(Attribute Name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Add Attribute". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Quelle hinzufügen
Beschreibung
Durch die Aktion wird dem Objekt eine Quelle hinzugefügt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Objektart | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift TTP Sicherheitslücke |
Ja | Geben Sie an, welchem Objekttyp die Quelle hinzugefügt werden soll. |
| Objekt-ID | String | – | Ja | Geben Sie die Kennung des Objekts an. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Indikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Ja | Geben Sie den Typ des Indikators an. Dieser Parameter wird nur verwendet, wenn der Objekttyp „Indikator“ ist. |
| Name der Quelle | String | – | Ja | Geben Sie den Namen der Quelle an. |
Ausführen am
Diese Aktion wird nicht für Entitätstypen ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn das Objekt nicht gefunden wurde (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Bei allgemeinem Fehler (is_success = false): Print "Action was not able to add source {0} to the ThreatQ object.".format(Source Name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Add Source". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Entitäten verknüpfen
Beschreibung
Aktionen verknüpfen alle Entitäten in ThreatQ.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- CVE
- IP-Adresse
- URL
- Filehash
- Nutzer
- Alle Entitäten, die mit dem regulären Ausdruck für E‑Mail-Adressen übereinstimmen
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten erfolgreich verknüpft wurde (is_success = true): Fehler beim Auflisten zugehöriger Objekte für bestimmte Entitäten(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausgabe: „Es wurden keine Elemente verknüpft.“ Wenn nur eine Entität angegeben wird: Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Link Entities". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Entitäten mit Objekt verknüpfen
Beschreibung
Aktionen verknüpfen alle Entitäten in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Objektart | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des Objekts an, mit dem Sie Entitäten verknüpfen möchten. |
| Objekt-ID | String | – | Ja | Geben Sie die Kennung des Objekts an, mit dem Sie Entitäten verknüpfen möchten. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Indikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Nein | Geben Sie den Typ des Indikators an, mit dem Sie Entitäten verknüpfen möchten. Dieser Parameter wird nur verwendet, wenn der Quellobjekttyp „Indikator“ ist. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- CVE
- IP-Adresse
- URL
- Filehash
- Nutzer
- Alle Entitäten, die mit dem regulären Ausdruck für E‑Mail-Adressen übereinstimmen
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn das Objekt nicht gefunden wurde (is_success = false): Print: „Es wurden keine Entitäten mit dem Wert ‚{1}‘ mit dem Objekt ‚{0}‘ verknüpft. Grund: Das Objekt „{0}“ mit dem Wert „{1}“ wurde in ThreatQ nicht gefunden.“).format(Object Type, Object Value) Bei Erfolg und wenn mindestens eine der angegebenen Entitäten erfolgreich verknüpft wurde (is_success = true): Fehler beim Auflisten zugehöriger Objekte für bestimmte Entitäten(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausgabe: „Es wurden keine Entitäten mit dem Wert ‚{1}‘ mit dem Objekt ‚{0}‘ verknüpft.“ .format(Objekttyp, Objekt-ID) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Link Entities To Object". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Objekte verknüpfen
Beschreibung
Mit einer Aktion werden zwei Objekte in ThreatQ verknüpft.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Quellobjekttyp | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des Quellobjekts an. |
| ID des Quellobjekts | String | – | Ja | Geben Sie die Kennung des Quellobjekts an. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Quellindikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Nein | Geben Sie den Typ des Quellindikators an. Dieser Parameter wird nur verwendet, wenn der Quellobjekttyp „Indicator“ ist. |
| Zielobjekttyp | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des Zielobjekts an. |
| Zielobjekt-ID | String | – | Ja | Geben Sie die Kennung des Zielobjekts an. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Typ des Zielindikators | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Nein | Geben Sie den Typ des Zielvorhabenindikators an. Dieser Parameter wird nur verwendet, wenn „Destination Object Type“ (Zielobjekttyp) „Indicator“ (Indikator) ist. |
Ausführen am
Diese Aktion wird nicht für Entitätstypen ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful (is_success = true): Wenn das Objekt nicht gefunden wurde (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Bei allgemeinem Fehler (is_success = false): print "Action was not able to link objects in ThreatQ." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Link Objects". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Zugehörige Objekte auflisten
Beschreibung
Aktionslisten enthalten verknüpfte Objekte in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Quellobjekttyp | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des Quellobjekts an. |
| ID des Quellobjekts | String | – | Ja | Geben Sie die Kennung des Quellobjekts an. Das kann beispielsweise ein MD5-Hash, der Titel des Ereignisses oder der Name des Gegners sein. |
| Quellindikatortyp | DDL | ASN Mögliche Werte: ASN Binärstring CIDR-Block CVE E-Mail-Adresse E‑Mail-Anhang E-Mail-Betreff Dateizuordnung Dateipfad Dateiname FQDN Fuzzy-Hash GOST-Hash Hash ION IPv4-Adresse IPv6-Adresse MAC-Adresse MD5 Mutex Passwort Registrierungsschlüssel Dienstname SHA-1 SHA-256 SHA-384 SHA-512 String URL URL-Pfad User-Agent Nutzername X-Mailer x509-Seriennummer x509-Betreff |
Nein | Geben Sie den Typ des Quellindikators an. Dieser Parameter wird nur verwendet, wenn der Quellobjekttyp „Indicator“ ist. |
| Verknüpfter Objekttyp | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des zugehörigen Objekts an, das zurückgegeben werden soll. |
| Maximale Anzahl zurückzugebender verknüpfter Objekte | Ganzzahl | 50 | Nein | Geben Sie an, wie viele zugehörige Objekte zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn das Quellobjekt nicht gefunden wurde (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Wenn keine zugehörigen Objekte für den zugehörigen Objekttyp vorhanden sind: (is_success=false) Gib „No related {0} object were found.“ aus.format(Related Object Type) Bei allgemeinem Fehler (is_success = false): Gibt „Action was not able to list related objects in ThreatQ.“ aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum -Server oder anderen Fehlern: print "Error executing action "List Related Objects". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Tabelle „Fall-Repository“ (Objekttyp=Ereignis) |
Tabellenname:Zugehörige „Event“-Objekte Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Objekttyp=Datei) |
Tabellenname:Zugehörige „File“-Objekte Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Object type=Adversary) |
Tabellenname:Zugehörige „Adversary“-Objekte Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Jeder andere Objekttyp) |
Tabellenname: „Related '{0}' objects“.format(Destination Object Type) Tabellenspalten:
|
Allgemein |
Entitätsbezogene Objekte auflisten
Beschreibung
Aktionslisten verknüpfen Objekte für Entitäten in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Verknüpfter Objekttyp | DDL | Angreifer Mögliche Werte: Angreifer Angriffsmuster Kampagne Vorgehensweise Ereignis Exploit-Ziel Datei Identität Vorfall Anzeige Einbruchs-Set Malware Bericht Unterschrift Aufgabe Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des zugehörigen Objekts an, das zurückgegeben werden muss. |
| Maximale Anzahl zurückzugebender verknüpfter Objekte | Ganzzahl | 50 | Nein | Geben Sie an, wie viele zugehörige Objekte zurückgegeben werden sollen. Der Höchstwert liegt bei 1.000. Dies ist eine Einschränkung von ThreatQ. |
Ausführen am
Diese Aktion wird für alle Entitätstypen ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Falls im JSON-Ergebnis verfügbar. |
| TQ_related_{0}_value.format(Related object type) | -Wert angezeigt wird. Wenn „Zugehöriger Objekttyp“ = „Ereignis“ und „Datei“: Titel Wenn der zugehörige Objekttyp „adversary“ ist: Name |
Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn für mindestens eine der bereitgestellten Entitäten ein Indikator erstellt wurde (is_success = true): Wenn keine zugehörigen Objekte für bestimmte Entitäten aufgelistet werden können(is_success = true): Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausgabe: „Es wurden keine zugehörigen Objekte aufgeführt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Related Objects". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Tabelle „Fall-Repository“ (Objekttyp=Ereignis) |
Tabellenname:Zugehörige „Event“-Objekte für {entity identifier} Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Objekttyp=Datei) |
Tabellenname:Zugehörige „File“-Objekte für {entity identifier} Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Object type=Adversary) |
Tabellenname:Zugehörige „Adversary“-Objekte für {entity identifier} Tabellenspalten:
|
Allgemein |
Tabelle „Fall-Repository“ (Jeder andere Objekttyp) |
Tabellenname: „Related '{0}' objects for {entity identifier}“.format(Destination Object Type) Tabellenspalten:
|
Allgemein |
Objekt erstellen
Beschreibung
Erstellen Sie ein Objekt in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Objektart | DDL | Angriffsmuster Mögliche Werte: Angriffsmuster Kampagne Vorgehensweise Exploit-Ziel Identität Vorfall Einbruchs-Set Malware Bericht Tool TTP Sicherheitslücke |
Ja | Geben Sie den Typ des Objekts an. |
| Wert | String | – | Ja | Geben Sie den Wert des neuen Objekts an. |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung für das neue Objekt an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Falls im JSON-Ergebnis verfügbar. |
| TQ_related_{0}_value.format(Related object type) | -Wert angezeigt wird. Wenn „Zugehöriger Objekttyp“ = „Ereignis“ und „Datei“: Titel Wenn der zugehörige Objekttyp „adversary“ ist: Name |
Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn die Erstellung einer neuen Aktion fehlschlägt (is_success = false): Print: "Action was not able to create new {0} object in ThreatQ.".format(object_type) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Create Object". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Malware-Details abrufen
Beschreibung
Die Aktion gibt Informationen zu Malware basierend auf Entitäten aus ThreatQ zurück.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Weitere Informationen | String | – | Nein | Geben Sie an, welche zusätzlichen Felder in die Antwort aufgenommen werden sollen. Mögliche Werte: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| TQ_malware_id | id | Falls im JSON-Ergebnis verfügbar. |
| TQ_malware_status_id | status_id | Falls im JSON-Ergebnis verfügbar. |
| TQ_malware_type_id | type_id | Falls im JSON-Ergebnis verfügbar. |
| TQ_malware_description | Beschreibung | Falls im JSON-Ergebnis verfügbar. |
| TQ_malware_created_at | created_at | Falls im JSON-Ergebnis verfügbar. |
| TQ_malware_updated_at | updated_at | Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten erfolgreich angereichert wurde (is_success = true): Wenn keine zugehörigen Objekte für bestimmte Entitäten aufgelistet werden können(is_success = true): Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausgabe: „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Get Malware Details". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Link | Name:Details für {entity} Link:https://{server_ip}malware/{id}/details |
Ereignisse auflisten
Beschreibung
Ereignisse aus ThreatQ auflisten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zusätzliche Felder | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | Nein | Geben Sie an, welche zusätzlichen Felder in die Antwort aufgenommen werden sollen. Mögliche Werte: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Sortierfeld | DDL | ID Mögliche Werte: ID Titel Erstellt am Aktualisiert am Geschehen um |
Nein | Geben Sie an, welches Feld zum Sortieren von Ereignissen verwendet werden soll. |
| Sortierrichtung | DDL | Aufsteigend Mögliche Werte: Aufsteigend Absteigend |
Nein | Geben Sie die Sortierrichtung an. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Ereignisse zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und Verfügbarkeit von Daten (is_success=true): print "Successfully listed ThreatQ events." Wenn keine Ereignisse fehlgeschlagen sind (is_success=false): print "No events were found in ThreatQ." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Events". Grund: {0}''.format(error.Stacktrace) Wenn im Parameter „Zusätzliche Felder“ ein ungültiges Feld angegeben ist: print "Error executing action "List Events". Grund: Im Parameter „Zusätzliche Felder“ wurde ein ungültiges Feld angegeben. '''.format(error.Stacktrace)" |
Allgemein |
| CSV-Wandtabellen | Tabellenname:ThreatQ Events Tabellenspalte:
|
Allgemein |
Indikatoren auflisten
Beschreibung
Indikatoren aus ThreatQ auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zusätzliche Felder | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | Nein | Geben Sie an, welche zusätzlichen Felder in die Antwort aufgenommen werden sollen. Mögliche Werte: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Sortierfeld | DDL | ID Mögliche Werte: ID Titel Erstellt am Aktualisiert am Geschehen um |
Nein | Geben Sie an, welches Feld zum Sortieren von Indikatoren verwendet werden soll. |
| Sortierrichtung | DDL | Aufsteigend Mögliche Werte: Aufsteigend Absteigend |
Nein | Geben Sie die Sortierrichtung an. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Indikatoren zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und Verfügbarkeit von Daten (is_success=true): print "Successfully listed ThreatQ adversaries." Wenn keine Daten verfügbar sind (is_success=false): print "No adversaries were found in ThreatQ." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Adversaries". Grund: {0}''.format(error.Stacktrace) Wenn im Parameter „Zusätzliche Felder“ ein ungültiges Feld angegeben ist: print "Error executing action "List Adversaries". Grund: Im Parameter „Zusätzliche Felder“ wurde ein ungültiges Feld angegeben. '''.format(error.Stacktrace)" |
Allgemein |
| CSV-Wandtabellen | Tabellenname:ThreatQ Indicators Tabellenspalte:
|
Allgemein |
Gegner auflisten
Beschreibung
Gegner aus ThreatQ auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zusätzliche Felder | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | Nein | Geben Sie an, welche zusätzlichen Felder in die Antwort aufgenommen werden sollen. Mögliche Werte: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Sortierfeld | DDL | ID Mögliche Werte: ID Titel Erstellt am Aktualisiert am Geschehen um |
Nein | Geben Sie an, welches Feld zum Sortieren von Adversaries verwendet werden soll. |
| Sortierrichtung | DDL | Aufsteigend Mögliche Werte: Aufsteigend Absteigend |
Nein | Geben Sie die Sortierrichtung an. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Indikatoren zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und Verfügbarkeit von Daten (is_success=true): print "Successfully listed ThreatQ indicators." Wenn keine Daten verfügbar sind (is_success=false): print "No indicators were found in ThreatQ." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Indicators". Grund: {0}''.format(error.Stacktrace) Wenn im Parameter „Zusätzliche Felder“ ein ungültiges Feld angegeben ist: print "Error executing action "List Indicators". Grund: Im Parameter „Zusätzliche Felder“ wurde ein ungültiges Feld angegeben. '''.format(error.Stacktrace)" |
Allgemein |
| CSV-Wandtabellen | Tabellenname:ThreatQ Indicators Tabellenspalte:
|
Allgemein |
Status des Aktualisierungsindikators
Beschreibung
Durch die Aktion wird der Status der Anzeige in ThreatQ aktualisiert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Status | DDL | Aktiv Mögliche Werte: Aktiv Abgelaufen Indirekt Überprüfen App ist auf der weißen Liste |
Wahr | Geben Sie den neuen Status des Indikators an. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn der Indikator nicht gefunden wurde (is_success = false): Bei allgemeinem Fehler(is_success = false): Print: "Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Update Indicator Status". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Indikatorbewertung aktualisieren
Beschreibung
Die Aktion aktualisiert die Indikatorbewertung in ThreatQ.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Punktzahl | DDL | „7 – Mittel“ Mögliche Werte: „0 – Sehr niedrig“ „1 – Sehr niedrig“ „2 – Sehr niedrig“ „3 – Sehr niedrig“ „4 – Sehr niedrig“ „5 – Niedrig“ „6 – Niedrig“ „7 – Mittel“ „8 – Mittel“ „9 – Hoch“ „10 – Sehr hoch“ |
Ja | Geben Sie den neuen Wert des Indikators an. |
| Validierung der Punktzahl | DDL | Höchste Punktzahl Mögliche Werte: Höchste Punktzahl Update erzwingen |
Ja | Geben Sie an, welche Art der Score-Validierung verwendet werden soll. Wenn „Höchste Punktzahl“ angegeben ist, werden die aktuellen Werte verglichen und die Punktzahl des Indikators wird nur aktualisiert, wenn die angegebene Punktzahl höher ist als die aktuelle generierte und manuelle Punktzahl. Wenn „Force Update“ angegeben ist, wird der Wert des Indikators aktualisiert, ohne die aktuellen Werte zu vergleichen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success = true): Wenn „Score Validation“ == „Highest Score“ und der im Aktionsparameter angegebene Score kleiner als die aktuellen Scores ist: (is_success = false) print "Action didn't update score for the indicator with value '{0}' in ThreatQ. Grund: Der aktuelle Wert ist höher.“.format(indicator value) Wenn der Indikator nicht gefunden wurde (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Grund: Der Indikator mit dem Wert „{0}“ und dem Typ „{1}“ wurde in ThreatQ nicht gefunden.“).format(indicator value, indicator type) Bei allgemeinem Fehler(is_success = false): Print: „Action was not able to update score for the indicator with value '{0}' in ThreatQ.“ (Die Aktion konnte den Wert für den Indikator mit dem Wert „{0}“ in ThreatQ nicht aktualisieren.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: print "Error executing action "Update Indicator Score". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten