ThreatQ
통합 버전: 12.0
출시 노트
PS 버전의 ThreatQ 통합을 사용하는 고객은 새 통합 버전에 맞게 플레이북을 업데이트해야 합니다. 'Get incident details'는 항목을 보강하지 않습니다. 대신 이 목적을 위한 다른 조치가 있습니다.
Google Security Operations에서 ThreatQ 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 선택 해제 | 아니요 | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 선택 해제 | 아니요 | 인스턴스에 대한 설명입니다. |
| ServerAddress | 문자열 | xx.xx.xx.xx | 예 | ThreatQ 인스턴스의 주소입니다. |
| ClientId | 문자열 | 해당 사항 없음 | 예 | ThreatQ API의 ClientId |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | 사용자의 이메일입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
EnrichCVE
설명
ThreatQ 정보를 사용하여 CVE 보강
매개변수
| 이름 | 유형 | 기본 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 기준점 | 정수 | 5 | 아니요 | 엔티티의 허용 가능한 점수 기준점을 설정합니다. 점수가 지정된 기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. |
| 소스 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 소스가 포함된 추가 테이블을 반환합니다. |
| 댓글 표시 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 댓글이 포함된 추가 표를 반환합니다. |
| 속성 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 속성이 포함된 추가 표를 반환합니다. |
| 허용 목록에 추가된 항목을 의심스러운 항목으로 표시 | 체크박스 | 선택 | 예 | 사용 설정하면 ThreatQ에서 엔티티가 허용 목록에 추가되어 있더라도 허용된 기준점을 통과한 경우 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 CVE 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
설명
ThreatQ 정보를 사용하여 이메일 주소를 보강합니다.
매개변수
| 이름 | 유형 | 기본 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 기준점 | 정수 | 5 | 아니요 | 엔티티의 허용 가능한 점수 기준점을 설정합니다. 점수가 지정된 기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. |
| 소스 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 소스가 포함된 추가 테이블을 반환합니다. |
| 댓글 표시 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 댓글이 포함된 추가 표를 반환합니다. |
| 속성 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 속성이 포함된 추가 표를 반환합니다. |
| 허용 목록에 추가된 항목을 의심스러운 항목으로 표시 | 체크박스 | 선택 | 예 | 사용 설정하면 ThreatQ에서 엔티티가 허용 목록에 추가되어 있더라도 허용된 기준점을 통과한 경우 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
설명
ThreatQ 정보를 사용하여 해시를 보강합니다.
매개변수
| 이름 | 유형 | 기본 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 기준점 | 정수 | 5 | 아니요 | 엔티티의 허용 가능한 점수 기준점을 설정합니다. 점수가 지정된 기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. |
| 소스 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 소스가 포함된 추가 테이블을 반환합니다. |
| 댓글 표시 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 댓글이 포함된 추가 표를 반환합니다. |
| 속성 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 속성이 포함된 추가 표를 반환합니다. |
| 허용 목록에 추가된 항목을 의심스러운 항목으로 표시 | 체크박스 | 선택 | 예 | 사용 설정하면 ThreatQ에서 엔티티가 허용 목록에 추가되어 있더라도 허용된 기준점을 통과한 경우 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
IP 보강
설명
ThreatQ 정보를 사용하여 IP를 보강합니다.
매개변수
| 이름 | 유형 | 기본 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 기준점 | 정수 | 5 | 아니요 | 엔티티의 허용 가능한 점수 기준점을 설정합니다. 점수가 지정된 기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. |
| 소스 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 소스가 포함된 추가 테이블을 반환합니다. |
| 댓글 표시 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 댓글이 포함된 추가 표를 반환합니다. |
| 속성 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 속성이 포함된 추가 표를 반환합니다. |
| 허용 목록에 추가된 항목을 의심스러운 항목으로 표시 | 체크박스 | 선택 | 예 | 사용 설정하면 ThreatQ에서 엔티티가 허용 목록에 추가되어 있더라도 허용된 기준점을 통과한 경우 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL 보강
설명
ThreatQ 정보를 사용하여 URL을 보강합니다.
매개변수
| 이름 | 유형 | 기본 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 기준점 | 정수 | 5 | 아니요 | 엔티티의 허용 가능한 점수 기준점을 설정합니다. 점수가 지정된 기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. |
| 소스 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 소스가 포함된 추가 테이블을 반환합니다. |
| 댓글 표시 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 관련 댓글이 포함된 추가 표를 반환합니다. |
| 속성 표시 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 작업에서 관련 속성이 포함된 추가 표를 반환합니다. |
| 허용 목록에 추가된 항목을 의심스러운 항목으로 표시 | 체크박스 | 선택 | 예 | 사용 설정하면 ThreatQ에서 엔티티가 허용 목록에 추가되어 있더라도 허용된 기준점을 통과한 경우 엔티티가 의심스러운 것으로 표시됩니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
지표 세부정보 가져오기
설명
CSV 형식으로 IP 주소의 세부정보를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
핑
설명
사용자 기기를 통해 사용자가 ThreatQ에 연결되어 있는지 확인합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_connect | True/False | is_connect:False |
지표 만들기
설명
ThreatQ에서 표시기 만들기
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 지표 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 파일 해시 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
예 | 새 지표의 유형을 지정합니다. |
| 상태 | DDL | 활성 가능한 값은 다음과 같습니다. 활성 만료됨 간접 검토 허용됨 |
예 | 새 표시기의 상태를 지정합니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 새 지표의 설명을 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 표시기를 성공적으로 만든 경우 (is_success = true): '다음 항목을 기반으로 ThreatQ에 표시기를 생성했습니다.\n {0}".format(entity.identifier list) 출력 특정 항목을 기반으로 지표를 만들지 못한 경우(is_success = true): '작업이 다음 항목을 기반으로 ThreatQ에서 표시기를 만들 수 없습니다.\n{0}'.format([entity.identifier]) 출력 모든 항목을 보강하지 못한 경우 (is_success = false): '지표가 생성되지 않았습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Create Indicator". 이유: {0}'.format(error.Stacktrace) |
일반 |
적대자 만들기
설명
ThreatQ에서 적대자를 만듭니다.
매개변수
해당 사항 없음
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 공격자를 성공적으로 생성한 경우 (is_success = true): 특정 항목을 기반으로 적대 세력을 만들 수 없는 경우(is_success = true): 모든 항목을 보강하지 못한 경우 (is_success = false): '보강된 적대자가 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Create Adversary".'를 출력합니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
이벤트 만들기
설명
ThreatQ에서 이벤트를 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제목 | 문자열 | 해당 사항 없음 | 예 | 일정 제목을 지정합니다. |
| 이벤트 유형 | DDL | 스피어피싱 가능한 값은 다음과 같습니다. 스피어피싱 워터링 홀 SQL 삽입 공격 DoS 공격 멀웨어 관심 목록 명령 및 제어 익명 처리 유출 호스트 특성 보안이 침해된 PKI 인증서 로그인 침해 이슈 목격 |
예 | 이벤트 유형을 지정합니다. |
| 발생 시간 | 문자열 | 해당 사항 없음 | 예 | 이벤트가 발생한 시점을 지정합니다. 이 필드에 아무것도 입력하지 않으면 작업에서 현재 시간을 사용합니다. 형식: YYYY-MM-DD hh:mm:ss |
실행
이 작업은 항목 유형에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 이벤트를 생성할 수 없는 경우 (is_success = false): '{0}' 이벤트가 ThreatQ에서 생성되지 않았습니다. 이유: {1}".format(title, errors/[0].value) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '이벤트 생성' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) 잘못된 시간 형식을 사용하는 경우: '이벤트 생성' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 잘못된 시간 형식이 '발생 시간' 작업 매개변수에 전달되었습니다. YYYY-MM-DD hh:mm:ss여야 합니다.'' |
일반 |
속성 추가
설명
작업은 객체에 속성을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 TTP 취약점 |
예 | 속성을 추가할 객체 유형을 지정합니다. |
| 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자의 이름 등이 될 수 있습니다. |
| 지표 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
예 | 표시기의 유형을 지정합니다. 이 매개변수는 객체 유형이 '지표'인 경우에만 사용됩니다. |
| 속성 이름 | 문자열 | 해당 사항 없음 | 예 | 속성 이름을 지정합니다. |
| 속성 값 | 문자열 | 해당 사항 없음 | 예 | 속성 값 지정 |
| 속성 소스 | 문자열 | 해당 사항 없음 | 아니요 | 속성의 소스를 지정합니다. |
실행
이 작업은 항목 유형에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 객체를 찾을 수 없는 경우 (is_success = false): '값이 '{1}'인 '{0}' 객체가 ThreatQ에서 발견되지 않았습니다.'.format(Object Type, Object identifier)를 출력합니다. 일반 오류인 경우 (is_success = false): '작업이 ThreatQ 객체에 속성 {0}을(를) 추가할 수 없습니다.'를 출력합니다.format(Attribute Name) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '속성 추가' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
소스 추가
설명
작업은 객체에 소스를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 TTP 취약점 |
예 | 소스를 추가할 객체 유형을 지정합니다. |
| 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자의 이름 등이 될 수 있습니다. |
| 지표 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
예 | 표시기의 유형을 지정합니다. 이 매개변수는 객체 유형이 '지표'인 경우에만 사용됩니다. |
| 소스 이름 | 문자열 | 해당 사항 없음 | 예 | 소스 이름을 지정합니다. |
실행
이 작업은 항목 유형에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 객체를 찾을 수 없는 경우 (is_success = false): '{0}' 객체(값 '{1}')가 ThreatQ에서 발견되지 않았습니다.'를 출력합니다.format(Object Type, Object Value) 일반 오류인 경우 (is_success = false): '작업이 ThreatQ 객체에 소스 {0}을(를) 추가할 수 없습니다.'.format(소스 이름)을 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '소스 추가' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
항목 연결
설명
ThreatQ의 모든 항목을 연결합니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- CVE
- IP 주소
- URL
- Filehash
- 사용자
- 이메일 정규식과 일치하는 모든 항목
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 성공적으로 연결된 경우 (is_success = true): 특정 항목의 관련 객체를 나열할 수 없는 경우(is_success = true): '작업이 ThreatQ에서 다음 항목을 연결할 수 없습니다.\n{0}'.format([entity.identifier])을 출력합니다. 모든 항목을 보강하지 못한 경우 (is_success = false): '연결된 항목이 없습니다'를 출력합니다. 항목이 하나만 제공된 경우: 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Link Entities". 이유: {0}'.format(error.Stacktrace) |
일반 |
항목을 객체에 연결
설명
ThreatQ의 모든 항목을 연결합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 항목을 연결할 객체의 유형을 지정합니다. |
| 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 항목을 연결할 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자 이름 등이 될 수 있습니다. |
| 지표 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
아니요 | 항목을 연결할 표시기 유형을 지정합니다. 이 매개변수는 소스 객체 유형이 '지표'인 경우에만 사용됩니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- CVE
- IP 주소
- URL
- Filehash
- 사용자
- 이메일 정규식과 일치하는 모든 항목
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 객체를 찾을 수 없는 경우 (is_success = false): '값이 '{1}'인 '{0}' 객체에 연결된 항목이 없습니다.'를 출력합니다. 이유: '{0}' 객체(값 '{1}')가 ThreatQ에서 발견되지 않았습니다.'.format(Object Type, Object Value) 성공하고 제공된 항목 중 하나 이상이 성공적으로 연결된 경우 (is_success = true): 특정 항목의 관련 객체를 나열할 수 없는 경우(is_success = true): '작업이 ThreatQ에서 값 '{1}'이(가) 있는 객체 '{0}'에 다음 항목을 연결할 수 없습니다.\n{2}'.format(Object Type, Object Identifier, [entity.identifier]) 출력 모든 항목을 보강하지 못한 경우 (is_success = false): '{1}' 값이 있는 '{0}' 객체에 연결된 항목이 없습니다.'를 출력합니다.'.format(Object Type, Object Identifier) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Link Entities To Object". 이유: {0}''.format(error.Stacktrace) |
일반 |
객체 연결
설명
작업은 ThreatQ에서 두 객체를 연결합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 소스 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 소스 객체의 유형을 지정합니다. |
| 소스 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 소스 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자 이름 등이 될 수 있습니다. |
| 소스 표시기 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
아니요 | 소스 표시기의 유형을 지정합니다. 이 매개변수는 소스 객체 유형이 '지표'인 경우에만 사용됩니다. |
| 대상 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 대상 객체의 유형을 지정합니다. |
| 대상 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 대상 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자의 이름 등이 될 수 있습니다. |
| 대상 지표 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
아니요 | 대상 표시기 유형을 지정합니다. 이 매개변수는 대상 객체 유형이 '지표'인 경우에만 사용됩니다. |
실행
이 작업은 항목 유형에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 객체를 찾을 수 없는 경우 (is_success = false): '{0}' 객체(값 '{1}')가 ThreatQ에서 발견되지 않았습니다.'를 출력합니다.format(Object Type, Object Value) 일반 오류인 경우 (is_success = false): '작업이 ThreatQ에서 객체를 연결할 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '오브젝트 연결' 작업을 실행하는 동안 오류가 발생했습니다.'를 출력합니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
관련 객체 나열
설명
ThreatQ의 작업 목록 관련 객체입니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 소스 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 소스 객체의 유형을 지정합니다. |
| 소스 객체 식별자 | 문자열 | 해당 사항 없음 | 예 | 소스 객체의 식별자를 지정합니다. 예를 들어 MD5 해시, 이벤트 제목, 적대자의 이름 등이 될 수 있습니다. |
| 소스 표시기 유형 | DDL | ASN 가능한 값은 다음과 같습니다. ASN 바이너리 문자열 CIDR 블록 CVE 이메일 주소 이메일 첨부파일 이메일 제목 파일 매핑 파일 경로 파일 이름 FQDN 퍼지 해시 GOST 해시 해시 ION IPv4 주소 IPv6 주소 MAC 주소 MD5 뮤텍스 비밀번호 레지스트리 키 서비스 이름 SHA-1 SHA-256 SHA-384 SHA-512 문자열 URL URL 경로 사용자 에이전트 사용자 이름 X-Mailer x509 Serial x509 주체 |
아니요 | 소스 표시기의 유형을 지정합니다. 이 매개변수는 소스 객체 유형이 '지표'인 경우에만 사용됩니다. |
| 관련 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 반환해야 하는 관련 객체의 유형을 지정합니다. |
| 반환할 최대 관련 객체 수 | 정수 | 50 | 아니요 | 반환할 관련 객체 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 소스 객체를 찾을 수 없는 경우 (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 관련 객체 유형에 관련 객체가 없는 경우(is_success=false): '관련 {0} 객체를 찾을 수 없습니다.'.format(관련 객체 유형) 출력 일반 오류인 경우 (is_success = false): '작업이 ThreatQ에서 관련 객체를 나열할 수 없었습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버에 연결 없음과 같은 치명적 오류의 경우: 'Error executing action "List Related Objects". 이유: {0}'.format(error.Stacktrace) |
일반 |
케이스 월 테이블 (객체 유형=이벤트) |
표 이름: 관련 'Event' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (객체 유형=파일) |
표 이름: 관련 '파일' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (객체 유형=Adversary) |
표 이름: 관련 'Adversary' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (기타 모든 객체 유형) |
표 이름: '{0}' 관련 객체'.format(Destination Object Type) 테이블 열:
|
일반 |
엔티티 관련 객체 나열
설명
ThreatQ의 항목과 관련된 객체를 나열하는 작업입니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 관련 객체 유형 | DDL | 공격자 가능한 값은 다음과 같습니다. 공격자 공격 패턴 캠페인 조치 과정 이벤트 익스플로잇 타겟 파일 ID 이슈 표시기 침입 세트 멀웨어 보고서 서명 작업 도구 TTP 취약점 |
예 | 반환해야 하는 관련 객체의 유형을 지정합니다. |
| 반환할 최대 관련 객체 수 | 정수 | 50 | 아니요 | 반환할 관련 객체 수를 지정합니다. 최댓값은 1,000입니다. 이는 ThreatQ 제한사항입니다. |
실행
이 작업은 모든 항목 유형에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| TQ_related_{0}_id.format(관련 객체 유형) | id | JSON 결과에서 사용할 수 있는 경우 |
| TQ_related_{0}_value.format(관련 객체 유형) | 명시적으로 초기화합니다. 관련 객체 유형이 이벤트 및 파일인 경우: 제목 관련 객체 유형이 적대적인 경우: name |
JSON 결과에서 사용할 수 있는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 표시기를 성공적으로 생성한 경우 (is_success = true): 특정 항목의 관련 객체를 나열할 수 없는 경우(is_success = true): 모든 항목을 보강하지 못한 경우 (is_success = false): '관련 객체가 나열되지 않았습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Related Objects". 이유: {0}'.format(error.Stacktrace) |
일반 |
케이스 월 테이블 (객체 유형=이벤트) |
표 이름: {entity identifier}의 관련 'Event' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (객체 유형=파일) |
테이블 이름: {entity identifier}의 관련 '파일' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (객체 유형=Adversary) |
표 이름: {엔티티 식별자}와 관련된 'Adversary' 객체 테이블 열:
|
일반 |
케이스 월 테이블 (기타 모든 객체 유형) |
테이블 이름: '{0}'과(와) 관련된 객체({entity identifier})'.format(Destination Object Type) 테이블 열:
|
일반 |
객체 만들기
설명
ThreatQ에서 객체를 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 객체 유형 | DDL | 공격 패턴 가능한 값은 다음과 같습니다. 공격 패턴 캠페인 조치 과정 익스플로잇 타겟 ID 이슈 침입 세트 멀웨어 보고서 도구 TTP 취약점 |
예 | 객체의 유형을 지정합니다. |
| 값 | 문자열 | 해당 사항 없음 | 예 | 새 객체의 값을 지정합니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 새 객체에 대한 설명을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| TQ_related_{0}_id.format(관련 객체 유형) | id | JSON 결과에서 사용할 수 있는 경우 |
| TQ_related_{0}_value.format(관련 객체 유형) | 명시적으로 초기화합니다. 관련 객체 유형이 이벤트 및 파일인 경우: 제목 관련 객체 유형이 적대적인 경우: name |
JSON 결과에서 사용할 수 있는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 새 작업을 만들 수 없는 경우 (is_success = false): '작업이 ThreatQ에서 새 {0} 객체를 만들지 못했습니다.'.format(object_type)을 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Create Object". 이유: {0}'.format(error.Stacktrace) |
일반 |
멀웨어 세부정보 가져오기
설명
작업은 ThreatQ의 항목을 기반으로 멀웨어에 관한 정보를 반환합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 추가 정보 | 문자열 | 해당 사항 없음 | 아니요 | 응답에 포함할 추가 필드를 지정합니다. 가능한 값: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| TQ_malware_id | id | JSON 결과에서 사용할 수 있는 경우 |
| TQ_malware_status_id | status_id | JSON 결과에서 사용할 수 있는 경우 |
| TQ_malware_type_id | type_id | JSON 결과에서 사용할 수 있는 경우 |
| TQ_malware_description | 설명 | JSON 결과에서 사용할 수 있는 경우 |
| TQ_malware_created_at | created_at | JSON 결과에서 사용할 수 있는 경우 |
| TQ_malware_updated_at | updated_at | JSON 결과에서 사용할 수 있는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 성공적으로 보강된 경우 (is_success = true): 특정 항목의 관련 객체를 나열할 수 없는 경우(is_success = true): 모든 항목을 보강하지 못한 경우 (is_success = false): '보강된 항목이 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Get Malware Details". 이유: {0}'.format(error.Stacktrace) |
일반 |
| 링크 | 이름: {entity} 세부정보 Link:https://{server_ip}malware/{id}/details |
이벤트 나열
설명
ThreatQ의 이벤트를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 추가 입력란 | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | 아니요 | 응답에 포함할 추가 필드를 지정합니다. 가능한 값: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| 필드 정렬 | DDL | ID 가능한 값은 다음과 같습니다. ID 제목 생성일 업데이트 시간 발생 시간 |
아니요 | 이벤트를 정렬하는 데 사용할 필드를 지정합니다. |
| 정렬 방향 | DDL | 오름차순 가능한 값: 오름차순 내림차순 |
아니요 | 정렬 방향을 지정합니다. |
| 반환할 최대 이벤트 수 | 정수 | 50 | 아니요 | 반환할 이벤트 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 데이터를 사용할 수 있는 경우 (is_success=true): 'Successfully listed ThreatQ events.'를 출력합니다. 이벤트가 없는 경우 (is_success=false): 'ThreatQ에서 이벤트를 찾을 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Events". 이유: {0}'.format(error.Stacktrace) '추가 필드' 매개변수에 잘못된 필드가 지정된 경우: 'Error executing action "List Events". 이유: '추가 필드' 매개변수에 잘못된 필드가 지정되었습니다. '''.format(error.Stacktrace)' |
일반 |
| CSV 월 테이블 | 표 이름: ThreatQ 이벤트 표 열:
|
일반 |
지표 나열
설명
ThreatQ의 지표를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 추가 입력란 | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | 아니요 | 응답에 포함할 추가 필드를 지정합니다. 가능한 값: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist |
| 필드 정렬 | DDL | ID 가능한 값은 다음과 같습니다. ID 제목 생성일 업데이트 시간 발생 시간 |
아니요 | 표시기를 정렬하는 데 사용할 필드를 지정합니다. |
| 정렬 방향 | DDL | 오름차순 가능한 값: 오름차순 내림차순 |
아니요 | 정렬 방향을 지정합니다. |
| 반환할 최대 이벤트 수 | 정수 | 50 | 아니요 | 반환할 지표 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 데이터를 사용할 수 있는 경우 (is_success=true): 'ThreatQ adversaries를 나열했습니다.'를 출력합니다. 사용 가능한 데이터가 없는 경우 (is_success=false): 'ThreatQ에서 적대자를 찾을 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Adversaries". 이유: {0}'.format(error.Stacktrace) '추가 필드' 매개변수에 잘못된 필드가 지정된 경우: 'Error executing action "List Adversaries". 이유: '추가 필드' 매개변수에 잘못된 필드가 지정되었습니다. '''.format(error.Stacktrace)' |
일반 |
| CSV 월 테이블 | 표 이름: ThreatQ Indicators 표 열:
|
일반 |
공격자 나열
설명
ThreatQ의 적대 세력을 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 추가 입력란 | CSV | adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. | 아니요 | 응답에 포함할 추가 필드를 지정합니다. 가능한 값: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist |
| 필드 정렬 | DDL | ID 가능한 값은 다음과 같습니다. ID 제목 생성일 업데이트 시간 발생 시간 |
아니요 | 적대자를 정렬하는 데 사용할 필드를 지정합니다. |
| 정렬 방향 | DDL | 오름차순 가능한 값: 오름차순 내림차순 |
아니요 | 정렬 방향을 지정합니다. |
| 반환할 최대 이벤트 수 | 정수 | 50 | 아니요 | 반환할 지표 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 데이터를 사용할 수 있는 경우 (is_success=true): 'ThreatQ 지표를 나열했습니다.'가 출력됩니다. 데이터를 사용할 수 없는 경우 (is_success=false): 'ThreatQ에서 지표를 찾을 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Indicators". 이유: {0}'.format(error.Stacktrace) '추가 필드' 매개변수에 잘못된 필드가 지정된 경우: 'Error executing action "List Indicators". 이유: '추가 필드' 매개변수에 잘못된 필드가 지정되었습니다. '''.format(error.Stacktrace)' |
일반 |
| CSV 월 테이블 | 표 이름: ThreatQ Indicators 표 열:
|
일반 |
표시기 상태 업데이트
설명
ThreatQ에서 작업 업데이트 표시기 상태
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 상태 | DDL | 활성 가능한 값은 다음과 같습니다. 활성 만료됨 간접 검토 허용됨 |
참 | 표시기의 새 상태를 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 표시기를 찾을 수 없는 경우 (is_success = false): 일반 오류로 인해 실패한 경우(is_success = false): '{0}' 값의 지표 상태를 ThreatQ에서 업데이트할 수 없습니다.'를 출력합니다.format(indicator value) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '표시기 상태 업데이트' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
지표 점수 업데이트
설명
작업이 ThreatQ의 표시기 점수를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 점수 | DDL | '7 - Medium' 가능한 값은 다음과 같습니다. '0 - 매우 낮음' '1 - 매우 낮음' '2 - 매우 낮음' '3 - 매우 낮음' '4 - 매우 낮음' '5 - 낮음' '6 - Low' '7 - Medium' '8 - Medium' '9 - 높음' '10 - 매우 높음' |
예 | 지표의 새 점수를 지정합니다. |
| 점수 유효성 검사 | DDL | 최고 점수 가능한 값은 다음과 같습니다. 최고 점수 강제 업데이트 |
예 | 사용할 점수 유효성 검사의 종류를 지정합니다. '최고 점수'가 지정된 경우 작업은 현재 값을 비교하고 지정된 점수가 현재 생성된 점수 및 수동 점수보다 높은 경우에만 표시기의 점수를 업데이트합니다. '강제 업데이트'가 지정되면 작업은 현재 값을 비교하지 않고 지표의 점수를 업데이트합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success = true): 점수 유효성 검사가 '최고 점수'이고 작업 매개변수에 지정된 점수가 현재 점수보다 작은 경우(is_success = false): print "Action didn't update score for the indicator with value '{0}' in ThreatQ. 이유: 현재 점수가 더 높습니다.'.format(indicator value) 표시기를 찾을 수 없는 경우 (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. 이유: ThreatQ에서 값 '{0}' 및 유형 '{1}'이(가) 있는 표시기를 찾을 수 없습니다.'.format(indicator value, indicator type) 일반 오류로 인해 실패한 경우(is_success = false): '{0}' 값이 있는 지표의 점수를 ThreatQ에서 업데이트할 수 없습니다.'를 출력합니다.format(indicator value) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Update Indicator Score". 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.