ThreatQ
Versión de integración: 12.0
Notas de novedades
Los clientes que tengan una versión de PS de la integración de ThreatQ tendrán que actualizar sus runbooks para que se ajusten a la nueva versión de la integración. "Get incident details" no enriquecerá las entidades. En su lugar, tenemos otras acciones para este fin.
Configurar la integración de ThreatQ en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | Desmarcada | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | Desmarcada | No | Descripción de la instancia. |
| ServerAddress | Cadena | xx.xx.xx.xx | Sí | Dirección de la instancia de ThreatQ. |
| ClientId | Cadena | N/A | Sí | ClientId de la API ThreatQ |
| Nombre de usuario | Cadena | N/A | Sí | Correo del usuario. |
| Contraseña | Contraseña | N/A | Sí | La contraseña del usuario correspondiente. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
EnrichCVE
Descripción
Enriquece una CVE con información de ThreatQ.
Parámetros
| Nombre | Tipo | Predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Entero | 5 | No | Define el umbral de puntuación aceptable de la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con las fuentes relacionadas. |
| Mostrar comentarios | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con los comentarios relacionados. |
| Mostrar atributos | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades de la lista de permitidas como sospechosas | Casilla | Marcada | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superan el umbral permitido, aunque la entidad esté en la lista blanca de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en la entidad CVE.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Descripción
Enriquece una dirección de correo electrónico con información de ThreatQ.
Parámetros
| Nombre | Tipo | Predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Entero | 5 | No | Define el umbral de puntuación aceptable de la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con las fuentes relacionadas. |
| Mostrar comentarios | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con los comentarios relacionados. |
| Mostrar atributos | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades de la lista de permitidas como sospechosas | Casilla | Marcada | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superan el umbral permitido, aunque la entidad esté en la lista blanca de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Descripción
Enriquece un hash con información de ThreatQ.
Parámetros
| Nombre | Tipo | Predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Entero | 5 | No | Define el umbral de puntuación aceptable de la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con las fuentes relacionadas. |
| Mostrar comentarios | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con los comentarios relacionados. |
| Mostrar atributos | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades de la lista de permitidas como sospechosas | Casilla | Marcada | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superan el umbral permitido, aunque la entidad esté en la lista blanca de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Enriquecer IP
Descripción
Enriquece una IP con información de ThreatQ.
Parámetros
| Nombre | Tipo | Predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Entero | 5 | No | Define el umbral de puntuación aceptable de la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con las fuentes relacionadas. |
| Mostrar comentarios | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con los comentarios relacionados. |
| Mostrar atributos | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades de la lista de permitidas como sospechosas | Casilla | Marcada | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superan el umbral permitido, aunque la entidad esté en la lista blanca de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL de enriquecimiento
Descripción
Enriquece una URL con información de ThreatQ.
Parámetros
| Nombre | Tipo | Predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Entero | 5 | No | Define el umbral de puntuación aceptable de la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con las fuentes relacionadas. |
| Mostrar comentarios | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con los comentarios relacionados. |
| Mostrar atributos | Casilla | Marcada | No | Si está habilitada, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades de la lista de permitidas como sospechosas | Casilla | Marcada | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superan el umbral permitido, aunque la entidad esté en la lista blanca de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Obtener detalles del indicador
Descripción
Obtener los detalles de una dirección IP en formato CSV.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Ping
Descripción
Verifica que el usuario tenga una conexión a ThreatQ a través de su dispositivo.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connect | Verdadero/Falso | is_connect:False |
Crear indicador
Descripción
Crea un indicador en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de indicador | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio Hash de archivo SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
Sí | Especifica el tipo del nuevo indicador. |
| Estado | DDL | Activo Posibles valores: Activo Caducado Indirecto Revisar En lista blanca |
Sí | Especifica el estado del nuevo indicador. |
| Descripción | Cadena | N/A | No | Especifica la descripción del nuevo indicador. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y al menos una de las entidades proporcionadas crea un indicador (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Si no se pueden crear indicadores basados en las entidades específicas(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success = false): print: "No se ha creado ningún indicador". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Create Indicator". Motivo: {0}''.format(error.Stacktrace) |
General |
Crear Adversary
Descripción
Crea un adversario en ThreatQ.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se ha completado correctamente y al menos una de las entidades proporcionadas ha creado un adversario (is_success = true): Si no se pueden crear adversarios a partir de las entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): Imprimir: "No se ha enriquecido ningún adversario". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Create Adversary". Motivo: {0}''.format(error.Stacktrace) |
General |
Cómo crear un evento
Descripción
Crea un evento en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Título | Cadena | N/A | Sí | Especifique el título del evento. |
| Tipo de evento | DDL | Spearphish Valores posibles: Spearphish Abrevadero Ataque de inyección de SQL Ataque DoS Malware Lista de seguimiento Comando y control Anonimización Filtración externa Características del host Certificado de PKI vulnerado Brecha de inicio de sesión Incidente Avistamiento |
Sí | Especifica el tipo de evento. |
| Hora en la que se produjo | Cadena | N/A | Sí | Especifica cuándo se produjo el evento. Si no se introduce nada en este campo, la acción usará la hora actual. Formato: AAAA-MM-DD hh:mm:ss |
Fecha de ejecución
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se puede crear el evento (is_success = false): Imprimir: "No se ha creado el evento "{0}" en ThreatQ. Motivo: {1}".format(title, errors/[0].value) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Create Event". Motivo: {0}''.format(error.Stacktrace) Si se usa un formato de hora incorrecto: print "Error al ejecutar la acción "Create Event". Motivo: se ha enviado un formato de hora incorrecto al parámetro de acción "Happened At". Debe ser AAAA-MM-DD hh:mm:ss.'' |
General |
Añadir atributo
Descripción
La acción añade un atributo al objeto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma TTP Vulnerabilidad |
Sí | Especifica a qué tipo de objeto se debe añadir el atributo. |
| Identificador de objeto | Cadena | N/A | Sí | Especifica el identificador del objeto. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
Sí | Especifica el tipo de indicador. Este parámetro solo se usa si el tipo de objeto es "Indicator". |
| Nombre de atributo | Cadena | N/A | Sí | Especifica el nombre del atributo. |
| Valor de atributo | Cadena | N/A | Sí | Especifica el valor del atributo |
| Fuente del atributo | Cadena | N/A | No | Especifica la fuente del atributo. |
Fecha de ejecución
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se ha encontrado el objeto (is_success = false): Imprimir: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) Si se produce un error general (is_success = false): Imprime "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: print "Error al ejecutar la acción "Add Attribute". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir origen
Descripción
La acción añade una fuente al objeto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma TTP Vulnerabilidad |
Sí | Especifica a qué tipo de objeto se debe añadir el origen. |
| Identificador de objeto | Cadena | N/A | Sí | Especifica el identificador del objeto. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
Sí | Especifica el tipo de indicador. Este parámetro solo se usa si el tipo de objeto es "Indicator". |
| Nombre del origen | Cadena | N/A | Sí | Especifica el nombre de la fuente. |
Fecha de ejecución
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se ha encontrado el objeto (is_success = false): Imprimir: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Si se produce un error general (is_success = false): Imprime "No se ha podido añadir la fuente {0} al objeto ThreatQ.".format(Source Name) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: imprime "Error al ejecutar la acción "Añadir fuente". Motivo: {0}''.format(error.Stacktrace) |
General |
Entidades de enlace
Descripción
Action vincula todas las entidades de ThreatQ.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- CVE
- Dirección IP
- URL
- Filehash
- Usuario
- Todas las entidades que coinciden con la expresión regular de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y al menos una de las entidades proporcionadas se ha vinculado correctamente (is_success = true): Si no se pueden enumerar los objetos relacionados de entidades específicas(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success = false): Imprimir: "No se ha vinculado ninguna entidad". Si solo se proporciona una entidad: La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Link Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
Link Entities To Object
Descripción
Action vincula todas las entidades de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto al que quieres vincular entidades. |
| Identificador de objeto | Cadena | N/A | Sí | Especifica el identificador del objeto al que quieras vincular entidades. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
No | Especifica el tipo de indicador al que quieres vincular las entidades. Este parámetro solo se usa si el tipo de objeto de origen es "Indicator" (Indicador). |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- CVE
- Dirección IP
- URL
- Filehash
- Usuario
- Todas las entidades que coinciden con la expresión regular de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no se ha encontrado el objeto (is_success = false): Imprimir: "No se ha vinculado ninguna entidad al objeto "{0}" con el valor "{1}". Motivo: No se ha encontrado el objeto "{0}" con el valor "{1}" en ThreatQ.".format(Object Type, Object Value) Si se ha completado correctamente y al menos una de las entidades proporcionadas se ha vinculado correctamente (is_success = true): Si no se pueden enumerar los objetos relacionados de entidades específicas(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success = false): Imprimir: "No se ha vinculado ninguna entidad al objeto "{0}" con el valor "{1}".".format(Object Type, Object Identifier) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Link Entities To Object". Motivo: {0}''.format(error.Stacktrace) |
General |
Objetos de enlace
Descripción
La acción vincula dos objetos en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto de origen | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto de origen. |
| Identificador de objeto de origen | Cadena | N/A | Sí | Especifica el identificador del objeto de origen. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador de origen | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
No | Especifica el tipo de indicador de origen. Este parámetro solo se usa si el tipo de objeto de origen es "Indicator". |
| Tipo de objeto de destino | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto de destino. |
| Identificador de objeto de destino | Cadena | N/A | Sí | Especifica el identificador del objeto de destino. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador de destino | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
No | Especifica el tipo de indicador de destino. Este parámetro solo se usa si el tipo de objeto de destino es "Indicator". |
Fecha de ejecución
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se ha encontrado el objeto (is_success = false): Imprimir: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Si se produce un error general (is_success = false): print "No se ha podido vincular objetos en ThreatQ." La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: print "Error al ejecutar la acción "Link Objects". Motivo: {0}''.format(error.Stacktrace) |
General |
List Related Objects
Descripción
Las listas de acciones relacionan objetos en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | ¿Es Mandatory? | Descripción |
|---|---|---|---|---|
| Tipo de objeto de origen | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto de origen. |
| Identificador de objeto de origen | Cadena | N/A | Sí | Especifica el identificador del objeto de origen. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etc. |
| Tipo de indicador de origen | DDL | Aviso previo de envío Valores posibles: Aviso previo de envío Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo Asunto del correo electrónico Asignación de archivos Ruta del archivo Nombre de archivo FQDN Hash difuso Hash GOST Hash ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 Cadena URL Ruta de URL User-agent Nombre de usuario X-Mailer Serie x509 Asunto x509 |
No | Especifica el tipo de indicador de origen. Este parámetro solo se usa si el tipo de objeto de origen es "Indicator". |
| Tipo de objeto relacionado | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto relacionado que se debe devolver. |
| Número máximo de objetos relacionados que se devolverán | Entero | 50 | No | Especifica cuántos objetos relacionados quieres devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se ha encontrado el objeto de origen (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Si no hay objetos relacionados con el tipo de objeto relacionado (is_success=false): Imprime "No se ha encontrado ningún objeto {0} relacionado.".format(Related Object Type) Si se produce un error general (is_success = false): Imprime "Action was not able to list related objects in ThreatQ." ("No se ha podido enumerar los objetos relacionados en ThreatQ"). La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
General |
Tabla del panel de casos (Object type=Event) |
Nombre de la tabla: objetos "Event" relacionados Columnas de tabla:
|
General |
Tabla del panel de casos (Object type=File) |
Nombre de la tabla: objetos "File" relacionados Columnas de tabla:
|
General |
Tabla del panel de casos (Object type=Adversary) |
Nombre de la tabla: objetos "Adversary" relacionados Columnas de tabla:
|
General |
Tabla del panel de casos (Todos los demás tipos de objetos) |
Nombre de la tabla: "Objetos relacionados de '{0}'".format(Destination Object Type) Columnas de tabla:
|
General |
List Entity Related Objects
Descripción
Muestra los objetos relacionados de las entidades de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | ¿Es Mandatory? | Descripción |
|---|---|---|---|---|
| Tipo de objeto relacionado | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Medidas Evento Exploit Target Archivo Identidad Incidente Indicador Intrusion Set Malware Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto relacionado que se debe devolver. |
| Número máximo de objetos relacionados que se devolverán | Entero | 50 | No | Especifica cuántos objetos relacionados quieres devolver. El valor máximo es 1000. Esta es una limitación de ThreatQ. |
Fecha de ejecución
Esta acción se ejecuta en todos los tipos de entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si está disponible en JSON Result. |
| TQ_related_{0}_value.format(Related object type) | . Si el tipo de objeto relacionado es "event" (evento) y "file" (archivo): title Si el tipo de objeto relacionado es "adversary" (adversario): name |
Si está disponible en JSON Result. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y al menos una de las entidades proporcionadas ha creado un indicador (is_success = true): Si no se pueden enumerar los objetos relacionados de entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): Imprimir: "No se ha encontrado ningún objeto relacionado". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
General |
Tabla del panel de casos (Object type=Event) |
Nombre de la tabla: objetos "Event" relacionados con {entity identifier} Columnas de tabla:
|
General |
Tabla del panel de casos (Object type=File) |
Nombre de la tabla: objetos "File" relacionados con {entity identifier} Columnas de tabla:
|
General |
Tabla del panel de casos (Object type=Adversary) |
Nombre de la tabla: objetos "Adversary" relacionados con {entity identifier} Columnas de tabla:
|
General |
Tabla del panel de casos (Todos los demás tipos de objetos) |
Nombre de la tabla: "Objetos relacionados de '{0}' para {entity identifier}".format(Destination Object Type) Columnas de tabla:
|
General |
Crear objeto
Descripción
Crea un objeto en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Patrón de ataque Valores posibles: Patrón de ataque Campaña Medidas Exploit Target Identidad Incidente Intrusion Set Malware Denunciar Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto. |
| Valor | Cadena | N/A | Sí | Especifica el valor del nuevo objeto. |
| Descripción | Cadena | N/A | No | Especifica una descripción para el nuevo objeto. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si está disponible en JSON Result. |
| TQ_related_{0}_value.format(Related object type) | . Si el tipo de objeto relacionado es "event" (evento) y "file" (archivo): title Si el tipo de objeto relacionado es "adversary" (adversario): name |
Si está disponible en JSON Result. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha creado correctamente (is_success = true): Si no se puede crear una acción (is_success = false): Imprime: "Action was not able to create new {0} object in ThreatQ.".format(object_type) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: print "Error al ejecutar la acción "Create Object". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener detalles del malware
Descripción
La acción devuelve información sobre malware basada en entidades de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Información adicional | Cadena | N/A | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| TQ_malware_id | id | Si está disponible en JSON Result. |
| TQ_malware_status_id | status_id | Si está disponible en JSON Result. |
| TQ_malware_type_id | type_id | Si está disponible en JSON Result. |
| TQ_malware_description | description | Si está disponible en JSON Result. |
| TQ_malware_created_at | created_at | Si está disponible en JSON Result. |
| TQ_malware_updated_at | updated_at | Si está disponible en JSON Result. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se ha enriquecido al menos una de las entidades proporcionadas (is_success = true): Si no se pueden enumerar los objetos relacionados de entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): Imprime: "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: print "Error al ejecutar la acción "Get Malware Details". Motivo: {0}''.format(error.Stacktrace) |
General |
| Enlace | Nombre: detalles de {entity} Link:https://{server_ip}malware/{id}/details |
List Events
Descripción
Lista de eventos de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | Adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo y lista de seguimiento. | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Campo de ordenación | DDL | ID Posibles valores: ID Título Creada el Updated At Hora en la que se produjo |
No | Especifica qué campo se debe usar para ordenar los eventos. |
| Dirección de orden | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica el orden. |
| Número máximo de eventos que se devolverán | Entero | 50 | No | Especifica cuántos eventos quieres que se devuelvan. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ events." Si no se producen eventos (is_success=false): print "No se han encontrado eventos en ThreatQ." La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error executing action "List Events". Motivo: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Additional Fields": print "Error executing action "List Events". Motivo: se ha especificado un campo no válido en el parámetro "Additional Fields". '''.format(error.Stacktrace)" |
General |
| Tabla de pared CSV | Nombre de la tabla: ThreatQ Events Columna de tabla:
|
General |
Mostrar indicadores
Descripción
Lista de indicadores de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | Adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo y lista de seguimiento. | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de ordenación | DDL | ID Posibles valores: ID Título Creada el Updated At Hora en la que se produjo |
No | Especifica qué campo se debe usar para ordenar los indicadores. |
| Dirección de orden | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica el orden. |
| Número máximo de eventos que se devolverán | Entero | 50 | No | Especifica cuántos indicadores quieres que se devuelvan. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ adversaries." Si no hay datos disponibles (is_success=false): imprime "No se han encontrado adversarios en ThreatQ". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "List Adversaries". Motivo: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Additional Fields": print "Error al ejecutar la acción "List Adversaries". Motivo: se ha especificado un campo no válido en el parámetro "Additional Fields". '''.format(error.Stacktrace)" |
General |
| Tabla de pared CSV | Nombre de la tabla: ThreatQ Indicators Columna de tabla:
|
General |
Mostrar adversarios
Descripción
Lista de adversarios de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | Adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo y lista de seguimiento. | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de ordenación | DDL | ID Posibles valores: ID Título Creada el Updated At Hora en la que se produjo |
No | Especifica qué campo se debe usar para ordenar los adversarios. |
| Dirección de orden | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica el orden. |
| Número máximo de eventos que se devolverán | Entero | 50 | No | Especifica cuántos indicadores quieres que se devuelvan. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ indicators." Si no hay datos disponibles (is_success=false): imprime "No se han encontrado indicadores en ThreatQ". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "List Indicators". Motivo: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Additional Fields": print "Error al ejecutar la acción "List Indicators". Motivo: se ha especificado un campo no válido en el parámetro "Additional Fields". '''.format(error.Stacktrace)" |
General |
| Tabla de pared CSV | Nombre de la tabla: ThreatQ Indicators Columna de tabla:
|
General |
Actualizar el estado del indicador
Descripción
La acción actualiza el estado del indicador en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | ¿Es Mandatory? | Descripción |
|---|---|---|---|---|
| Estado | DDL | Activo Posibles valores: Activo Caducado Indirecto Revisar En lista blanca |
Verdadero | Especifica el nuevo estado del indicador. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente (is_success = true): Si no se ha encontrado el indicador (is_success = false): Si se produce un error general(is_success = false): Imprimir: "No se ha podido actualizar el estado del indicador con el valor "{0}" en ThreatQ.".format(valor del indicador) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Update Indicator Status". Motivo: {0}''.format(error.Stacktrace) |
General |
Actualizar puntuación del indicador
Descripción
La acción actualiza la puntuación del indicador en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Puntuación | DDL | "7 - Medio" Valores posibles: "0 - Muy bajo" "1 - Muy bajo" "2 - Muy baja" "3 - Muy bajo" "4 - Muy bajo" "5 - Baja" "6 - Baja" "7 - Medio" "8 - Medio" "9 - Alto" "10 - Muy alto" |
Sí | Especifica la nueva puntuación del indicador. |
| Validación de puntuación | DDL | Puntuación más alta Valores posibles: Puntuación más alta Forzar actualización |
Sí | Especifica qué tipo de validación de puntuación se debe usar. Si se especifica "Puntuación más alta", la acción comparará los valores actuales y actualizará la puntuación del indicador solo si la puntuación especificada es superior a la puntuación generada y manual actual. Si se especifica "Force Update", la acción actualizará la puntuación del indicador sin comparar los valores actuales. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente (is_success = true): Si Score Validation == "Highest Score" y la puntuación especificada en el parámetro action es inferior a las actuales: (is_success = false): print "La acción no ha actualizado la puntuación del indicador con el valor "{0}" en ThreatQ. Motivo: La puntuación actual es más alta.".format(valor del indicador) Si no se ha encontrado el indicador (is_success = false): print "No se ha podido actualizar la puntuación del indicador con el valor '{0}' en ThreatQ. Motivo: No se ha encontrado el indicador con el valor "{0}" y el tipo "{1}" en ThreatQ.".format(indicator value, indicator type) Si se produce un error general(is_success = false): Imprimir: "No se ha podido actualizar la puntuación del indicador con el valor '{0}' en ThreatQ.".format(valor del indicador) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Update Indicator Score". Motivo: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.