ThreatQ
Versión de integración: 12.0
Notas de la versión
Los clientes que tengan una versión de PS de la integración de ThreatQ deberán actualizar sus cuadernos de estrategias para que se alineen con la nueva versión de la integración. "Obtener detalles del incidente" no enriquecerá las entidades. En su lugar, tenemos otras acciones para este propósito.
Configura la integración de ThreatQ en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | Desmarcado | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | Desmarcado | No | Es la descripción de la instancia. |
| ServerAddress | String | xx.xx.xx.xx | Sí | Es la dirección de la instancia de ThreatQ. |
| ClientId | String | N/A | Sí | Es el ID de cliente de la API de ThreatQ. |
| Nombre de usuario | String | N/A | Sí | Es el correo electrónico del usuario. |
| Contraseña | Contraseña | N/A | Sí | Contraseña del usuario correspondiente. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
EnrichCVE
Descripción
Enriquece un CVE con información de ThreatQ.
Parámetros
| Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Número entero | 5 | No | Establece el umbral de puntuación aceptable para la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla de verificación | Marcado | No | Si está habilitada, la acción devolverá una tabla adicional con fuentes relacionadas. |
| Mostrar comentarios | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con comentarios relacionados. |
| Mostrar atributos | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades incluidas en la lista de entidades permitidas como sospechosas | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superaron el umbral permitido, incluso si la entidad está en la lista de entidades permitidas en ThreatQ. |
Ejecutar en
Esta acción se ejecuta en la entidad de CVE.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Descripción
Enriquece una dirección de correo electrónico con la información de ThreatQ.
Parámetros
| Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Número entero | 5 | No | Establece el umbral de puntuación aceptable para la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla de verificación | Marcado | No | Si está habilitada, la acción devolverá una tabla adicional con fuentes relacionadas. |
| Mostrar comentarios | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con comentarios relacionados. |
| Mostrar atributos | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades incluidas en la lista de entidades permitidas como sospechosas | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superaron el umbral permitido, incluso si la entidad está en la lista de entidades permitidas en ThreatQ. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Descripción
Enriquece un hash con la información de ThreatQ.
Parámetros
| Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Número entero | 5 | No | Establece el umbral de puntuación aceptable para la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla de verificación | Marcado | No | Si está habilitada, la acción devolverá una tabla adicional con fuentes relacionadas. |
| Mostrar comentarios | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con comentarios relacionados. |
| Mostrar atributos | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades incluidas en la lista de entidades permitidas como sospechosas | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superaron el umbral permitido, incluso si la entidad está en la lista de entidades permitidas en ThreatQ. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Enriquecer IP
Descripción
Enriquece una IP con la información de ThreatQ.
Parámetros
| Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Número entero | 5 | No | Establece el umbral de puntuación aceptable para la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla de verificación | Marcado | No | Si está habilitada, la acción devolverá una tabla adicional con fuentes relacionadas. |
| Mostrar comentarios | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con comentarios relacionados. |
| Mostrar atributos | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades incluidas en la lista de entidades permitidas como sospechosas | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superaron el umbral permitido, incluso si la entidad está en la lista de entidades permitidas en ThreatQ. |
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL de enriquecimiento
Descripción
Enriquece una URL con información de ThreatQ.
Parámetros
| Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de puntuación | Número entero | 5 | No | Establece el umbral de puntuación aceptable para la entidad. Si la puntuación supera el umbral especificado, la entidad se marcará como sospechosa. |
| Mostrar fuentes | Casilla de verificación | Marcado | No | Si está habilitada, la acción devolverá una tabla adicional con fuentes relacionadas. |
| Mostrar comentarios | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con comentarios relacionados. |
| Mostrar atributos | Casilla de verificación | Marcado | No | Si está habilitado, la acción devolverá una tabla adicional con atributos relacionados. |
| Marcar entidades incluidas en la lista de entidades permitidas como sospechosas | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción marcará las entidades como sospechosas si superaron el umbral permitido, incluso si la entidad está en la lista de entidades permitidas en ThreatQ. |
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Obtén detalles del indicador
Descripción
Obtén los detalles de una dirección IP en formato CSV.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Ping
Descripción
Verifica que el usuario tenga una conexión a ThreatQ a través de su dispositivo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connect | Verdadero/Falso | is_connect:False |
Crear indicador
Descripción
Crea un indicador en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de indicador | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio Hash de archivo SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
Sí | Especifica el tipo del indicador nuevo. |
| Estado | DDL | Activa Valores posibles: Activa Vencido Indirecto Revisar Incluida en la lista blanca |
Sí | Especifica el estado del indicador nuevo. |
| Descripción | String | N/A | No | Especifica la descripción del indicador nuevo. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y al menos una de las entidades proporcionadas creó un indicador correctamente (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Si no se pueden crear indicadores basados en las entidades específicas(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success = false): print: "No se crearon indicadores". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Create Indicator". Reason: {0}''.format(error.Stacktrace) |
General |
Crea un adversario.
Descripción
Crea un adversario en ThreatQ.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful and at least one of the provided entities successfully created an adversary (is_success = true): Si no se pueden crear adversarios en función de las entidades específicas(is_success = true): Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se enriqueció ningún adversario". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Create Adversary". Reason: {0}''.format(error.Stacktrace) |
General |
Crear el evento
Descripción
Crea un evento en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Título | String | N/A | Sí | Especifica el título del evento. |
| Tipo de evento | DDL | Spearphishing Valores posibles: Spearphishing Ataque de abrevadero Ataque de inserción de SQL Ataque de DoS Software malicioso Lista de monitoreo Comando y control Anonimización Robo de datos Características del host Certificado de PKI vulnerado Vulneración de acceso Incidente Avistamiento |
Sí | Especifica el tipo de evento. |
| Fecha y hora del evento | String | N/A | Sí | Especifica cuándo ocurrió el evento. Si no se ingresa nada en este campo, la acción usará la hora actual. Formato: AAAA-MM-DD hh:mm:ss |
Ejecutar en
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success = true): Si no se puede crear el evento (is_success = false): Impresión: "No se creó el evento "{0}" en ThreatQ. Motivo: {1}".format(title, errors/[0].value) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Create Event". Motivo: {0}''.format(error.Stacktrace) Si se usa un formato de hora incorrecto, haz lo siguiente: print "Error executing action "Create Event". Motivo: Se pasó un formato de hora incorrecto al parámetro de acción "Sucedió a las". Debe ser AAAA-MM-DD hh:mm:ss". |
General |
Agregar atributo
Descripción
La acción agrega un atributo al objeto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma TTP Vulnerabilidad |
Sí | Especifica a qué tipo de objeto se debe agregar el atributo. |
| Identificador de objeto | String | N/A | Sí | Especifica el identificador del objeto. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
Sí | Especifica el tipo de indicador. Este parámetro solo se usa si el tipo de objeto es "Indicador". |
| Nombre del atributo | String | N/A | Sí | Especifica el nombre del atributo. |
| Valor del atributo | String | N/A | Sí | Especifica el valor del atributo |
| Fuente del atributo | String | N/A | No | Especifica la fuente del atributo. |
Ejecutar en
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success = true): Si no se encontró el objeto (is_success = false): Impresión: "No se encontró el objeto "{0}" con el valor "{1}" en ThreatQ".format(Tipo de objeto, identificador de objeto) Si se produce un error general (is_success = false): Imprime "No se pudo agregar el atributo {0} al objeto ThreatQ".format(Nombre del atributo) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: Imprime "Error al ejecutar la acción "Add Attribute". Reason: {0}''.format(error.Stacktrace) |
General |
Agregar fuente
Descripción
La acción agrega una fuente al objeto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma TTP Vulnerabilidad |
Sí | Especifica a qué tipo de objeto se debe agregar la fuente. |
| Identificador de objeto | String | N/A | Sí | Especifica el identificador del objeto. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
Sí | Especifica el tipo de indicador. Este parámetro solo se usa si el tipo de objeto es "Indicador". |
| Nombre de la fuente | String | N/A | Sí | Especifica el nombre de la fuente. |
Ejecutar en
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful (is_success = true): Si no se encontró el objeto (is_success = false): Imprimir: "No se encontró el objeto "{0}" con el valor "{1}" en ThreatQ".format(Object Type, Object Value) Si se produce un error general (is_success = false): Imprime "Action was not able to add source {0} to the ThreatQ object.".format(Source Name) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: Imprime "Error executing action "Add Source". Reason: {0}''.format(error.Stacktrace) |
General |
Vincula entidades
Descripción
Los vínculos de acción vinculan todas las entidades en ThreatQ.
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- CVE
- Dirección IP
- URL
- Filehash
- Usuario
- Todas las entidades que coinciden con la regex de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la vinculación se realiza correctamente y al menos una de las entidades proporcionadas se vincula correctamente (is_success = true): Si no se pueden enumerar los objetos relacionados para entidades específicas(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se vincularon entidades". Si se proporciona solo una entidad: La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Link Entities". Reason: {0}''.format(error.Stacktrace) |
General |
Vincula entidades al objeto
Descripción
Los vínculos de acción vinculan todas las entidades en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto al que deseas vincular entidades. |
| Identificador de objeto | String | N/A | Sí | Especifica el identificador del objeto al que deseas vincular entidades. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
No | Especifica el tipo de indicador al que deseas vincular entidades. Este parámetro solo se usa si el tipo de objeto fuente es "Indicador". |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- CVE
- Dirección IP
- URL
- Filehash
- Usuario
- Todas las entidades que coinciden con la regex de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no se encontró el objeto (is_success = false): Impresión: "No se vincularon entidades al objeto "{0}" con el valor "{1}". Motivo: No se encontró el objeto "{0}" con el valor "{1}" en ThreatQ.".format(Object Type, Object Value) Si la operación se realiza correctamente y se vincula al menos una de las entidades proporcionadas (is_success = true): Si no se pueden enumerar los objetos relacionados para entidades específicas(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se vincularon entidades al objeto "{0}" con el valor "{1}"".format(Object Type, Object Identifier) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Link Entities To Object". Motivo: {0}''.format(error.Stacktrace) |
General |
Objetos de vínculo
Descripción
El vínculo de acción conecta dos objetos en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto de origen | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo del objeto de origen. |
| Identificador del objeto fuente | String | N/A | Sí | Especifica el identificador del objeto de origen. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador de fuente | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
No | Especifica el tipo de indicador de fuente. Este parámetro solo se usa si el tipo de objeto fuente es "Indicador". |
| Tipo de objeto de destino | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto de destino. |
| Identificador del objeto de destino | String | N/A | Sí | Especifica el identificador del objeto de destino. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador de destino | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
No | Especifica el tipo de indicador de destino. Este parámetro solo se usa si el tipo de objeto de destino es "Indicador". |
Ejecutar en
Esta acción no se ejecuta en tipos de entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful (is_success = true): Si no se encontró el objeto (is_success = false): Imprimir: "No se encontró el objeto "{0}" con el valor "{1}" en ThreatQ".format(Object Type, Object Value) Si se produce un error general (is_success = false): print "Action was not able to link objects in ThreatQ." La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: print "Error executing action "Link Objects". Reason: {0}''.format(error.Stacktrace) |
General |
Enumera los objetos relacionados
Descripción
ThreatQ enumera los objetos relacionados con las listas de acciones.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto de origen | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo del objeto de origen. |
| Identificador del objeto fuente | String | N/A | Sí | Especifica el identificador del objeto fuente. Por ejemplo, puede ser un hash MD5, el título del evento, el nombre del adversario, etcétera. |
| Tipo de indicador de fuente | DDL | ASN Valores posibles: ASN Cadena binaria Bloque CIDR CVE Dirección de correo electrónico Archivo adjunto de correo electrónico Asunto del correo electrónico Asignación de archivos Ruta de acceso al archivo Nombre del archivo FQDN Hash aproximado Hash de GOST Hash de ION Dirección IPv4 Dirección IPv6 Dirección MAC MD5 Mutex Contraseña Clave de registro Nombre del servicio SHA-1 SHA-256 SHA-384 SHA-512 String URL Ruta de URL Usuario-agente Nombre de usuario X-Mailer Número de serie x509 Sujeto de X.509 |
No | Especifica el tipo de indicador de fuente. Este parámetro solo se usa si el tipo de objeto fuente es "Indicador". |
| Tipo de objeto relacionado | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo del objeto relacionado que se debe devolver. |
| Cantidad máxima de objetos relacionados que se devolverán | Número entero | 50 | No | Especifica cuántos objetos relacionados se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful (is_success = true): Si no se encontró el objeto de origen (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Si no hay objetos relacionados para el tipo de objeto relacionado (is_success=false): Imprime "No se encontraron objetos {0} relacionados".format(Related Object Type) Si se produce un error general (is_success = false): Imprime "No se pudo enumerar los objetos relacionados en ThreatQ". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, no hay conexión con el servidor o se produce otro error, haz lo siguiente: print "Error executing action "List Related Objects". Reason: {0}''.format(error.Stacktrace) |
General |
Tabla del muro de casos (Tipo de objeto=Evento) |
Nombre de la tabla: Objetos "Event" relacionados Columnas de la tabla:
|
General |
Tabla del muro de casos (Tipo de objeto=Archivo) |
Nombre de la tabla: Objetos "File" relacionados Columnas de la tabla:
|
General |
Tabla del muro de casos (Tipo de objeto=Adversario) |
Nombre de la tabla: Objetos relacionados con "Adversary" Columnas de la tabla:
|
General |
Tabla del muro de casos (Todos los demás tipos de objetos) |
Nombre de la tabla: "Objetos relacionados con "{0}"".format(Tipo de objeto de destino) Columnas de la tabla:
|
General |
Enumera los objetos relacionados con la entidad
Descripción
Enumera los objetos relacionados con las entidades en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto relacionado | DDL | Adversario Valores posibles: Adversario Patrón de ataque Campaña Curso de acción Evento Objetivo del exploit Archivo Identidad Incidente Indicador Juego de intrusión Software malicioso Denunciar Firma Tarea Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto relacionado que se debe devolver. |
| Cantidad máxima de objetos relacionados que se devolverán | Número entero | 50 | No | Especifica cuántos objetos relacionados se devolverán. El máximo es 1,000. Esta es una limitación de ThreatQ. |
Ejecutar en
Esta acción se ejecuta en todos los tipos de entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si está disponible en el resultado de JSON. |
| TQ_related_{0}_value.format(Tipo de objeto relacionado) | o pierden valor. Si el tipo de objeto relacionado es evento y archivo: título Si el tipo de objeto relacionado es igual a adversario, haz lo siguiente: nombre |
Si está disponible en el resultado de JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente y al menos una de las entidades proporcionadas creó correctamente un indicador (is_success = true): Si no se pueden enumerar los objetos relacionados para entidades específicas(is_success = true): Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se enumeraron objetos relacionados". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "List Related Objects". Reason: {0}''.format(error.Stacktrace) |
General |
Tabla del muro de casos (Tipo de objeto=Evento) |
Nombre de la tabla: Objetos "Evento" relacionados para {identificador de entidad} Columnas de la tabla:
|
General |
Tabla del muro de casos (Tipo de objeto=Archivo) |
Nombre de la tabla: Objetos "File" relacionados para {identificador de entidad} Columnas de la tabla:
|
General |
Tabla del muro de casos (Tipo de objeto=Adversario) |
Nombre de la tabla: Objetos relacionados con "Adversary" para {identificador de entidad} Columnas de la tabla:
|
General |
Tabla del muro de casos (Todos los demás tipos de objetos) |
Nombre de la tabla: "Objetos "{0}" relacionados con {identificador de entidad}".format(Tipo de objeto de destino) Columnas de la tabla:
|
General |
Crear objeto
Descripción
Crea un objeto en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de objeto | DDL | Patrón de ataque Valores posibles: Patrón de ataque Campaña Curso de acción Objetivo del exploit Identidad Incidente Juego de intrusión Software malicioso Denunciar Herramienta TTP Vulnerabilidad |
Sí | Especifica el tipo de objeto. |
| Valor | String | N/A | Sí | Especifica el valor del objeto nuevo. |
| Descripción | String | N/A | No | Especifica la descripción del objeto nuevo. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si está disponible en el resultado de JSON. |
| TQ_related_{0}_value.format(Tipo de objeto relacionado) | o pierden valor. Si el tipo de objeto relacionado es evento y archivo: título Si el tipo de objeto relacionado es igual a adversario, haz lo siguiente: nombre |
Si está disponible en el resultado de JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success = true): Si no se puede crear una acción nueva (is_success = false): Impresión: "Action was not able to create new {0} object in ThreatQ.".format(object_type) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: print "Error executing action "Create Object". Reason: {0}''.format(error.Stacktrace) |
General |
Obtener detalles del software malicioso
Descripción
La acción devuelve información sobre software malicioso en función de las entidades de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Información adicional | String | N/A | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| TQ_malware_id | id | Si está disponible en el resultado de JSON. |
| TQ_malware_status_id | status_id | Si está disponible en el resultado de JSON. |
| TQ_malware_type_id | type_id | Si está disponible en el resultado de JSON. |
| TQ_malware_description | descripción | Si está disponible en el resultado de JSON. |
| TQ_malware_created_at | created_at | Si está disponible en el resultado de JSON. |
| TQ_malware_updated_at | updated_at | Si está disponible en el resultado de JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful and at least one of the provided entities successfully was enriched (is_success = true): Si no se pueden enumerar los objetos relacionados para entidades específicas(is_success = true): Si no se puede enriquecer para todas las entidades (is_success = false): Impresión: "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: Imprime "Error al ejecutar la acción "Get Malware Details". Reason: {0}''.format(error.Stacktrace) |
General |
| Vínculo | Nombre: Detalles de {entity} Link:https://{server_ip}malware/{id}/details |
Enumera eventos
Descripción
Enumera los eventos de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo, lista de vigilancia | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Campo de orden | DDL | ID Valores posibles: ID Título Fecha de creación Última actualización Fecha y hora del evento |
No | Especifica qué campo se debe usar para ordenar los eventos. |
| Dirección de ordenamiento | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica la dirección de ordenamiento. |
| Cantidad máxima de eventos para devolver | Número entero | 50 | No | Especifica la cantidad de eventos que se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ events." Si no se registran eventos de falla (is_success=false), haz lo siguiente: print "No se encontraron eventos en ThreatQ". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "List Events". Reason: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Campos adicionales": print "Error executing action "List Events". Motivo: Se especificó un campo no válido en el parámetro "Campos adicionales". '''.format(error.Stacktrace)" |
General |
| Mesa de pared de CSV | Nombre de la tabla: Eventos de ThreatQ Columna de la tabla:
|
General |
Enumera indicadores
Descripción
Enumera los indicadores de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo, lista de vigilancia | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de orden | DDL | ID Valores posibles: ID Título Fecha de creación Última actualización Fecha y hora del evento |
No | Especifica qué campo se debe usar para ordenar los indicadores. |
| Dirección de ordenamiento | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica la dirección de ordenamiento. |
| Cantidad máxima de eventos para devolver | Número entero | 50 | No | Especifica la cantidad de indicadores que se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ adversaries." Si no hay datos disponibles (is_success=false): print "No adversaries were found in ThreatQ." La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "List Adversaries". Reason: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Campos adicionales": print "Error executing action "List Adversaries". Motivo: Se especificó un campo no válido en el parámetro "Campos adicionales". '''.format(error.Stacktrace)" |
General |
| Mesa de pared de CSV | Nombre de la tabla: ThreatQ Indicators Columna de la tabla:
|
General |
Enumera los adversarios
Descripción
Enumera los adversarios de ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos adicionales | CSV | adversarios, archivos adjuntos, atributos, comentarios, eventos, indicadores, firmas, fuentes, spearphishing, etiquetas, tipo, lista de vigilancia | No | Especifica qué campos adicionales se deben incluir en la respuesta. Valores posibles: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de orden | DDL | ID Valores posibles: ID Título Fecha de creación Última actualización Fecha y hora del evento |
No | Especifica qué campo se debe usar para ordenar los adversarios. |
| Dirección de ordenamiento | DDL | Ascendente Valores posibles: Ascendente Descendente |
No | Especifica la dirección de ordenamiento. |
| Cantidad máxima de eventos para devolver | Número entero | 50 | No | Especifica la cantidad de indicadores que se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y hay datos disponibles (is_success=true): print "Successfully listed ThreatQ indicators." Si no hay datos disponibles (is_success=false): print "No se encontraron indicadores en ThreatQ" La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "List Indicators". Reason: {0}''.format(error.Stacktrace) Si se especifica un campo no válido en el parámetro "Campos adicionales": print "Error executing action "List Indicators". Motivo: Se especificó un campo no válido en el parámetro "Campos adicionales". '''.format(error.Stacktrace)" |
General |
| Mesa de pared de CSV | Nombre de la tabla: ThreatQ Indicators Columna de la tabla:
|
General |
Actualiza el estado del indicador
Descripción
El indicador de estado de las actualizaciones de acciones en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Estado | DDL | Activa Valores posibles: Activa Vencido Indirecto Revisar Incluida en la lista blanca |
Verdadero | Especifica el nuevo estado del indicador. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success = true): Si no se encontró el indicador (is_success = false): Si se produce un error general(is_success = false): Impresión: "Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: Imprime "Error al ejecutar la acción "Actualizar el estado del indicador". Reason: {0}''.format(error.Stacktrace) |
General |
Actualiza el indicador de puntuación
Descripción
Es la puntuación del indicador de actualizaciones de acciones en ThreatQ.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Puntuación | DDL | "7: Medio" Valores posibles: "0: Muy bajo" "1: Muy baja" "2: Muy bajo" "3: Muy baja" "4: Muy baja" "5: Baja" "6: Baja" "7: Medio" "8, mediana" "9: Alta" "10: Muy alta" |
Sí | Especifica la nueva puntuación del indicador. |
| Validación de la puntuación | DDL | Puntuación más alta Valores posibles: Puntuación más alta Forzar actualización |
Sí | Especifica qué tipo de validación de la puntuación se debe usar. Si se especifica "Puntuación más alta", la acción comparará los valores actuales y actualizará la puntuación del indicador solo si la puntuación especificada es más alta que la puntuación manual y la generada actualmente. Si se especifica "Force Update", la acción actualizará la puntuación del indicador sin comparar los valores actuales. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success = true): Si Score Validation == "Highest Score" y la puntuación especificada en el parámetro de acción es menor que las actuales: (is_success = false): print "La acción no actualizó la puntuación del indicador con el valor "{0}" en ThreatQ. Motivo: La puntuación actual es más alta".format(indicator value) Si no se encontró el indicador (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Motivo: No se encontró el indicador con el valor "{0}" y el tipo "{1}" en ThreatQ.".format(indicator value, indicator type) Si se produce un error general(is_success = false): Impresión: "No se pudo actualizar la puntuación del indicador con el valor "{0}" en ThreatQ".format(valor del indicador) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión al servidor o algún otro problema, haz lo siguiente: print "Error executing action "Update Indicator Score". Reason: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.