ThreatQ
Versi integrasi: 12.0
Catatan Rilis
Pelanggan yang memiliki integrasi ThreatQ versi PS harus memperbarui playbook mereka agar sesuai dengan versi integrasi baru. "Get incident details" tidak akan memperkaya entity. Sebagai gantinya, kami memiliki tindakan lain untuk tujuan ini.
Mengonfigurasi integrasi ThreatQ di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | Tidak dicentang | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | Tidak dicentang | Tidak | Deskripsi Instance. |
| ServerAddress | String | xx.xx.xx.xx | Ya | Alamat instance ThreatQ. |
| ClientId | String | T/A | Ya | ClientId untuk ThreatQ API |
| Nama pengguna | String | T/A | Ya | Email pengguna. |
| Sandi | Sandi | T/A | Ya | Sandi pengguna yang sesuai. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
EnrichCVE
Deskripsi
Memperkaya CVE menggunakan informasi ThreatQ.
Parameter
| Nama | Jenis | Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor | Bilangan bulat | 5 | Tidak | Tetapkan batas skor yang dapat diterima untuk entity. Jika skor melebihi nilai minimum yang ditentukan, entitas akan ditandai sebagai mencurigakan. |
| Tampilkan Sumber | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan sumber terkait. |
| Tampilkan Komentar | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan komentar terkait. |
| Tampilkan Atribut | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan atribut terkait. |
| Menandai Entity yang Diizinkan Sebagai Mencurigakan | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan jika entitas tersebut melewati batas yang diizinkan, meskipun entitas tersebut masuk daftar putih di ThreatQ. |
Run On
Tindakan ini dijalankan pada entity CVE.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Deskripsi
Memperkaya alamat email menggunakan informasi ThreatQ.
Parameter
| Nama | Jenis | Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor | Bilangan bulat | 5 | Tidak | Tetapkan batas skor yang dapat diterima untuk entity. Jika skor melebihi nilai minimum yang ditentukan, entitas akan ditandai sebagai mencurigakan. |
| Tampilkan Sumber | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan sumber terkait. |
| Tampilkan Komentar | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan komentar terkait. |
| Tampilkan Atribut | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan atribut terkait. |
| Menandai Entity yang Diizinkan Sebagai Mencurigakan | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan jika entitas tersebut melewati batas yang diizinkan, meskipun entitas tersebut masuk daftar putih di ThreatQ. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Deskripsi
Memperkaya Hash menggunakan informasi ThreatQ.
Parameter
| Nama | Jenis | Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor | Bilangan bulat | 5 | Tidak | Tetapkan batas skor yang dapat diterima untuk entity. Jika skor melebihi nilai minimum yang ditentukan, entitas akan ditandai sebagai mencurigakan. |
| Tampilkan Sumber | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan sumber terkait. |
| Tampilkan Komentar | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan komentar terkait. |
| Tampilkan Atribut | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan atribut terkait. |
| Menandai Entity yang Diizinkan Sebagai Mencurigakan | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan jika entitas tersebut melewati batas yang diizinkan, meskipun entitas tersebut masuk daftar putih di ThreatQ. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Memperkaya IP
Deskripsi
Memperkaya IP menggunakan informasi ThreatQ.
Parameter
| Nama | Jenis | Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor | Bilangan bulat | 5 | Tidak | Tetapkan batas skor yang dapat diterima untuk entity. Jika skor melebihi nilai minimum yang ditentukan, entitas akan ditandai sebagai mencurigakan. |
| Tampilkan Sumber | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan sumber terkait. |
| Tampilkan Komentar | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan komentar terkait. |
| Tampilkan Atribut | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan atribut terkait. |
| Menandai Entity yang Diizinkan Sebagai Mencurigakan | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan jika entitas tersebut melewati batas yang diizinkan, meskipun entitas tersebut masuk daftar putih di ThreatQ. |
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL Pengayaan
Deskripsi
Memperkaya URL menggunakan informasi ThreatQ.
Parameter
| Nama | Jenis | Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nilai Minimum Skor | Bilangan bulat | 5 | Tidak | Tetapkan batas skor yang dapat diterima untuk entity. Jika skor melebihi nilai minimum yang ditentukan, entitas akan ditandai sebagai mencurigakan. |
| Tampilkan Sumber | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan sumber terkait. |
| Tampilkan Komentar | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan komentar terkait. |
| Tampilkan Atribut | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menampilkan tabel tambahan dengan atribut terkait. |
| Menandai Entity yang Diizinkan Sebagai Mencurigakan | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan jika entitas tersebut melewati batas yang diizinkan, meskipun entitas tersebut masuk daftar putih di ThreatQ. |
Run On
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Mendapatkan Detail Indikator
Deskripsi
Mendapatkan detail untuk alamat IP dalam format CSV.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Ping
Deskripsi
Memverifikasi bahwa pengguna memiliki koneksi ke ThreatQ melalui perangkat pengguna.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_connect | Benar/Salah | is_connect:False |
Buat Indikator
Deskripsi
Buat indikator di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Indikator | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan Hash File SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Ya | Tentukan jenis indikator baru. |
| Status | DDL | Aktif Nilai yang memungkinkan: Aktif Telah Berakhir Tidak Langsung Ulasan Masuk Daftar Putih |
Ya | Tentukan status indikator baru. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi indikator baru. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan setidaknya salah satu entitas yang diberikan berhasil membuat indikator (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Jika gagal membuat indikator berdasarkan entitas tertentu(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success = false): print: "No indicators were created." (Tidak ada indikator yang dibuat.) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error saat menjalankan tindakan "Buat Indikator". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Buat Adversary
Deskripsi
Buat penyerang di ThreatQ.
Parameter
T/A
Run On
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan setidaknya salah satu entitas yang diberikan berhasil membuat musuh (is_success = true): Jika gagal membuat penyerang berdasarkan entity tertentu(is_success = true): Jika gagal memperkaya semua entitas (is_success = false): Print: "No adversaries were enriched." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "Create Adversary". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Buat Acara
Deskripsi
Buat peristiwa di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Judul | String | T/A | Ya | Tentukan judul acara. |
| Jenis Peristiwa | DDL | Spearphishing Nilai yang Mungkin: Spearphishing Tempat Minum Serangan Injeksi SQL Serangan DoS Malware Daftar Pantauan Perintah dan Kontrol Anonimisasi Pemindahan yang tidak sah Karakteristik Host Sertifikat PKI yang Disusupi Penyusupan Login Insiden Penampakan |
Ya | Tentukan jenis peristiwa. |
| Terjadi Pada | String | T/A | Ya | Tentukan kapan peristiwa terjadi. Jika tidak ada yang dimasukkan di kolom ini, tindakan akan menggunakan waktu saat ini. Format: YYYY-MM-DD hh:mm:ss |
Run On
Tindakan ini tidak berjalan pada jenis entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil (is_success = benar): Jika gagal membuat acara (is_success = false): Cetak: "Acara '{0}' tidak dibuat di ThreatQ. Alasan: {1}".format(title, errors/[0].value) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error saat menjalankan tindakan "Buat Acara". Alasan: {0}''.format(error.Stacktrace) Jika format waktu yang salah digunakan: print "Error saat menjalankan tindakan "Buat Acara". Alasan: Format waktu yang salah diteruskan ke parameter tindakan 'Terjadi Pada'. Harus dalam format YYYY-MM-DD hh:mm:ss.'' |
Umum |
Tambahkan Atribut
Deskripsi
Tindakan menambahkan atribut ke objek.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Objek | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan TTP Kerentanan |
Ya | Tentukan jenis objek yang akan ditambahkan atributnya. |
| ID Objek | String | T/A | Ya | Tentukan ID objek. Misalnya, dapat berupa hash MD5, judul peristiwa, nama musuh, dll. |
| Jenis Indikator | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Ya | Tentukan jenis indikator. Parameter ini hanya digunakan jika Jenis Objek adalah "Indikator" |
| Nama Atribut | String | T/A | Ya | Tentukan nama atribut. |
| Nilai Atribut | String | T/A | Ya | Tentukan nilai atribut |
| Sumber Atribut | String | T/A | Tidak | Tentukan sumber atribut. |
Run On
Tindakan ini tidak berjalan pada jenis entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil (is_success = true): Jika objek tidak ditemukan (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) Jika terjadi error umum (is_success = false): Mencetak "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name) Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "Add Attribute". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Tambahkan Sumber
Deskripsi
Tindakan menambahkan sumber ke objek.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Objek | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan TTP Kerentanan |
Ya | Tentukan jenis objek yang akan ditambahkan sumbernya. |
| ID Objek | String | T/A | Ya | Tentukan ID objek. Misalnya, dapat berupa hash MD5, judul peristiwa, nama musuh, dll. |
| Jenis Indikator | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Ya | Tentukan jenis indikator. Parameter ini hanya digunakan jika Jenis Objek adalah "Indikator". |
| Nama Sumber | String | T/A | Ya | Tentukan nama sumber. |
Run On
Tindakan ini tidak berjalan pada jenis entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil (is_success = true): Jika objek tidak ditemukan (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Jika terjadi error umum (is_success = false): Mencetak "Action was not able to add source {0} to the ThreatQ object".format(Source Name) Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: cetak "Error saat menjalankan tindakan "Tambahkan Sumber". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menautkan Entity
Deskripsi
Tautan tindakan semua entitas di ThreatQ.
Run On
Tindakan ini berjalan di entity berikut:
- CVE
- Alamat IP
- URL
- Filehash
- Pengguna
- Semua entity yang cocok dengan regex email
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya salah satu entity yang diberikan berhasil ditautkan (is_success = true): Jika gagal mencantumkan objek terkait untuk entitas tertentu(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Jika gagal memperkaya semua entitas (is_success = false): Cetak: "Tidak ada entitas yang ditautkan." Jika hanya satu entitas yang diberikan: Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error executing action "Link Entities". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menautkan Entitas ke Objek
Deskripsi
Tautan tindakan semua entitas di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Objek | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek yang ingin Anda tautkan entitasnya. |
| ID Objek | String | T/A | Ya | Tentukan ID objek yang ingin Anda tautkan entitasnya. Misalnya, dapat berupa hash MD5, judul acara, nama penyerang, dll. |
| Jenis Indikator | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Tidak | Tentukan jenis indikator yang ingin Anda tautkan entitasnya. Parameter ini hanya digunakan jika Jenis Objek Sumber adalah "Indikator". |
Run On
Tindakan ini berjalan di entity berikut:
- CVE
- Alamat IP
- URL
- Filehash
- Pengguna
- Semua entity yang cocok dengan regex email
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika objek tidak ditemukan (is_success = false): Cetak: "Tidak ada entity yang ditautkan ke objek '{0}' dengan nilai '{1}'. Alasan: Objek '{0}' dengan nilai '{1}' tidak ditemukan di ThreatQ.".format(Object Type, Object Value) Jika berhasil dan setidaknya salah satu entitas yang diberikan berhasil ditautkan (is_success = true): Jika gagal mencantumkan objek terkait untuk entitas tertentu(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Jika gagal memperkaya semua entitas (is_success = false): Cetak: "Tidak ada entity yang ditautkan ke objek '{0}' dengan nilai '{1}'.".format(Object Type, Object Identifier) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error executing action "Link Entities To Object". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menautkan Objek
Deskripsi
Tindakan menautkan dua objek di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Objek Sumber | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek sumber. |
| ID Objek Sumber | String | T/A | Ya | Tentukan ID objek sumber. Misalnya, dapat berupa hash MD5, judul acara, nama penyerang, dll. |
| Jenis Indikator Sumber | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Tidak | Tentukan jenis indikator sumber. Parameter ini hanya digunakan jika Jenis Objek Sumber adalah "Indikator". |
| Jenis Objek Tujuan | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek tujuan. |
| ID Objek Tujuan | String | T/A | Ya | Tentukan ID objek tujuan. Misalnya, dapat berupa hash MD5, judul peristiwa, nama musuh, dll. |
| Jenis Indikator Tujuan | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Tidak | Tentukan jenis indikator tujuan. Parameter ini hanya digunakan jika Jenis Objek Tujuan adalah "Indikator". |
Run On
Tindakan ini tidak berjalan pada jenis entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if successful (is_success = true): Jika objek tidak ditemukan (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Jika terjadi error umum (is_success = false): print "Action was not able to link objects in ThreatQ." Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error saat menjalankan tindakan "Link Objects". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Mencantumkan Objek Terkait
Deskripsi
Tindakan mencantumkan objek terkait di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Jenis Objek Sumber | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek sumber. |
| ID Objek Sumber | String | T/A | Ya | Tentukan ID objek sumber. Misalnya, dapat berupa hash MD5, judul peristiwa, nama musuh, dll. |
| Jenis Indikator Sumber | DDL | ASN Nilai yang Mungkin: ASN String Biner Blok CIDR CVE Alamat Email Lampiran Email Subjek Email Pemetaan File Jalur File Nama file FQDN Hash Fuzzy Hash GOST Hash ION Alamat IPv4 Alamat IPv6 Alamat MAC MD5 Mutex Sandi Kunci Registry Nama Layanan SHA-1 SHA-256 SHA-384 SHA-512 String URL Jalur URL Agent pengguna Nama pengguna X-Mailer x509 Serial Subjek x509 |
Tidak | Tentukan jenis indikator sumber. Parameter ini hanya digunakan jika Jenis Objek Sumber adalah "Indikator". |
| Jenis Objek Terkait | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek terkait yang perlu ditampilkan. |
| Jumlah Maksimum Objek Terkait yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah objek terkait yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if successful (is_success = true): Jika Objek sumber tidak ditemukan (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Jika tidak ada objek terkait untuk Jenis Objek Terkait : (is_success=false): Cetak "No related {0} object were found.".format(Related Object Type) Jika terjadi error umum (is_success = false): Mencetak "Action was not able to list related objects in ThreatQ". Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "List Related Objects". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Tabel Repositori Kasus (Jenis objek=Peristiwa) |
Nama tabel: Objek 'Peristiwa' terkait Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Jenis objek=File) |
Nama tabel: Objek 'File' terkait Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Jenis objek=Musuh) |
Nama tabel: Objek 'Adversary' terkait Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Setiap jenis objek lainnya) |
Nama tabel: "Related '{0}' objects".format(Destination Object Type) Kolom Tabel:
|
Umum |
Mencantumkan Objek Terkait Entitas
Deskripsi
Mencantumkan objek terkait untuk entitas di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Jenis Objek Terkait | DDL | Penyerang Nilai yang Mungkin: Penyerang Pola Serangan Kampanye Tindakan yang Harus Dilakukan Acara Target Eksploitasi File Identitas Insiden Indikator Set Penyusupan Malware Laporan Tanda Tangan Tugas Alat TTP Kerentanan |
Ya | Tentukan jenis objek terkait yang perlu ditampilkan. |
| Jumlah Maksimum Objek Terkait yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah objek terkait yang akan ditampilkan. Maksimum adalah 1.000. Ini adalah batasan ThreatQ. |
Run On
Tindakan ini berjalan di semua jenis entity.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Jika tersedia di Hasil JSON. |
| TQ_related_{0}_value.format(Related object type) | agar nilainya tidak menurun. Jika jenis objek terkait = acara dan file: title Jika jenis objek terkait = musuh: nama |
Jika tersedia di Hasil JSON. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan setidaknya salah satu entitas yang diberikan berhasil membuat indikator (is_success = true): Jika gagal mencantumkan objek terkait untuk entitas tertentu(is_success = true): Jika gagal memperkaya semua entitas (is_success = false): Cetak: "Tidak ada objek terkait yang tercantum." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "List Related Objects". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Tabel Repositori Kasus (Jenis objek=Peristiwa) |
Nama tabel: Objek 'Peristiwa' terkait untuk {ID entitas} Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Jenis objek=File) |
Nama tabel: Objek 'File' terkait untuk {entity identifier} Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Jenis objek=Musuh) |
Nama tabel: Objek 'Adversary' terkait untuk {entity identifier} Kolom Tabel:
|
Umum |
Tabel Repositori Kasus (Setiap jenis objek lainnya) |
Nama tabel: "Related '{0}' objects for {entity identifier}".format(Destination Object Type) Kolom Tabel:
|
Umum |
Membuat Objek
Deskripsi
Buat objek di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Objek | DDL | Pola Serangan Nilai yang Mungkin: Pola Serangan Kampanye Tindakan yang Harus Dilakukan Target Eksploitasi Identitas Insiden Set Penyusupan Malware Laporan Alat TTP Kerentanan |
Ya | Tentukan jenis objek. |
| Nilai | String | T/A | Ya | Tentukan nilai objek baru. |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi untuk objek baru. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Jika tersedia di Hasil JSON. |
| TQ_related_{0}_value.format(Related object type) | agar nilainya tidak menurun. Jika jenis objek terkait = acara dan file: title Jika jenis objek terkait = musuh: nama |
Jika tersedia di Hasil JSON. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil (is_success = true): Jika gagal membuat tindakan baru (is_success = false): Print: "Action was not able to create new {0} object in ThreatQ.".format(object_type) Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error saat menjalankan tindakan "Buat Objek". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Mendapatkan Detail Malware
Deskripsi
Tindakan ini menampilkan informasi tentang malware berdasarkan entitas dari ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Informasi Tambahan | String | T/A | Tidak | Tentukan kolom tambahan yang harus disertakan dalam respons. Nilai yang mungkin: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| TQ_malware_id | id | Jika tersedia di Hasil JSON. |
| TQ_malware_status_id | status_id | Jika tersedia di Hasil JSON. |
| TQ_malware_type_id | type_id | Jika tersedia di Hasil JSON. |
| TQ_malware_description | deskripsi | Jika tersedia di Hasil JSON. |
| TQ_malware_created_at | created_at | Jika tersedia di Hasil JSON. |
| TQ_malware_updated_at | updated_at | Jika tersedia di Hasil JSON. |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan setidaknya salah satu entitas yang diberikan berhasil di-enrich (is_success = true): Jika gagal mencantumkan objek terkait untuk entitas tertentu(is_success = true): Jika gagal memperkaya semua entitas (is_success = false): Cetak: "Tidak ada entitas yang di-enrich." Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "Get Malware Details". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Link | Nama: Detail untuk {entity} Link:https://{server_ip}malware/{id}/details |
Mencantumkan Peristiwa
Deskripsi
Mencantumkan peristiwa dari ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kolom Tambahan | CSV | musuh, lampiran, atribut, komentar, peristiwa, indikator, tanda tangan, sumber, spearphish, tag, jenis, daftar pantauan. | Tidak | Tentukan kolom tambahan yang harus disertakan dalam respons. Kemungkinan nilai: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Kolom Pengurutan | DDL | ID Nilai yang memungkinkan: ID Judul Dibuat Pada Diperbarui Pada Terjadi Pada |
Tidak | Tentukan kolom mana yang harus digunakan untuk mengurutkan peristiwa. |
| Arah Pengurutan | DDL | Menaik Nilai yang Mungkin: Menaik Menurun |
Tidak | Tentukan arah pengurutan. |
| Jumlah Maksimum Acara yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah peristiwa yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan data tersedia (is_success=true): print "Successfully listed ThreatQ events." Jika gagal tidak ada peristiwa (is_success=false): print "No events were found in ThreatQ." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "List Events". Alasan: {0}''.format(error.Stacktrace) Jika kolom tidak valid ditentukan dalam parameter "Kolom Tambahan": print "Error executing action "List Events". Alasan: Kolom tidak valid ditentukan dalam parameter 'Kolom Tambahan'. '''.format(error.Stacktrace)" |
Umum |
| Tabel Dinding CSV | Nama tabel: Peristiwa ThreatQ Kolom tabel:
|
Umum |
Mencantumkan Indikator
Deskripsi
Mencantumkan indikator dari ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kolom Tambahan | CSV | musuh, lampiran, atribut, komentar, peristiwa, indikator, tanda tangan, sumber, spearphish, tag, jenis, daftar pantauan. | Tidak | Tentukan kolom tambahan yang harus disertakan dalam respons. Nilai yang mungkin: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Kolom Pengurutan | DDL | ID Nilai yang memungkinkan: ID Judul Dibuat Pada Diperbarui Pada Terjadi Pada |
Tidak | Tentukan kolom mana yang harus digunakan untuk mengurutkan indikator. |
| Arah Pengurutan | DDL | Menaik Nilai yang Mungkin: Menaik Menurun |
Tidak | Tentukan arah pengurutan. |
| Jumlah Maksimum Acara yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah indikator yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan data tersedia (is_success=true): print "Successfully listed ThreatQ adversaries." Jika tidak ada data yang tersedia (is_success=false): print "No adversaries were found in ThreatQ." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "List Adversaries". Alasan: {0}''.format(error.Stacktrace) Jika kolom tidak valid ditentukan dalam parameter "Kolom Tambahan": print "Error executing action "List Adversaries". Alasan: Kolom tidak valid ditentukan dalam parameter 'Kolom Tambahan'. '''.format(error.Stacktrace)" |
Umum |
| Tabel Dinding CSV | Nama tabel: ThreatQ Indicators Kolom tabel:
|
Umum |
Mencantumkan Penyerang
Deskripsi
Mencantumkan penyerang dari ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kolom Tambahan | CSV | musuh, lampiran, atribut, komentar, peristiwa, indikator, tanda tangan, sumber, spearphish, tag, jenis, daftar pantauan. | Tidak | Tentukan kolom tambahan yang harus disertakan dalam respons. Nilai yang mungkin: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Kolom Pengurutan | DDL | ID Nilai yang memungkinkan: ID Judul Dibuat Pada Diperbarui Pada Terjadi Pada |
Tidak | Tentukan kolom mana yang harus digunakan untuk mengurutkan musuh. |
| Arah Pengurutan | DDL | Menaik Nilai yang Mungkin: Menaik Menurun |
Tidak | Tentukan arah pengurutan. |
| Jumlah Maksimum Acara yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah indikator yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil dan data tersedia (is_success=true): print "Successfully listed ThreatQ indicators." Jika tidak ada data yang tersedia (is_success=false): print "No indicators were found in ThreatQ." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "List Indicators". Alasan: {0}''.format(error.Stacktrace) Jika kolom tidak valid ditentukan dalam parameter "Kolom Tambahan": print "Error executing action "List Indicators". Alasan: Kolom tidak valid ditentukan dalam parameter 'Kolom Tambahan'. '''.format(error.Stacktrace)" |
Umum |
| Tabel Dinding CSV | Nama tabel: ThreatQ Indicators Kolom tabel:
|
Umum |
Memperbarui Status Indikator
Deskripsi
Tindakan memperbarui status indikator di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Status | DDL | Aktif Nilai yang memungkinkan: Aktif Telah Berakhir Tidak Langsung Ulasan Masuk Daftar Putih |
Benar | Tentukan status baru indikator. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil (is_success = true): Jika indikator tidak ditemukan (is_success = false): Jika gagal karena error umum(is_success = false): Print: "Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error saat menjalankan tindakan "Perbarui Status Indikator". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Perbarui Skor Indikator
Deskripsi
Tindakan memperbarui skor indikator di ThreatQ.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Skor | DDL | "7 - Sedang" Nilai yang Mungkin: "0 - Sangat Rendah" "1 - Sangat Rendah" "2 - Sangat Rendah" "3 - Sangat Rendah" "4 - Sangat Rendah" "5 - Rendah" "6 - Rendah" "7 - Sedang" "8 - Sedang" "9 - Tinggi" "10 - Sangat Tinggi" |
Ya | Tentukan skor baru indikator. |
| Validasi Skor | DDL | Skor Tertinggi Nilai yang Mungkin: Skor Tertinggi Update Paksa |
Ya | Tentukan jenis validasi skor yang harus digunakan. Jika "Skor Tertinggi" ditentukan, tindakan akan membandingkan nilai saat ini dan memperbarui skor indikator saja, jika skor yang ditentukan lebih tinggi daripada skor manual dan yang dihasilkan saat ini. Jika "Perbarui Paksa" ditentukan, tindakan akan memperbarui skor indikator tanpa membandingkan nilai saat ini. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil (is_success = true): Jika Validasi Skor == "Skor Tertinggi" dan skor yang ditentukan dalam parameter tindakan lebih kecil daripada skor saat ini: (is_success = false): print "Action didn't update score for the indicator with value '{0}' in ThreatQ. Alasan: Skor saat ini lebih tinggi.".format(nilai indikator) Jika indikator tidak ditemukan (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Alasan: Indikator dengan nilai '{0}' dan jenis '{1}' tidak ditemukan di ThreatQ.".format(indicator value, indicator type) Jika gagal karena error umum(is_success = false): Print: "Action was not able to update score for the indicator with value '{0}' in ThreatQ.".format(indicator value) Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error saat menjalankan tindakan "Update Indicator Score". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.