ThreatQ
Versione integrazione: 12.0
Note di rilascio
I clienti che hanno una versione PS dell'integrazione ThreatQ dovranno aggiornare i propri playbook in modo che siano allineati alla nuova versione dell'integrazione. "Ottieni dettagli dell'incidente" non arricchirà le entità. Abbiamo altre azioni per questo scopo.
Configurare l'integrazione di ThreatQ in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | Deselezionata | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | Deselezionata | No | Descrizione dell'istanza. |
| ServerAddress | Stringa | xx.xx.xx.xx | Sì | L'indirizzo dell'istanza ThreatQ. |
| ClientId | Stringa | N/D | Sì | ClientID per l'API ThreatQ |
| Nome utente | Stringa | N/D | Sì | Email dell'utente. |
| Password | Password | N/D | Sì | La password dell'utente corrispondente. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
EnrichCVE
Descrizione
Arricchisci una CVE utilizzando le informazioni di ThreatQ.
Parametri
| Nome | Tipo | Predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia punteggio | Numero intero | 5 | No | Imposta la soglia del punteggio accettabile per l'entità. Se il punteggio supera la soglia specificata, l'entità verrà contrassegnata come sospetta. |
| Mostra origini | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con le origini correlate. |
| Mostra commenti | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con i commenti correlati. |
| Mostra attributi | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con gli attributi correlati. |
| Contrassegna le entità consentite come sospette | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione contrassegnerà le entità come sospette se hanno superato la soglia consentita, anche se l'entità è inclusa nella lista consentita in ThreatQ. |
Run On
Questa azione viene eseguita sull'entità CVE.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Descrizione
Arricchisci un indirizzo email utilizzando le informazioni di ThreatQ.
Parametri
| Nome | Tipo | Predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia punteggio | Numero intero | 5 | No | Imposta la soglia del punteggio accettabile per l'entità. Se il punteggio supera la soglia specificata, l'entità verrà contrassegnata come sospetta. |
| Mostra origini | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con le origini correlate. |
| Mostra commenti | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con i commenti correlati. |
| Mostra attributi | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con gli attributi correlati. |
| Contrassegna le entità consentite come sospette | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione contrassegnerà le entità come sospette se hanno superato la soglia consentita, anche se l'entità è inclusa nella lista consentita in ThreatQ. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Descrizione
Arricchisci un hash utilizzando le informazioni di ThreatQ.
Parametri
| Nome | Tipo | Predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia punteggio | Numero intero | 5 | No | Imposta la soglia del punteggio accettabile per l'entità. Se il punteggio supera la soglia specificata, l'entità verrà contrassegnata come sospetta. |
| Mostra origini | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con le origini correlate. |
| Mostra commenti | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con i commenti correlati. |
| Mostra attributi | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con gli attributi correlati. |
| Contrassegna le entità consentite come sospette | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione contrassegnerà le entità come sospette se hanno superato la soglia consentita, anche se l'entità è inclusa nella lista consentita in ThreatQ. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Arricchisci IP
Descrizione
Arricchisci un IP utilizzando le informazioni di ThreatQ.
Parametri
| Nome | Tipo | Predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia punteggio | Numero intero | 5 | No | Imposta la soglia del punteggio accettabile per l'entità. Se il punteggio supera la soglia specificata, l'entità verrà contrassegnata come sospetta. |
| Mostra origini | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con le origini correlate. |
| Mostra commenti | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con i commenti correlati. |
| Mostra attributi | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con gli attributi correlati. |
| Contrassegna le entità consentite come sospette | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione contrassegnerà le entità come sospette se hanno superato la soglia consentita, anche se l'entità è inclusa nella lista consentita in ThreatQ. |
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
Arricchisci URL
Descrizione
Arricchisci un URL utilizzando le informazioni di ThreatQ.
Parametri
| Nome | Tipo | Predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia punteggio | Numero intero | 5 | No | Imposta la soglia del punteggio accettabile per l'entità. Se il punteggio supera la soglia specificata, l'entità verrà contrassegnata come sospetta. |
| Mostra origini | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con le origini correlate. |
| Mostra commenti | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con i commenti correlati. |
| Mostra attributi | Casella di controllo | Selezionata | No | Se attivata, l'azione restituirà una tabella aggiuntiva con gli attributi correlati. |
| Contrassegna le entità consentite come sospette | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione contrassegnerà le entità come sospette se hanno superato la soglia consentita, anche se l'entità è inclusa nella lista consentita in ThreatQ. |
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Recupera dettagli indicatore
Descrizione
Visualizza i dettagli di un indirizzo IP in formato CSV.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| null | N/D | N/D |
Dindin
Descrizione
Verifica che l'utente abbia una connessione a ThreatQ tramite il proprio dispositivo.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_connect | Vero/Falso | is_connect:False |
Crea indicatore
Descrizione
Crea un indicatore in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di indicatore | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio Hash file SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
Sì | Specifica il tipo di nuovo indicatore. |
| Stato | DDL | Attivo Valori possibili: Attivo Scaduto Indiretta Rivedi Inserita nell'elenco delle app autorizzate |
Sì | Specifica lo stato del nuovo indicatore. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione del nuovo indicatore. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se l'operazione ha esito positivo e almeno una delle entità fornite ha creato correttamente un indicatore (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Se non riesci a creare indicatori basati sulle entità specifiche(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): print: "No indicators were created." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Create Indicator". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Crea avversario
Descrizione
Crea un avversario in ThreatQ.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Utente.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione ha esito positivo e almeno una delle entità fornite ha creato correttamente un avversario (is_success = true): If fail to create adversaries based on the specific entities(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Nessun avversario è stato arricchito." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Create Adversary". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Creazione di un evento
Descrizione
Crea un evento in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Titolo | Stringa | N/D | Sì | Specifica il titolo dell'evento. |
| Tipo di evento | DDL | Spearphish Valori possibili: Spearphish Watering Hole Attacco SQL injection Attacco DoS Malware Lista di titoli Comando e controllo Anonimizzazione Esfiltrazione Caratteristiche dell'host Certificato PKI compromesso Compromissione dell'accesso Incidente Avvistamento |
Sì | Specifica il tipo di evento. |
| Data e ora dell'evento | Stringa | N/D | Sì | Specifica quando si è verificato l'evento. Se non viene inserito nulla in questo campo, l'azione utilizzerà l'ora corrente. Formato: AAAA-MM-GG hh:mm:ss |
Run On
Questa azione non viene eseguita sui tipi di entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine (is_success = true): Se la creazione dell'evento non va a buon fine (is_success = false): Stampa: "L'evento "{0}" non è stato creato in ThreatQ. Motivo: {1}".format(title, errors/[0].value) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Create Event". Motivo: {0}''.format(error.Stacktrace) Se viene utilizzato un formato ora errato: print "Error executing action "Create Event". Motivo: è stato trasmesso un formato dell'ora errato al parametro di azione "Si è verificato alle ore". Deve essere AAAA-MM-GG hh:mm:ss."" |
Generale |
Aggiungi attributo
Descrizione
L'azione aggiunge un attributo all'oggetto.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma TTP Vulnerabilità |
Sì | Specifica a quale tipo di oggetto deve essere aggiunto l'attributo. |
| Identificatore oggetto | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
Sì | Specifica il tipo di indicatore. Questo parametro viene utilizzato solo se il tipo di oggetto è "Indicatore". |
| Nome attributo | Stringa | N/D | Sì | Specifica il nome dell'attributo. |
| Valore attributo | Stringa | N/D | Sì | Specifica il valore dell'attributo |
| Origine attributo | Stringa | N/D | No | Specifica l'origine dell'attributo. |
Run On
Questa azione non viene eseguita sui tipi di entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful (is_success = true): Se l'oggetto non è stato trovato (is_success = false): Stampa: "L'oggetto '{0}' con valore '{1}' non è stato trovato in ThreatQ.".format(Tipo di oggetto, identificatore oggetto) Se si verifica un errore generale (is_success = false): Stampa "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "Add Attribute". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiungi origine
Descrizione
L'azione aggiunge una fonte all'oggetto.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma TTP Vulnerabilità |
Sì | Specifica a quale tipo di oggetto deve essere aggiunta l'origine. |
| Identificatore oggetto | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
Sì | Specifica il tipo di indicatore. Questo parametro viene utilizzato solo se il tipo di oggetto è "Indicatore". |
| Nome origine | Stringa | N/D | Sì | Specifica il nome dell'origine. |
Run On
Questa azione non viene eseguita sui tipi di entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful (is_success = true): Se l'oggetto non è stato trovato (is_success = false): Stampa: "L'oggetto '{0}' con valore '{1}' non è stato trovato in ThreatQ.".format(Object Type, Object Value) Se si verifica un errore generale (is_success = false): Stampa "Action was not able to add source {0} to the ThreatQ object.".format(Source Name) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: stampa "Error executing action "Add Source". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Entità di link
Descrizione
I link di azione collegano tutte le entità in ThreatQ.
Run On
Questa azione viene eseguita sulle seguenti entità:
- CVE
- Indirizzo IP
- URL
- Filehash
- Utente
- Tutte le entità che corrispondono all'espressione regolare dell'email
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è stata collegata correttamente (is_success = true): Se non riesci a elencare gli oggetti correlati per entità specifiche(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Nessuna entità è stata collegata." Se viene fornita una sola entità: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Link Entities". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Collega entità all'oggetto
Descrizione
I link di azione collegano tutte le entità in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto a cui vuoi collegare le entità. |
| Identificatore oggetto | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto a cui vuoi collegare le entità. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
No | Specifica il tipo di indicatore a cui vuoi collegare le entità. Questo parametro viene utilizzato solo se il tipo di oggetto di origine è "Indicatore". |
Run On
Questa azione viene eseguita sulle seguenti entità:
- CVE
- Indirizzo IP
- URL
- Filehash
- Utente
- Tutte le entità che corrispondono all'espressione regolare dell'email
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'oggetto non è stato trovato (is_success = false): Stampa: "Nessuna entità è stata collegata all'oggetto "{0}" con il valore "{1}". Motivo: l'oggetto "{0}" con valore "{1}" non è stato trovato in ThreatQ.".format(Object Type, Object Value) Se l'operazione va a buon fine e almeno una delle entità fornite è stata collegata correttamente (is_success = true): Se non riesci a elencare gli oggetti correlati per entità specifiche(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Nessuna entità è stata collegata all'oggetto "{0}" con valore "{1}".".format(Tipo di oggetto, Identificatore oggetto) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Link Entities To Object". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Oggetti di collegamento
Descrizione
I link di azione collegano due oggetti in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto di origine | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto di origine. |
| Identificatore oggetto di origine | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto di origine. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore di origine | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
No | Specifica il tipo di indicatore della fonte. Questo parametro viene utilizzato solo se il tipo di oggetto di origine è "Indicatore". |
| Tipo di oggetto di destinazione | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto di destinazione. |
| Identificatore oggetto di destinazione | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto di destinazione. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore di destinazione | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
No | Specifica il tipo di indicatore di destinazione. Questo parametro viene utilizzato solo se il tipo di oggetto di destinazione è "Indicatore". |
Run On
Questa azione non viene eseguita sui tipi di entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful (is_success = true): Se l'oggetto non è stato trovato (is_success = false): Stampa: "L'oggetto '{0}' con valore '{1}' non è stato trovato in ThreatQ.".format(Object Type, Object Value) Se si verifica un errore generale (is_success = false): print "Action was not able to link objects in ThreatQ." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "Link Objects". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Elenco degli oggetti correlati
Descrizione
Gli elenchi di azioni correlano gli oggetti in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto di origine | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto di origine. |
| Identificatore oggetto di origine | Stringa | N/D | Sì | Specifica l'identificatore dell'oggetto di origine. Ad esempio, può essere un hash MD5, il titolo dell'evento, il nome dell'avversario e così via. |
| Tipo di indicatore di origine | DDL | ASN Valori possibili: ASN Stringa binaria Blocco CIDR CVE Indirizzo email Allegato email Oggetto email Mappatura dei file Percorso file Nome file FQDN Hash fuzzy Hash GOST Hash ION Indirizzo IPv4 Indirizzo IPv6 Indirizzo MAC MD5 Mutex Password Chiave di registro Nome servizio SHA-1 SHA-256 SHA-384 SHA-512 Stringa URL Percorso URL User-agent Nome utente X-Mailer x509 Serial x509 Subject |
No | Specifica il tipo di indicatore della fonte. Questo parametro viene utilizzato solo se il tipo di oggetto di origine è "Indicatore". |
| Tipo di oggetto correlato | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto correlato da restituire. |
| Numero massimo di oggetti correlati da restituire | Numero intero | 50 | No | Specifica il numero di oggetti correlati da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful (is_success = true): Se l'oggetto origine non è stato trovato (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Se non sono presenti oggetti correlati per il tipo di oggetto correlato : (is_success=false): Stampa "Nessun oggetto {0} correlato trovato.".format(Related Object Type) Se si verifica un errore generale (is_success = false): Stampa "L'azione non è stata in grado di elencare gli oggetti correlati in ThreatQ". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Tabella Bacheca casi (Tipo di oggetto=Evento) |
Nome tabella: oggetti "Evento" correlati Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Tipo di oggetto=File) |
Nome tabella: oggetti "File" correlati Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Object type=Adversary) |
Nome tabella: Oggetti "Avversario" correlati Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Tutti gli altri tipi di oggetti) |
Nome tabella: "Oggetti correlati "{0}"".format(Destination Object Type) Colonne della tabella:
|
Generale |
Elenco degli oggetti correlati all'entità
Descrizione
Elenchi di azioni correlati a oggetti per le entità in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto correlato | DDL | Aggressore Valori possibili: Aggressore Pattern di attacco Campagna Corso di azione Evento Target dell'exploit File Identità Incidente Indicatore Intrusion Set Malware Segnala Firma Attività Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto correlato da restituire. |
| Numero massimo di oggetti correlati da restituire | Numero intero | 50 | No | Specifica il numero di oggetti correlati da restituire. Il valore massimo è 1000. Si tratta di una limitazione di ThreatQ. |
Run On
Questa azione viene eseguita su tutti i tipi di entità.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Se disponibile nel risultato JSON. |
| TQ_related_{0}_value.format(Related object type) | un valore. Se il tipo di oggetto correlato è evento e file: titolo Se il tipo di oggetto correlato è = avversario: nome |
Se disponibile nel risultato JSON. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se l'operazione va a buon fine e almeno una delle entità fornite ha creato correttamente un indicatore (is_success = true): If fail to list related objects for specific entities(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Non sono stati elencati oggetti correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Tabella Bacheca casi (Tipo di oggetto=Evento) |
Nome tabella: oggetti "Evento" correlati per {entity identifier} Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Tipo di oggetto=File) |
Nome tabella: Oggetti "File" correlati per {entity identifier} Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Object type=Adversary) |
Nome tabella: Oggetti "Avversario" correlati per {entity identifier} Colonne della tabella:
|
Generale |
Tabella Bacheca casi (Tutti gli altri tipi di oggetti) |
Nome tabella: "Related '{0}' objects for {entity identifier}".format(Destination Object Type) Colonne della tabella:
|
Generale |
Crea oggetto
Descrizione
Crea un oggetto in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di oggetto | DDL | Pattern di attacco Valori possibili: Pattern di attacco Campagna Corso di azione Target dell'exploit Identità Incidente Intrusion Set Malware Segnala Strumento TTP Vulnerabilità |
Sì | Specifica il tipo di oggetto. |
| Valore | Stringa | N/D | Sì | Specifica il valore del nuovo oggetto. |
| Descrizione | Stringa | N/D | No | Specifica la descrizione del nuovo oggetto. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Se disponibile nel risultato JSON. |
| TQ_related_{0}_value.format(Related object type) | un valore. Se il tipo di oggetto correlato è evento e file: titolo Se il tipo di oggetto correlato è = avversario: nome |
Se disponibile nel risultato JSON. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful (is_success = true): Se la creazione della nuova azione non va a buon fine (is_success = false): Stampa: "L'azione non è riuscita a creare un nuovo oggetto {0} in ThreatQ.".format(object_type) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "Create Object". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Visualizzare i dettagli del malware
Descrizione
L'azione restituisce informazioni sul malware in base alle entità di ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Informazioni aggiuntive | Stringa | N/D | No | Specifica quali campi aggiuntivi devono essere inclusi nella risposta. Valori possibili: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| TQ_malware_id | id | Se disponibile nel risultato JSON. |
| TQ_malware_status_id | status_id | Se disponibile nel risultato JSON. |
| TQ_malware_type_id | type_id | Se disponibile nel risultato JSON. |
| TQ_malware_description | descrizione | Se disponibile nel risultato JSON. |
| TQ_malware_created_at | created_at | Se disponibile nel risultato JSON. |
| TQ_malware_updated_at | updated_at | Se disponibile nel risultato JSON. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è stata arricchita (is_success = true): Se non riesci a elencare gli oggetti correlati per entità specifiche(is_success = true): Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa: "Nessuna entità è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "Get Malware Details". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Link | Nome:dettagli per {entity} Link:https://{server_ip}malware/{id}/details |
Elenco eventi
Descrizione
Elenca gli eventi da ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campi aggiuntivi | CSV | avversari, allegati, attributi, commenti, eventi, indicatori, firme, fonti, spearphish, tag, tipo, watchlist. | No | Specifica quali campi aggiuntivi devono essere inclusi nella risposta. Valori possibili: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Campo di ordinamento | DDL | ID Valori possibili: ID Titolo Ora di creazione: Data/ora di aggiornamento Data e ora dell'evento |
No | Specifica il campo da utilizzare per ordinare gli eventi. |
| Direzione ordinamento | DDL | In ordine crescente Valori possibili: crescente In ordine decrescente |
No | Specifica la direzione di ordinamento. |
| Numero massimo di eventi da restituire | Numero intero | 50 | No | Specifica il numero di eventi da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: in caso di esito positivo e disponibilità dei dati (is_success=true): print "Successfully listed ThreatQ events." Se l'operazione non riesce (is_success=false): print "No events were found in ThreatQ." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "List Events". Motivo: {0}''.format(error.Stacktrace) Se nel parametro "Campi aggiuntivi" è specificato un campo non valido: print "Error executing action "List Events". Motivo: è stato specificato un campo non valido nel parametro "Campi aggiuntivi". '''.format(error.Stacktrace)" |
Generale |
| Tabella a muro CSV | Nome tabella:ThreatQ Events Colonna della tabella:
|
Generale |
Elenco indicatori
Descrizione
Elenca gli indicatori di ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campi aggiuntivi | CSV | avversari, allegati, attributi, commenti, eventi, indicatori, firme, fonti, spearphish, tag, tipo, watchlist. | No | Specifica quali campi aggiuntivi devono essere inclusi nella risposta. Valori possibili: avversari, allegati, attributi, commenti, eventi, indicatori, punteggio, firme, fonti, stato, tag, tipo, watchlist. |
| Campo di ordinamento | DDL | ID Valori possibili: ID Titolo Ora di creazione: Data/ora di aggiornamento Data e ora dell'evento |
No | Specifica quale campo deve essere utilizzato per ordinare gli indicatori. |
| Direzione ordinamento | DDL | In ordine crescente Valori possibili: crescente In ordine decrescente |
No | Specifica la direzione di ordinamento. |
| Numero massimo di eventi da restituire | Numero intero | 50 | No | Specifica il numero di indicatori da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: in caso di esito positivo e disponibilità dei dati (is_success=true): print "Successfully listed ThreatQ adversaries." Se non sono disponibili dati (is_success=false): Stampa "Nessun avversario trovato in ThreatQ". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "List Adversaries". Motivo: {0}''.format(error.Stacktrace) Se nel parametro "Campi aggiuntivi" è specificato un campo non valido: print "Error executing action "List Adversaries". Motivo: è stato specificato un campo non valido nel parametro "Campi aggiuntivi". '''.format(error.Stacktrace)" |
Generale |
| Tabella a muro CSV | Nome tabella: ThreatQ Indicators Colonna della tabella:
|
Generale |
Elenco avversari
Descrizione
Elenca gli avversari di ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Campi aggiuntivi | CSV | avversari, allegati, attributi, commenti, eventi, indicatori, firme, fonti, spearphish, tag, tipo, watchlist. | No | Specifica quali campi aggiuntivi devono essere inclusi nella risposta. Valori possibili: avversari, allegati, attributi, commenti, eventi, indicatori, punteggio, firme, fonti, stato, tag, tipo, watchlist. |
| Campo di ordinamento | DDL | ID Valori possibili: ID Titolo Ora di creazione: Data/ora di aggiornamento Data e ora dell'evento |
No | Specifica quale campo deve essere utilizzato per ordinare gli avversari. |
| Direzione ordinamento | DDL | In ordine crescente Valori possibili: crescente In ordine decrescente |
No | Specifica la direzione di ordinamento. |
| Numero massimo di eventi da restituire | Numero intero | 50 | No | Specifica il numero di indicatori da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: in caso di esito positivo e disponibilità dei dati (is_success=true): print "Successfully listed ThreatQ indicators." Se non sono disponibili dati (is_success=false): stampa "Nessun indicatore trovato in ThreatQ". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "List Indicators". Motivo: {0}''.format(error.Stacktrace) Se nel parametro "Campi aggiuntivi" è specificato un campo non valido: print "Error executing action "List Indicators". Motivo: è stato specificato un campo non valido nel parametro "Campi aggiuntivi". '''.format(error.Stacktrace)" |
Generale |
| Tabella a muro CSV | Nome tabella: ThreatQ Indicators Colonna della tabella:
|
Generale |
Aggiornare lo stato dell'indicatore
Descrizione
L'indicatore di stato dell'azione in ThreatQ viene aggiornato.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Stato | DDL | Attivo Valori possibili: Attivo Scaduto Indiretta Rivedi Inserita nell'elenco delle app autorizzate |
Vero | Specifica il nuovo stato dell'indicatore. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione ha esito positivo (is_success = true): Se l'indicatore non è stato trovato (is_success = false): If fail general error(is_success = false): Stampa: "L'azione non è riuscita ad aggiornare lo stato dell'indicatore con valore "{0}" in ThreatQ.".format(indicator value) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: stampa "Error executing action "Update Indicator Status". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiorna punteggio indicatore
Descrizione
L'indicatore degli aggiornamenti delle azioni in ThreatQ.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Punteggio | DDL | "7 - Media" Valori possibili: "0 - Molto basso" "1 - Molto basso" "2 - Molto basso" "3 - Molto basso" "4 - Molto basso" "5 - Basso" "6 - Low" (6 - Basso) "7 - Media" "8 - Media" "9 - Alto" "10 - Molto alto" |
Sì | Specifica il nuovo punteggio dell'indicatore. |
| Convalida del punteggio | DDL | Punteggio più alto Valori possibili: Punteggio più alto Forza aggiornamento |
Sì | Specifica il tipo di convalida del punteggio da utilizzare. Se è specificato "Punteggio più alto", l'azione confronta i valori correnti e aggiorna solo il punteggio dell'indicatore se il punteggio specificato è superiore a quello generato e manuale corrente. Se è specificato "Forza aggiornamento", l'azione aggiornerà il punteggio dell'indicatore senza confrontare i valori correnti. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine (is_success = true): Se Score Validation == "Highest Score" e il punteggio specificato nel parametro action è inferiore a quelli attuali: (is_success = false): print "Action didn't update score for the indicator with value '{0}' in ThreatQ. Motivo: il punteggio attuale è più alto.".format(indicator value) Se l'indicatore non è stato trovato (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Motivo: l'indicatore con valore "{0}" e tipo "{1}" non è stato trovato in ThreatQ.".format(indicator value, indicator type) If fail general error(is_success = false): Stampa: "L'azione non è riuscita ad aggiornare il punteggio dell'indicatore con valore "{0}" in ThreatQ.".format(indicator value) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: print "Error executing action "Update Indicator Score". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.