本頁面由 Cloud Translation API 翻譯而成。

ThreatQ

整合版本：12.0

版本資訊

如果客戶使用 PS 版本的 ThreatQ 整合服務，就必須更新劇本，才能與新版整合服務相容。「Get incident details」不會擴充實體。我們提供其他動作來達成這個目的。

在 Google Security Operations 中設定 ThreatQ 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
執行個體名稱	字串	已取消勾選	否	您要設定整合的執行個體名稱。
說明	字串	已取消勾選	否	執行個體的說明。
ServerAddress	字串	xx.xx.xx.xx	是	ThreatQ 執行個體的位址。
ClientId	字串	不適用	是	ThreatQ API 的 ClientId
使用者名稱	字串	不適用	是	使用者的電子郵件地址。
密碼	密碼	不適用	是	相應使用者的密碼。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

EnrichCVE

說明

使用 ThreatQ 資訊擴充 CVE。

參數

名稱	類型	預設	是否為必要項目	說明
分數門檻	整數	5	否	設定實體可接受的分數門檻。如果分數超過指定門檻，實體就會標示為可疑。
顯示來源	核取方塊	已勾選	否	啟用後，動作會傳回含有相關來源的額外表格。
顯示註解	核取方塊	已勾選	否	如果啟用這項功能，動作會傳回含有相關留言的額外表格。
顯示屬性	核取方塊	已勾選	否	啟用後，動作會傳回含有相關屬性的額外表格。
將已加入白名單的實體標示為可疑	核取方塊	已勾選	是	啟用後，即使實體已列入 ThreatQ 許可清單，只要超過允許的閾值，動作就會將實體標示為可疑。

執行時間

這項操作會對 CVE 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "No longer poses a serious threat.",
                    "name": "Expired",
                    "id": 2
                },
                "hash": "f74ee458b6e12452a04c6595bb3cd2d9",
                "adversaries": [],
                "status_id": 2,
                "created_at": "2020-04-15 13:37:43",
                "type_id": 5,
                "updated_at": "2020-04-15 13:37:43",
                "value": "star@star.star",
                "id": 36,
                "touched_at": "2020-04-15 13:37:43",
                "sources": [{
                    "name": "Domain Tools",
                    "source_type": "plugins",
                    "creator_source_id": 8,
                    "created_at": "2020-04-15 13:37:43",
                    "indicator_type_id": 5,
                    "updated_at": "2020-04-15 13:37:43",
                    "indicator_status_id": 2,
                    "indicator_id": 36,
                    "published_at": "2020-04-15 13:37:43",
                    "reference_id": 1,
                    "source_id": 5,
                    "id": 44
                }],
                "published_at": "2020-04-15 13:37:43",
                "score": 0,
                "type": {
                    "class": "network",
                    "name": "Email Address",
                    "id": 5
                },
                "class": "network",
                "expired_at": "2020-04-15 13:37:43"
            }]},
        "Entity": "email@example.com"
    }
]

EnrichEmail

說明

使用 ThreatQ 資訊擴充電子郵件地址。

參數

名稱	類型	預設	是否為必要項目	說明
分數門檻	整數	5	否	設定實體可接受的分數門檻。如果分數超過指定門檻，實體就會標示為可疑。
顯示來源	核取方塊	已勾選	否	啟用後，動作會傳回含有相關來源的額外表格。
顯示註解	核取方塊	已勾選	否	如果啟用這項功能，動作會傳回含有相關留言的額外表格。
顯示屬性	核取方塊	已勾選	否	啟用後，動作會傳回含有相關屬性的額外表格。
將已加入白名單的實體標示為可疑	核取方塊	已勾選	是	啟用後，即使實體已列入 ThreatQ 許可清單，只要超過允許的閾值，動作就會將實體標示為可疑。

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "No longer poses a serious threat.",
                    "name": "Expired",
                    "id": 2
                },
                "hash": "f74ee458b6e12452a04c6595bb3cd2d9",
                "adversaries": [],
                "status_id": 2,
                "created_at": "2020-04-15 13:37:43",
                "type_id": 5,
                "updated_at": "2020-04-15 13:37:43",
                "value": "star@star.star",
                "id": 36,
                "touched_at": "2020-04-15 13:37:43",
                "sources": [{
                    "name": "Domain Tools",
                    "source_type": "plugins",
                    "creator_source_id": 8,
                    "created_at": "2020-04-15 13:37:43",
                    "indicator_type_id": 5,
                    "updated_at": "2020-04-15 13:37:43",
                    "indicator_status_id": 2,
                    "indicator_id": 36,
                    "published_at": "2020-04-15 13:37:43",
                    "reference_id": 1,
                    "source_id": 5,
                    "id": 44
                }],
                "published_at": "2020-04-15 13:37:43",
                "score": 0,
                "type": {
                    "class": "network",
                    "name": "Email Address",
                    "id": 5
                },
                "class": "network",
                "expired_at": "2020-04-15 13:37:43"
            }]},
        "Entity": "email@example.com"
    }
]

EnrichHash

說明

使用 ThreatQ 資訊擴充雜湊。

參數

名稱	類型	預設	是否為必要項目	說明
分數門檻	整數	5	否	設定實體可接受的分數門檻。如果分數超過指定門檻，實體就會標示為可疑。
顯示來源	核取方塊	已勾選	否	啟用後，動作會傳回含有相關來源的額外表格。
顯示註解	核取方塊	已勾選	否	如果啟用這項功能，動作會傳回含有相關留言的額外表格。
顯示屬性	核取方塊	已勾選	否	啟用後，動作會傳回含有相關屬性的額外表格。
將已加入白名單的實體標示為可疑	核取方塊	已勾選	是	啟用後，即使實體已列入 ThreatQ 許可清單，只要超過允許的閾值，動作就會將實體標示為可疑。

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "Poses a threat and is being exported to detection tools.",
                    "name": "Active",
                    "id": 1
                },
                "hash": "8b168f614b40150266d304dbd5c78036",
                "adversaries": [],
                "status_id": 1,
                "created_at": "2020-03-11 11:26:32",
                "tags": ["malware", "trojan"],
                "updated_at": "2020-04-07 13:08:42",
                "value": "d41d8cd98f00b204e9800998ecf8427e",
                "id": 2,
                "touched_at": "2020-04-07 13:08:42",
                "sources": [{
                    "name": "Domain Tools",
                    "source_type": "plugins",
                    "creator_source_id": 8,
                    "created_at": "2020-03-15 15:04:31",
                    "indicator_type_id": 18,
                    "updated_at": "2020-03-15 15:04:31",
                    "indicator_status_id": 1,
                    "indicator_id": 2,
                    "published_at": "2020-03-15 15:04:31",
                    "reference_id": 1,
                    "source_id": 5,
                    "id": 7
                }, {
                    "name": "tip.labops@siemplify.co",
                    "source_type": "users",
                    "creator_source_id": 8,
                    "created_at": "2020-03-11 11:26:32",
                    "indicator_type_id": 18,
                    "updated_at": "2020-03-11 12:25:17",
                    "indicator_status_id": 1,
                    "indicator_id": 2,
                    "published_at": "2020-03-11 11:26:32",
                    "reference_id": 1,
                    "source_id": 8,
                    "id": 2
                }],
                "published_at": "2020-03-11 11:26:32",
                "score": 10,
                "comments": [{
                    "source_name": "tip.labops@siemplify.co",
                    "creator_source_id": 8,
                    "created_at": "2020-03-11 12:32:22",
                    "updated_at": "2020-03-11 12:32:22",
                    "value": "Comment",
                    "indicator_id": 2,
                    "id": 1
                }],
                "type_id": 18,
                "attributes": [{
                    "name": "Category",
                    "created_at": "2020-03-11 11:28:58",
                    "updated_at": "2020-03-11 11:28:58",
                    "value": "Malware",
                    "touched_at": "2020-03-11 11:28:58",
                    "indicator_id": 2,
                    "attribute_id": 1,
                    "id": 1
                }, {
                    "name": "VirusTotal: Permalink",
                    "created_at": "2020-03-11 12:34:47",
                    "updated_at": "2020-03-11 12:34:47",
                    "value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
                    "touched_at": "2020-03-11 12:34:47",
                    "indicator_id": 2,
                    "attribute_id": 3,
                    "id": 2
                }],
                "type": {
                    "class": "host",
                    "name": "MD5",
                    "id": 18
                },
                "class": "host"
            }]},
        "Entity": "d41d8cd98f00b204e9800998ecf8427e"
    }, {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "No longer poses a serious threat.",
                    "name": "Expired",
                    "id": 2
                },
                "hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
                "description": "<p>Test&nbsp;\u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
                "adversaries": [],
                "status_id": 2,
                "created_at": "2020-04-08 12:47:35",
                "type_id": 23,
                "updated_at": "2020-04-09 08:00:35",
                "value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
                "id": 25,
                "touched_at": "2020-04-09 08:01:42",
                "sources": [{
                    "name": "Investigation1",
                    "source_type": "other_sources",
                    "creator_source_id": 8,
                    "created_at": "2020-04-08 12:47:35",
                    "indicator_type_id": 23,
                    "updated_at": "2020-04-08 12:47:35",
                    "indicator_status_id": 2,
                    "indicator_id": 25,
                    "published_at": "2020-04-08 12:47:35",
                    "reference_id": 1,
                    "source_id": 9,
                    "id": 27
                }, {
                    "name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
                    "source_type": "other_sources",
                    "creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
                    "indicator_type_id": 23,
                    "updated_at": "2020-04-09 08:01:42",
                    "indicator_status_id": 2,
                    "indicator_id": 25,
                    "published_at": "2020-04-09 08:01:42",
                    "reference_id": 2,
                    "source_id": 10,
                    "id": 32
                }],
                "published_at": "2020-04-08 12:47:35",
                "score": 0,
                "type": {
                    "class": "host",
                    "name": "SHA-1",
                    "id": 23
                },
                "class": "host",
                "expired_at": "2020-04-08 12:47:35"
            }]},
        "Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
    }
]

充實 IP

說明

使用 ThreatQ 資訊擴充 IP。

參數

名稱	類型	預設	是否為必要項目	說明
分數門檻	整數	5	否	設定實體可接受的分數門檻。如果分數超過指定門檻，實體就會標示為可疑。
顯示來源	核取方塊	已勾選	否	啟用後，動作會傳回含有相關來源的額外表格。
顯示註解	核取方塊	已勾選	否	如果啟用這項功能，動作會傳回含有相關留言的額外表格。
顯示屬性	核取方塊	已勾選	否	啟用後，動作會傳回含有相關屬性的額外表格。
將已加入白名單的實體標示為可疑	核取方塊	已勾選	是	啟用後，即使實體已列入 ThreatQ 許可清單，只要超過允許的閾值，動作就會將實體標示為可疑。

執行時間

這項操作會對 IP 位址實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "No longer poses a serious threat.",
                    "name": "Expired",
                    "id": 2
                },
                "hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
                "description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
                "adversaries": [],
                "status_id": 2,
                "created_at": "2020-04-08 13:09:02",
                "type_id": 15,
                "updated_at": "2020-04-09 08:46:43",
                "value": "8.8.8.8",
                "id": 27,
                "touched_at": "2020-04-09 08:46:50",
                "sources": [{
                    "name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
                    "source_type": "other_sources",
                    "creator_source_id": 8,
                    "created_at": "2020-04-08 13:09:02",
                    "indicator_type_id": 15,
                    "updated_at": "2020-04-08 13:10:11",
                    "indicator_status_id": 2,
                    "indicator_id": 27,
                    "published_at": "2020-04-08 13:09:02",
                    "reference_id": 2,
                    "source_id": 10,
                    "id": 30
                }],
                "published_at": "2020-04-08 13:09:02",
                "score": 0,
                "comments": [{
                    "source_name": "example@mail.com",
                    "creator_source_id": 8,
                    "created_at": "2020-04-09 08:46:50",
                    "updated_at": "2020-04-09 08:46:50",
                    "value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
                    "indicator_id": 27,
                    "id": 5
                }],
                "attributes": [{
                    "name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
                    "created_at": "2020-04-09 08:46:26",
                    "updated_at": "2020-04-09 08:46:26",
                    "value": "hvvhv",
                    "touched_at": "2020-04-09 08:46:26",
                    "indicator_id": 27,
                    "attribute_id": 4,
                    "id": 6
                }],
                "type": {
                    "class": "network",
                    "name": "IP Address",
                    "id": 15
                },
                "class": "network",
                "expired_at": "2020-04-08 13:10:11"
            }]},
        "Entity": "8.8.8.8"
    }
]

充實網址

說明

使用 ThreatQ 資訊擴充網址。

參數

名稱	類型	預設	是否為必要項目	說明
分數門檻	整數	5	否	設定實體可接受的分數門檻。如果分數超過指定門檻，實體就會標示為可疑。
顯示來源	核取方塊	已勾選	否	啟用後，動作會傳回含有相關來源的額外表格。
顯示註解	核取方塊	已勾選	否	如果啟用這項功能，動作會傳回含有相關留言的額外表格。
顯示屬性	核取方塊	已勾選	否	啟用後，動作會傳回含有相關屬性的額外表格。
將已加入白名單的實體標示為可疑	核取方塊	已勾選	是	啟用後，即使實體已列入 ThreatQ 許可清單，只要超過允許的閾值，動作就會將實體標示為可疑。

執行時間

這項動作會對網址實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "Poses a threat and is being exported to detection tools.",
                    "name": "Active",
                    "id": 1
                },
                "hash": "e216253c1198b44c99c6841899c68418",
                "adversaries": [],
                "status_id": 1,
                "created_at": "2020-04-08 08:59:59",
                "type_id": 30,
                "updated_at": "2020-04-08 08:59:59",
                "value": "example2.sk",
                "id": 19,
                "touched_at": "2020-04-08 08:59:59",
                "sources": [{
                    "name": "tip.labops@siemplify.co",
                    "source_type": "users",
                    "creator_source_id": 8,
                    "created_at": "2020-04-08 08:59:59",
                    "indicator_type_id": 30,
                    "updated_at": "2020-04-08 08:59:59",
                    "indicator_status_id": 1,
                    "indicator_id": 19,
                    "published_at": "2020-04-08 08:59:59",
                    "reference_id": 1,
                    "source_id": 8,
                    "id": 21
                }],
                "published_at": "2020-04-08 08:59:59",
                "score": 0,
                "expires_calculated_at": "2020-04-08 09:00:01",
                "type": {
                    "class": "network",
                    "name": "URL",
                    "id": 30
                },
                "class": "network"
            }]},
        "Entity": "example2.sk"
    }, {
        "EntityResult": {
            "total": 1,
            "data": [{
                "status": {
                    "description": "Poses a threat and is being exported to detection tools.",
                    "name": "Active",
                    "id": 1
                },
                "hash": "69d4269b838ce143e6f0656384c58ff8",
                "description": "<p>URL<\/p>",
                "adversaries": [],
                "status_id": 1,
                "created_at": "2020-03-15 15:49:04",
                "tags": ["URL"],
                "updated_at": "2020-03-15 15:51:13",
                "value": "www.example.com",
                "id": 7,
                "touched_at": "2020-03-15 15:51:13",
                "sources": [{
                    "name": "Emerging Threats",
                    "source_type": "plugins",
                    "creator_source_id": 8,
                    "created_at": "2020-03-15 15:49:04",
                    "indicator_type_id": 30,
                    "updated_at": "2020-03-15 15:49:04",
                    "indicator_status_id": 1,
                    "indicator_id": 7,
                    "published_at": "2020-03-15 15:49:04",
                    "reference_id": 2,
                    "source_id": 6,
                    "id": 9
                }],
                "published_at": "2020-03-15 15:49:04",
                "score": 0,
                "expires_calculated_at": "2020-03-15 15:50:02",
                "type_id": 30,
                "attributes": [{
                    "name": "Category",
                    "created_at": "2020-03-15 15:51:03",
                    "updated_at": "2020-03-15 15:51:03",
                    "value": "Malware",
                    "touched_at": "2020-03-15 15:51:03",
                    "indicator_id": 7,
                    "attribute_id": 1,
                    "id": 5
                }],
                "type": {
                    "class": "network",
                    "name": "URL",
                    "id": 30
                },
                "class": "network"
            }]},
        "Entity": "www.example.com"
    }
]

取得指標詳細資料

說明

以 CSV 格式取得 IP 位址的詳細資料。

參數

不適用

執行時間

這項操作會對 IP 位址實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
null	不適用	不適用

乒乓

說明

確認使用者透過裝置連線至 ThreatQ。

參數

不適用

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_connect	True/False	is_connect:False

建立指標

說明

在 ThreatQ 中建立指標。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱檔案雜湊 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	是	指定新指標的類型。
狀態	DDL	有效可能的值包括：有效已過期間接查看已列入許可清單	是	指定新指標的狀態。
說明	字串	不適用	否	指定新指標的說明。

參數顯示名稱

類型

預設值

為必填項目

說明

指標類型

DDL

ASN

可能的值：

ASN

二進位字串

CIDR 範圍

CVE

電子郵件地址

電子郵件附件

電子郵件主旨

檔案對應

檔案路徑

檔案名稱

FQDN

模糊雜湊

GOST 雜湊

雜湊 ION

IPv4 位址

IPv6 位址

MAC 位址

MD5

Mutex

密碼

登錄檔機碼

服務名稱

檔案雜湊

SHA-1

SHA-256

SHA-384

SHA-512

字串

網址

網址路徑

使用者代理程式

使用者名稱

X-Mailer

x509 序號

x509 主體

是

指定新指標的類型。

狀態

DDL

有效

可能的值包括：

有效

已過期

間接

查看

已列入許可清單

是

指定新指標的狀態。

說明

字串

不適用

否

指定新指標的說明。

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 1,
    "data": [
        {
            "id": 24,
            "type_id": 7,
            "status_id": 1,
            "class": "network",
            "hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
            "value": "115.47.67.161",
            "description": "Kek",
            "last_detected_at": null,
            "expires_at": null,
            "expired_at": null,
            "expires_needs_calc": "Y",
            "expires_calculated_at": null,
            "created_at": "2020-07-20 07:26:52",
            "updated_at": "2020-07-20 07:35:06",
            "touched_at": "2020-07-20 07:35:06",
            "existing": "Y",
            "type": {
                "id": 7,
                "name": "Email Subject",
                "class": "network",
                "score": null,
                "wildcard_matching": "Y",
                "created_at": "2020-06-29 17:13:29",
                "updated_at": "2020-06-29 17:13:29"
            }
        }
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功，且至少有一個提供的實體成功建立指標 (is_success = true)： print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) 如果無法根據特定實體建立指標(is_success = true)： print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)： print: "No indicators were created." 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Create Indicator". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功，且至少有一個提供的實體成功建立指標 (is_success = true)：

print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list)

如果無法根據特定實體建立指標(is_success = true)：

print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

print: "No indicators were created."

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Create Indicator". 原因：{0}''.format(error.Stacktrace)

一般

建立攻擊者

說明

在 ThreatQ 中建立對手。

參數

不適用

執行時間

這項動作會對使用者實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "name": "Adversary Nameaa",
        "updated_at": "2020-07-20 08:21:34",
        "created_at": "2020-07-20 08:21:34",
        "id": 11
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功，且至少有一個提供的實體成功建立對手 (is_success = true)： print "Successfully created adversaries in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) 如果無法根據特定實體建立對手(is_success = true)： print "Action was not able to create adversaries in ThreatQ based on the following entities:\n {0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)：列印：「No adversaries were enriched.」(未擴充任何攻擊者)。動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Create Adversary". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功，且至少有一個提供的實體成功建立對手 (is_success = true)：
print "Successfully created adversaries in ThreatQ based on the following entities: \n {0}".format(entity.identifier list)

如果無法根據特定實體建立對手(is_success = true)：
print "Action was not able to create adversaries in ThreatQ based on the following entities:\n {0}".format([entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

列印：「No adversaries were enriched.」(未擴充任何攻擊者)。

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Create Adversary". 原因：{0}''.format(error.Stacktrace)

一般

建立活動

說明

在 ThreatQ 中建立事件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
標題	字串	不適用	是	指定活動名稱。
事件類型	DDL	魚叉式網路釣魚可能的值：魚叉式網路釣魚水坑 SQL 植入攻擊 DoS 攻擊惡意軟體觀察清單命令與控制去識別化資料竊取主機特徵遭駭的 PKI 憑證登入遭駭事件目擊	是	指定事件類型。
發生時間	字串	不適用	是	指定事件發生時間。如果這個欄位沒有輸入任何內容，動作會使用目前時間。格式：YYYY-MM-DD hh:mm:ss

參數顯示名稱

類型

預設值

為必填項目

說明

標題

字串

不適用

是

指定活動名稱。

事件類型

DDL

魚叉式網路釣魚

可能的值：

魚叉式網路釣魚

水坑

SQL 植入攻擊

DoS 攻擊

惡意軟體

觀察清單

命令與控制

去識別化

資料竊取

主機特徵

遭駭的 PKI 憑證

登入遭駭

事件

目擊

是

指定事件類型。

發生時間

字串

不適用

是

指定事件發生時間。如果這個欄位沒有輸入任何內容，動作會使用目前時間。格式：YYYY-MM-DD hh:mm:ss

執行時間

這項動作不會在實體類型上執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "title": "Event Name",
        "type_id": 3,
        "happened_at": "2017-03-20 01:43:05",
        "hash": "e59c3274f3156b10aca1c8962a5880cb",
        "updated_at": "2020-07-20 08:40:53",
        "created_at": "2020-07-20 08:40:53",
        "touched_at": "2020-07-20 08:40:53",
        "id": 3,
        "type": {
            "id": 3,
            "name": "SQL Injection Attack",
            "user_editable": "N",
            "created_at": "2020-06-29 17:13:28",
            "updated_at": "2020-06-29 17:13:28"
        }
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success = true)： print "Successfully created event '{0}' in ThreatQ".format(title) 如果無法建立活動 (is_success = false)：列印：「Event '{0}' was not created in ThreatQ. 原因：{1}".format(title, errors/[0].value) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Create Event". 原因：{0}''.format(error.Stacktrace) 如果使用錯誤的時間格式： print "Error executing action "Create Event". 原因：傳送至「發生時間」動作參數的時間格式不正確。格式應為 YYYY-MM-DD hh:mm:ss。''	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully created event '{0}' in ThreatQ".format(title)

如果無法建立活動 (is_success = false)：

列印：「Event '{0}' was not created in ThreatQ. 原因：{1}".format(title, errors/[0].value)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Create Event". 原因：{0}''.format(error.Stacktrace)

如果使用錯誤的時間格式：

print "Error executing action "Create Event". 原因：傳送至「發生時間」動作參數的時間格式不正確。格式應為 YYYY-MM-DD hh:mm:ss。''

一般

新增屬性

說明

動作會將屬性新增至物件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名戰術、技術和程序安全漏洞	是	指定要新增屬性的物件類型。
物件 ID	字串	不適用	是	指定物件的 ID。例如 MD5 雜湊、事件標題、對手名稱等。
指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	是	指定指標類型。只有在物件類型為「指標」時，才會使用這個參數
屬性名稱	字串	不適用	是	指定屬性名稱。
屬性值	字串	不適用	是	指定屬性的值
屬性來源	字串	不適用	否	指定屬性來源。

執行時間

這項動作不會在實體類型上執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        {
            "attribute_id": 4,
            "value": "4012",
            "incident_id": 1,
            "id": 1,
            "created_at": "2020-07-20 13:29:29",
            "updated_at": "2020-07-20 13:29:29",
            "touched_at": "2020-07-20 13:29:29",
            "name": "321",
            "attribute": {
                "id": 4,
                "name": "321",
                "created_at": "2020-07-20 13:21:09",
                "updated_at": "2020-07-20 13:21:09"
            },
            "sources": [
                {
                    "id": 10,
                    "type": "other_sources",
                    "reference_id": 2,
                    "name": "123 User",
                    "tlp_id": null,
                    "created_at": "2020-07-20 13:29:29",
                    "updated_at": "2020-07-20 13:29:29",
                    "published_at": null,
                    "pivot": {
                        "incident_attribute_id": 1,
                        "source_id": 10,
                        "id": 1,
                        "creator_source_id": 8
                    }
                }
            ]
        }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success = true)： print "Successfully added attribute '{0}' to '{1}' object in ThreatQ".format(Attribute Name, Object Type) 如果找不到物件 (is_success = false)： Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) 如果發生一般錯誤 (is_success = false)： Print "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Add Attribute". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully added attribute '{0}' to '{1}' object in ThreatQ".format(Attribute Name, Object Type)

如果找不到物件 (is_success = false)：

Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier)

如果發生一般錯誤 (is_success = false)：

Print "Action was not able to add attribute {0} to the ThreatQ object.".format(Attribute Name)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Add Attribute". 原因：{0}''.format(error.Stacktrace)

一般

新增來源

說明

動作會將來源新增至物件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名戰術、技術和程序安全漏洞	是	指定要新增來源的物件類型。
物件 ID	字串	不適用	是	指定物件的 ID。例如 MD5 雜湊、事件標題、對手名稱等。
指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	是	指定指標類型。只有在「物件類型」為「指標」時，才會使用這個參數。
來源名稱	字串	不適用	是	指定來源名稱。

執行時間

這項動作不會在實體類型上執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 1,
    "data": [
        {
            "id": 3,
            "incident_id": 1,
            "source_id": 11,
            "creator_source_id": 8,
            "tlp_id": null,
            "created_at": "2020-07-20 14:12:52",
            "updated_at": "2020-07-20 14:12:52",
            "published_at": null,
            "deleted_at": null,
            "existing": 0,
            "name": "321"
        }
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success = true)： print "Successfully added source '{0}' to '{1}' object in ThreatQ".format(Source Name, Object Type) 如果找不到物件 (is_success = false)： Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 如果發生一般錯誤 (is_success = false)： Print "Action was not able to add source {0} to the ThreatQ object.".format(Source Name) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Add Source". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully added source '{0}' to '{1}' object in ThreatQ".format(Source Name, Object Type)

如果找不到物件 (is_success = false)：

Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value)

如果發生一般錯誤 (is_success = false)：

Print "Action was not able to add source {0} to the ThreatQ object.".format(Source Name)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Add Source". 原因：{0}''.format(error.Stacktrace)

一般

連結實體

說明

動作會連結 ThreatQ 中的所有實體。

執行時間

這項動作會對下列實體執行：

CVE
IP 位址
網址
Filehash
使用者
所有符合電子郵件規則運算式的實體

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "id": 1,
        "type_id": 18,
        "status_id": 2,
        "class": "host",
        "hash": "6677d693422fbeb541397fb8554f4664",
        "value": "7815696ecbf1c96e6894b779456d330e",
        "description": null,
        "last_detected_at": null,
        "expires_at": null,
        "expired_at": "2020-07-21 09:05:56",
        "expires_needs_calc": "N",
        "expires_calculated_at": "2020-07-21 07:35:02",
        "created_at": "2020-07-19 09:17:20",
        "updated_at": "2020-07-21 09:05:56",
        "touched_at": "2020-07-21 09:05:56"
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功且至少有一個提供的實體連結成功 (is_success = true)： print "Successfully linked the following entities in ThreatQ: \n {1}".format(entity.identifier list) 如果無法列出特定實體的相關物件(is_success = true)： print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)：列印：「未連結任何實體。」如果只提供一個實體：列印「No entities were linked. 原因：只提供一個實體。" 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等： print "Error executing action "Link Entities". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功且至少有一個提供的實體連結成功 (is_success = true)：
print "Successfully linked the following entities in ThreatQ: \n {1}".format(entity.identifier list)

如果無法列出特定實體的相關物件(is_success = true)：

print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

列印：「未連結任何實體。」

如果只提供一個實體：
列印「No entities were linked. 原因：只提供一個實體。"

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等：

print "Error executing action "Link Entities". 原因：{0}''.format(error.Stacktrace)

一般

將實體連結至物件

說明

動作會連結 ThreatQ 中的所有實體。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定要連結實體的物件類型。
物件 ID	字串	不適用	是	指定要連結實體的物件 ID。例如 MD5 雜湊、事件標題、對手名稱等。
指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	否	指定要連結實體的指標類型。只有在來源物件類型為「指標」時，才會使用這個參數。

參數顯示名稱

類型

預設值

為必填項目

說明

物件類型

DDL

攻擊者

可能的值：

攻擊者

攻擊模式

廣告活動

行動方案

事件

Exploit Target

檔案

身分識別

事件

指標

入侵集

惡意軟體

檢舉

簽名

工作

工具

戰術、技術和程序

安全漏洞

是

指定要連結實體的物件類型。

物件 ID

字串

不適用

是

指定要連結實體的物件 ID。例如 MD5 雜湊、事件標題、對手名稱等。

指標類型

DDL

ASN

可能的值：

ASN

二進位字串

CIDR 範圍

CVE

電子郵件地址

電子郵件附件

電子郵件主旨

檔案對應

檔案路徑

檔案名稱

FQDN

模糊雜湊

GOST 雜湊

雜湊 ION

IPv4 位址

IPv6 位址

MAC 位址

MD5

Mutex

密碼

登錄檔機碼

服務名稱

SHA-1

SHA-256

SHA-384

SHA-512

字串

網址

網址路徑

使用者代理程式

使用者名稱

X-Mailer

x509 序號

x509 主體

否

指定要連結實體的指標類型。只有在來源物件類型為「指標」時，才會使用這個參數。

執行時間

這項動作會對下列實體執行：

CVE
IP 位址
網址
Filehash
使用者
所有符合電子郵件規則運算式的實體

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "id": 1,
        "type_id": 18,
        "status_id": 2,
        "class": "host",
        "hash": "6677d693422fbeb541397fb8554f4664",
        "value": "7815696ecbf1c96e6894b779456d330e",
        "description": null,
        "last_detected_at": null,
        "expires_at": null,
        "expired_at": "2020-07-21 09:05:56",
        "expires_needs_calc": "N",
        "expires_calculated_at": "2020-07-21 07:35:02",
        "created_at": "2020-07-19 09:17:20",
        "updated_at": "2020-07-21 09:05:56",
        "touched_at": "2020-07-21 09:05:56"
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果找不到物件 (is_success = false)：列印：「No entities were linked to object '{0}' with value '{1}'」。原因：ThreatQ 中找不到值為「{1}」的「{0}」物件。".format(Object Type, Object Value) 如果成功，且至少有一個提供的實體已成功連結 (is_success = true)： print "Successfully linked the following entities to object '{0}' with value '{1}' in ThreatQ: \n {2}".format(Object Type, Object Identifier, entity.identifier list) 如果無法列出特定實體的相關物件(is_success = true)： print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)： Print: "No entities were linked to object '{0}' with value '{1}'.".format(Object Type, Object Identifier) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等： print "Error executing action "Link Entities To Object". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果找不到物件 (is_success = false)：

列印：「No entities were linked to object '{0}' with value '{1}'」。原因：ThreatQ 中找不到值為「{1}」的「{0}」物件。".format(Object Type, Object Value)

如果成功，且至少有一個提供的實體已成功連結 (is_success = true)：
print "Successfully linked the following entities to object '{0}' with value '{1}' in ThreatQ: \n {2}".format(Object Type, Object Identifier, entity.identifier list)

如果無法列出特定實體的相關物件(is_success = true)：

print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

Print: "No entities were linked to object '{0}' with value '{1}'.".format(Object Type, Object Identifier)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等：

print "Error executing action "Link Entities To Object". 原因：{0}''.format(error.Stacktrace)

一般

連結物件

說明

動作會連結 ThreatQ 中的兩個物件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
來源物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定來源物件的類型。
來源物件 ID	字串	不適用	是	指定來源物件的 ID。例如 MD5 雜湊、事件標題、對手名稱等。
來源指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	否	指定來源指標類型。只有在「來源物件類型」為「指標」時，才會使用這個參數。
目的地物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定目的地物件的類型。
目的地物件 ID	字串	不適用	是	指定目的地物件的 ID。例如 MD5 雜湊、事件標題、對手名稱等。
目的地指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	否	指定目的地指標類型。只有在「目的地物件類型」為「指標」時，才會使用這個參數。

執行時間

這項動作不會在實體類型上執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
            "id": 2,
            "value": "123123",
            "status_id": null,
            "type_id": null,
            "description": null,
            "started_at": "2020-07-20 12:27:00",
            "ended_at": "2020-07-20 12:27:00",
            "created_at": "2020-07-20 12:27:10",
            "updated_at": "2020-07-20 12:27:10",
            "touched_at": "2020-07-20 14:50:14",
            "object_id": 4,
            "object_code": "incident",
            "object_name": "Incident",
            "object_name_plural": "Incidents",
            "pivot": {
                "id": 18,
                "created_at": "2020-07-20 14:50:14",
                "updated_at": "2020-07-20 14:50:14"
            }
        }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊： if successful (is_success = true): print "Successfully linked objects in ThreatQ" 如果找不到物件 (is_success = false)： Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 如果發生一般錯誤 (is_success = false)： print "Action was not able to link objects in ThreatQ." 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Link Objects". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

if successful (is_success = true):
print "Successfully linked objects in ThreatQ"

如果找不到物件 (is_success = false)：

Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value)

如果發生一般錯誤 (is_success = false)：

print "Action was not able to link objects in ThreatQ."

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Link Objects". 原因：{0}''.format(error.Stacktrace)

一般

列出相關物件

說明

動作清單會列出 ThreatQ 中的相關物件。

參數

參數顯示名稱	類型	預設值	是否為必填	說明
來源物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定來源物件的類型。
來源物件 ID	字串	不適用	是	指定來源物件的 ID。例如 MD5 雜湊、事件標題、對手名稱等。
來源指標類型	DDL	ASN 可能的值： ASN 二進位字串 CIDR 範圍 CVE 電子郵件地址電子郵件附件電子郵件主旨檔案對應檔案路徑檔案名稱 FQDN 模糊雜湊 GOST 雜湊雜湊 ION IPv4 位址 IPv6 位址 MAC 位址 MD5 Mutex 密碼登錄檔機碼服務名稱 SHA-1 SHA-256 SHA-384 SHA-512 字串網址網址路徑使用者代理程式使用者名稱 X-Mailer x509 序號 x509 主體	否	指定來源指標類型。只有在「來源物件類型」為「指標」時，才會使用這個參數。
相關物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定需要傳回的相關物件類型。
要傳回的相關物件數量上限	整數	50	否	指定要傳回多少相關物件。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 2,
    "data": [
        {
            "id": 1,
            "value": "Incident 1",
            "status_id": null,
            "type_id": null,
            "description": null,
            "started_at": "2020-07-09 06:15:00",
            "ended_at": "2020-07-09 06:15:00",
            "created_at": "2020-07-09 06:16:10",
            "updated_at": "2020-07-09 06:16:10",
            "touched_at": "2020-07-21 06:53:33",
            "deleted_at": null,
            "pivot": {
                "id": 20,
                "src_type": "indicator",
                "src_object_id": 1,
                "dest_type": "incident",
                "dest_object_id": 1,
                "created_at": "2020-07-21 06:53:33",
                "updated_at": "2020-07-21 06:53:33"
            }
        },
        {
            "id": 2,
            "value": "123123",
            "status_id": null,
            "type_id": null,
            "description": null,
            "started_at": "2020-07-20 12:27:00",
            "ended_at": "2020-07-20 12:27:00",
            "created_at": "2020-07-20 12:27:10",
            "updated_at": "2020-07-20 12:27:10",
            "touched_at": "2020-07-21 06:53:49",
            "deleted_at": null,
            "pivot": {
                "id": 21,
                "src_type": "indicator",
                "src_object_id": 1,
                "dest_type": "incident",
                "dest_object_id": 2,
                "created_at": "2020-07-21 06:53:49",
                "updated_at": "2020-07-21 06:53:49"
            }
        }
    ],
    "limit": 2,
    "offset": 0
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊： if successful (is_success = true): print "Successfully listed related objects in ThreatQ." 如果找不到來源物件 (is_success = false)： print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 如果「Related Object Type」(相關物件類型) 沒有相關物件 (is_success=false)： Print "No related {0} object were found.".format(Related Object Type) 如果發生一般錯誤 (is_success = false)： Print "Action was not able to list related objects in ThreatQ." 動作應會失敗並停止執行應對手冊：如果發生致命錯誤 (例如憑證錯誤、無法連線至伺服器等)： print "Error executing action "List Related Objects". 原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格 (物件類型=事件)	表格名稱：相關的「活動」物件資料表資料欄： ID (對應為 id) 標題 (對應為標題) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (物件類型=檔案)	表格名稱：相關「檔案」物件資料表資料欄： ID (對應為 id) 標題 (對應為標題) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (Object type=Adversary)	資料表名稱：相關的「Adversary」物件資料表資料欄： ID (對應為 id) 名稱 (對應為名稱) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (所有其他物件類型)	表格名稱：「Related '{0}' objects」(相關「{0}」物件)。format(目的地物件類型) 資料表資料欄： ID (對應為 id) 名稱 (對應為值) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般

列出實體相關物件

說明

動作清單會列出 ThreatQ 中實體的相關物件。

參數

參數顯示名稱	類型	預設值	是否為必填	說明
相關物件類型	DDL	攻擊者可能的值：攻擊者攻擊模式廣告活動行動方案事件 Exploit Target 檔案身分識別事件指標入侵集惡意軟體檢舉簽名工作工具戰術、技術和程序安全漏洞	是	指定需要傳回的相關物件類型。
要傳回的相關物件數量上限	整數	50	否	指定要傳回多少相關物件。上限為 1000。這是 ThreatQ 的限制。

參數顯示名稱

類型

預設值

是否為必填

說明

相關物件類型

DDL

攻擊者

可能的值：

攻擊者

攻擊模式

廣告活動

行動方案

事件

Exploit Target

檔案

身分識別

事件

指標

入侵集

惡意軟體

檢舉

簽名

工作

工具

戰術、技術和程序

安全漏洞

是

指定需要傳回的相關物件類型。

要傳回的相關物件數量上限

整數

否

指定要傳回多少相關物件。上限為 1000。這是 ThreatQ 的限制。

執行時間

這項操作適用於所有實體類型。

動作執行結果

實體擴充

補充資料欄位名稱	來源 (JSON 金鑰)	邏輯 - 應用時機
TQ_related_{0}_id.format(Related object type)	id	如果 JSON 結果中提供這項資訊。
TQ_related_{0}_value.format(Related object type)	value。如果相關物件類型 = event 和 file： title 如果相關物件類型 = 攻擊者：名稱	如果 JSON 結果中提供這項資訊。

補充資料欄位名稱

來源 (JSON 金鑰)

邏輯 - 應用時機

TQ_related_{0}_id.format(Related object type)

如果 JSON 結果中提供這項資訊。

TQ_related_{0}_value.format(Related object type)

value。

如果相關物件類型 = event 和 file：

title

如果相關物件類型 = 攻擊者：

名稱

如果 JSON 結果中提供這項資訊。

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 2,
    "data": [   
        {
            "id": 1,
            "value": "Incident 1",
            "status_id": null,
            "type_id": null,
            "description": null,
            "started_at": "2020-07-09 06:15:00",
            "ended_at": "2020-07-09 06:15:00",
            "created_at": "2020-07-09 06:16:10",
            "updated_at": "2020-07-09 06:16:10",
            "touched_at": "2020-07-21 06:53:33",
            "deleted_at": null,
            "pivot": {
                "id": 20,
                "src_type": "indicator",
                "src_object_id": 1,
                "dest_type": "incident",
                "dest_object_id": 1,
                "created_at": "2020-07-21 06:53:33",
                "updated_at": "2020-07-21 06:53:33"
            }
        },
        {
            "id": 2,
            "value": "123123",
            "status_id": null,
            "type_id": null,
            "description": null,
            "started_at": "2020-07-20 12:27:00",
            "ended_at": "2020-07-20 12:27:00",
            "created_at": "2020-07-20 12:27:10",
            "updated_at": "2020-07-20 12:27:10",
            "touched_at": "2020-07-21 06:53:49",
            "deleted_at": null,
            "pivot": {
                "id": 21,
                "src_type": "indicator",
                "src_object_id": 1,
                "dest_type": "incident",
                "dest_object_id": 2,
                "created_at": "2020-07-21 06:53:49",
                "updated_at": "2020-07-21 06:53:49"
            }
        }
    ],
    "limit": 2,
    "offset": 0
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功，且至少有一個提供的實體成功建立指標 (is_success = true)： print "Successfully listed related '{0}' objects in ThreatQ for the following entities: \n {1}".format(related object type, entity.identifier list) If fail to list related objects for specific entities(is_success = true): print "Action was not able to list related '{0}' objects in ThreatQ for the following entities: \n{0}".format(related object type, [entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)：列印：「未列出相關物件。」動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "List Related Objects". 原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格 (物件類型=事件)	表格名稱：{實體 ID} 的相關「事件」物件資料表資料欄： ID (對應為 id) 標題 (對應為標題) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (物件類型=檔案)	表格名稱：{實體 ID} 的相關「檔案」物件資料表資料欄： ID (對應為 id) 標題 (對應為標題) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (Object type=Adversary)	表格名稱：{實體 ID} 的相關「Adversary」物件資料表資料欄： ID (對應為 id) 名稱 (對應為名稱) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般
案件總覽表格 (所有其他物件類型)	表格名稱：「Related '{0}' objects for {entity identifier}」。format(Destination Object Type) 資料表資料欄： ID (對應為 id) 名稱 (對應為值) 說明 (對應為說明) 建立時間 (對應為 created_at) 更新時間 (對應為 updated_at)	一般

建立物件

說明

在 ThreatQ 中建立物件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
物件類型	DDL	攻擊模式可能的值：攻擊模式廣告活動行動方案 Exploit Target 身分識別事件入侵集惡意軟體檢舉工具戰術、技術和程序安全漏洞	是	指定物件類型。
值	字串	不適用	是	指定新物件的值。
說明	字串	不適用	否	指定新物件的說明。

參數顯示名稱

類型

預設值

為必填項目

說明

物件類型

DDL

攻擊模式

可能的值：

攻擊模式

廣告活動

行動方案

Exploit Target

身分識別

事件

入侵集

惡意軟體

檢舉

工具

戰術、技術和程序

安全漏洞

是

指定物件類型。

值

字串

不適用

是

指定新物件的值。

說明

字串

不適用

否

指定新物件的說明。

執行時間

這項操作不會對實體執行。

動作執行結果

實體擴充

補充資料欄位名稱	來源 (JSON 金鑰)	邏輯 - 應用時機
TQ_related_{0}_id.format(Related object type)	id	如果 JSON 結果中提供這項資訊。
TQ_related_{0}_value.format(Related object type)	value。如果相關物件類型 = event 和 file： title 如果相關物件類型 = 攻擊者：名稱	如果 JSON 結果中提供這項資訊。

補充資料欄位名稱

來源 (JSON 金鑰)

邏輯 - 應用時機

TQ_related_{0}_id.format(Related object type)

如果 JSON 結果中提供這項資訊。

TQ_related_{0}_value.format(Related object type)

value。

如果相關物件類型 = event 和 file：

title

如果相關物件類型 = 攻擊者：

名稱

如果 JSON 結果中提供這項資訊。

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "value": "Adversary Nameaaa",
        "description": "Koko",
        "updated_at": "2020-07-21 08:46:55",
        "created_at": "2020-07-21 08:46:55",
        "id": 2,
        "object_id": 1,
        "object_code": "campaign",
        "object_name": "Campaign",
        "object_name_plural": "Campaigns"
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success = true)： print "Successfully created new {0} object in ThreatQ.".format(object_type,) 如果無法建立新動作 (is_success = false)： Print: "Action was not able to create new {0} object in ThreatQ.".format(object_type) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Create Object". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully created new {0} object in ThreatQ.".format(object_type,)

如果無法建立新動作 (is_success = false)：

Print: "Action was not able to create new {0} object in ThreatQ.".format(object_type)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Create Object". 原因：{0}''.format(error.Stacktrace)

一般

取得惡意軟體詳細資料

說明

這項動作會根據 ThreatQ 的實體傳回惡意軟體相關資訊。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
其他資訊	字串	不適用	否	指定要在回應中包含哪些額外欄位。可能的值：adversaries、attackPattern、campaign、courseOfAction、attachments、attributes、comments、events、indicators、signatures、sources、status、tags、type、watchlist、exploitTarget、identity、incident、intrusionSet、malware、report、tool、ttp、vulnerability、tasks

執行時間

這項操作會對所有實體執行。

動作執行結果

實體擴充

補充資料欄位名稱	來源 (JSON 金鑰)	邏輯 - 應用時機
TQ_malware_id	id	如果 JSON 結果中提供這項資訊。
TQ_malware_status_id	status_id	如果 JSON 結果中提供這項資訊。
TQ_malware_type_id	type_id	如果 JSON 結果中提供這項資訊。
TQ_malware_description	說明	如果 JSON 結果中提供這項資訊。
TQ_malware_created_at	created_at	如果 JSON 結果中提供這項資訊。
TQ_malware_updated_at	updated_at	如果 JSON 結果中提供這項資訊。

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 1,
    "data": [
        {
            "id": 1,
            "value": "Investigation1",
            "status_id": null,
            "type_id": null,
            "description": "<p>Investigation1</p>\n",
            "created_at": "2020-07-08 15:59:20",
            "updated_at": "2020-07-08 15:59:20",
            "touched_at": "2020-07-20 14:46:42",
            "object_id": 9,
            "object_code": "malware",
            "object_name": "Malware",
            "object_name_plural": "Malware",
            "adversaries": [],
            "attack_pattern": [],
            "campaign": [],
            "course_of_action": [],
            "attachments": [],
            "attributes": [],
            "comments": [],
            "events": [],
            "indicators": [],
            "signatures": [],
            "sources": [
                {
                    "id": 5,
                    "type": "plugins",
                    "reference_id": 1,
                    "name": "Domain Tools",
                    "tlp_id": null,
                    "created_at": "2020-07-08 15:59:20",
                    "updated_at": "2020-07-08 15:59:20",
                    "published_at": null,
                    "pivot": {
                        "malware_id": 1,
                        "source_id": 5,
                        "id": 1,
                        "creator_source_id": 8
                    }
                }
            ],
            "status": null,
            "tags": [],
            "type": null,
            "watchlist": [],
            "exploit_target": [],
            "identity": [],
            "incident": [],
            "intrusion_set": [],
            "malware": [],
            "report": [],
            "tool": [],
            "ttp": [],
            "vulnerability": [],
            "tasks": [
                {
                    "id": 5,
                    "name": "Task2",
                    "description": "<p>Task2</p>\n",
                    "status_id": 1,
                    "priority": "Low",
                    "assignee_source_id": 8,
                    "creator_source_id": 8,
                    "due_at": null,
                    "completed_at": null,
                    "assigned_at": "2020-07-09 06:25:54",
                    "created_at": "2020-07-09 06:25:54",
                    "updated_at": "2020-07-09 06:25:54",
                    "pivot": {
                        "id": 9,
                        "created_at": "2020-07-09 06:25:55",
                        "updated_at": "2020-07-09 06:25:55"
                    }
                }
            ]
        }
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功，且至少有一個提供的實體已成功擴充 (is_success = true)： print "Successfully enriched the following entities: \n {1}".format(related object type, entity.identifier list) 如果無法列出特定實體的相關物件(is_success = true)： print "Action was not able to enrich the following entities: \n{0}".format(related object type, [entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false)：列印：「No entities were enriched.」(沒有實體經過擴充。) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： print "Error executing action "Get Malware Details". 原因：{0}''.format(error.Stacktrace)	一般
連結	名稱：「{entity}」的詳細資料 Link:https://{server_ip}malware/{id}/details

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功，且至少有一個提供的實體已成功擴充 (is_success = true)：
print "Successfully enriched the following entities: \n {1}".format(related object type, entity.identifier list)

如果無法列出特定實體的相關物件(is_success = true)：
print "Action was not able to enrich the following entities: \n{0}".format(related object type, [entity.identifier])

如果無法為所有實體擴充資料 (is_success = false)：

列印：「No entities were enriched.」(沒有實體經過擴充。)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "Get Malware Details". 原因：{0}''.format(error.Stacktrace)

一般

連結

名稱：「{entity}」的詳細資料

Link:https://{server_ip}malware/{id}/details

列出事件

說明

列出 ThreatQ 中的事件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
其他欄位	CSV	對手、附件、屬性、註解、事件、指標、簽章、來源、魚叉式網路釣魚、標記、類型、監控清單。	否	指定要在回應中包含哪些額外欄位。可能的值：adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。
排序欄位	DDL	ID 可能的值包括： ID 標題建立日期更新時間發生時間	否	指定要用來排序事件的欄位。
排序方向	DDL	遞增可能的值：遞增遞減	否	指定排序方向。
要傳回的事件數量上限	整數	50	否	指定要傳回的事件數量。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 1,
    "data": [
        {
            "id": 1,
            "type_id": 4,
            "title": "Test",
            "description": null,
            "happened_at": "2020-07-19 09:19:00",
            "hash": "78f58dacd9c215003911a09d5b3e810d",
            "created_at": "2020-07-19 09:19:39",
            "updated_at": "2020-07-19 09:19:39",
            "touched_at": "2020-07-19 09:20:22",
            "adversaries": [],
            "attachments": [],
            "attributes": [],
            "comments": [],
            "events": [],
            "indicators": [
                {
                    "id": 1,
                    "type_id": 18,
                    "status_id": 1,
                    "class": "host",
                    "hash": "6677d693422fbeb541397fb8554f4664",
                    "value": "7815696ecbf1c96e6894b779456d330e",
                    "description": null,
                    "last_detected_at": null,
                    "expires_at": null,
                    "expired_at": null,
                    "expires_needs_calc": "N",
                    "expires_calculated_at": "2020-07-19 11:10:02",
                    "created_at": "2020-07-19 09:17:20",
                    "updated_at": "2020-07-19 09:17:20",
                    "touched_at": "2020-07-19 11:08:48",
                    "pivot": {
                        "id": 11,
                        "created_at": "2020-07-19 09:19:39",
                        "updated_at": "2020-07-19 09:19:39"
                    }
                },
                {
                    "id": 2,
                    "type_id": 18,
                    "status_id": 1,
                    "class": "host",
                    "hash": "65b9aa337a73fa71b88bd613c1f4d06d",
                    "value": "7815696ecbf1c96e6894b779456d3301",
                    "description": null,
                    "last_detected_at": null,
                    "expires_at": null,
                    "expired_at": null,
                    "expires_needs_calc": "N",
                    "expires_calculated_at": "2020-07-19 09:25:02",
                    "created_at": "2020-07-19 09:17:43",
                    "updated_at": "2020-07-19 09:17:43",
                    "touched_at": "2020-07-19 09:20:22",
                    "pivot": {
                        "id": 12,
                        "created_at": "2020-07-19 09:20:22",
                        "updated_at": "2020-07-19 09:20:22"
                    }
                }
            ],
            "signatures": [],
            "sources": [
                {
                    "id": 6,
                    "type": "plugins",
                    "reference_id": 2,
                    "name": "Emerging Threats",
                    "tlp_id": null,
                    "created_at": "2020-07-19 09:19:39",
                    "updated_at": "2020-07-19 09:19:39",
                    "published_at": null,
                    "pivot": {
                        "event_id": 1,
                        "source_id": 6,
                        "id": 1,
                        "creator_source_id": 8
                    }
                }
            ],
            "spearphish": null,
            "tags": [],
            "type": {
                "id": 4,
                "name": "DoS Attack",
                "user_editable": "N",
                "created_at": "2020-06-29 17:13:28",
                "updated_at": "2020-06-29 17:13:28"
            },
            "watchlist": []
        }
    ]
}

案件總覽

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功且有資料可用 (is_success=true)：

print "Successfully listed ThreatQ events."

如果失敗且沒有事件 (is_success=false)：

print "No events were found in ThreatQ."

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "List Events". 原因：{0}''.format(error.Stacktrace)

如果「其他欄位」參數中指定了無效欄位：

print "Error executing action "List Events". 原因：「其他欄位」參數中指定的欄位無效。'''.format(error.Stacktrace)"

一般

CSV 牆面表格

表格名稱：ThreatQ Events

表格欄：

ID (對應為 id)
標題 (對應為標題)
建立時間 (對應為 created_at)
更新時間 (對應為 updated_at)
說明 (對應為說明)

一般

列出指標

說明

列出 ThreatQ 的指標。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
其他欄位	CSV	對手、附件、屬性、註解、事件、指標、簽章、來源、魚叉式網路釣魚、標記、類型、監控清單。	否	指定要在回應中包含哪些額外欄位。可能的值：adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。
排序欄位	DDL	ID 可能的值包括： ID 標題建立日期更新時間發生時間	否	指定要用於排序指標的欄位。
排序方向	DDL	遞增可能的值：遞增遞減	否	指定排序方向。
要傳回的事件數量上限	整數	50	否	指定要傳回的指標數量。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 8,
    "data": [
        {
            "id": 1,
            "name": "Abra Cadabra",
            "created_at": "2020-07-19 09:33:29",
            "updated_at": "2020-07-19 09:33:29",
            "touched_at": "2020-07-19 09:33:29",
            "adversaries": [],
            "attachments": [],
            "attributes": [],
            "comments": [],
            "description": null,
            "events": [],
            "indicators": [
                {
                    "id": 1,
                    "type_id": 18,
                    "status_id": 1,
                    "class": "host",
                    "hash": "6677d693422fbeb541397fb8554f4664",
                    "value": "7815696ecbf1c96e6894b779456d330e",
                    "description": null,
                    "last_detected_at": null,
                    "expires_at": null,
                    "expired_at": null,
                    "expires_needs_calc": "N",
                    "expires_calculated_at": "2020-07-19 11:10:02",
                    "created_at": "2020-07-19 09:17:20",
                    "updated_at": "2020-07-19 09:17:20",
                    "touched_at": "2020-07-19 11:08:48",
                    "pivot": {
                        "id": 13,
                        "created_at": "2020-07-19 09:33:29",
                        "updated_at": "2020-07-19 09:33:29"
                    }
                }
            ],
            "plugins": [],
            "plugin_actions": [],
            "signatures": [],
            "sources": [
                {
                    "id": 8,
                    "type": "users",
                    "reference_id": 1,
                    "name": "tip.labops@siemplify.co",
                    "tlp_id": null,
                    "created_at": "2020-07-19 09:33:29",
                    "updated_at": "2020-07-19 09:33:29",
                    "published_at": null,
                    "pivot": {
                        "adversary_id": 1,
                        "source_id": 8,
                        "id": 1,
                        "creator_source_id": 8
                    }
                }
            ],
            "tags": [],
            "value_weight": null,
            "watchlist": []
        }
    ]
}

案件總覽

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功且有資料可用 (is_success=true)：

print "Successfully listed ThreatQ adversaries."

如果沒有可用資料 (is_success=false)：

print "No adversaries were found in ThreatQ."

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "List Adversaries". 原因：{0}''.format(error.Stacktrace)

如果「其他欄位」參數中指定了無效欄位：

print "Error executing action "List Adversaries". 原因：「其他欄位」參數中指定的欄位無效。'''.format(error.Stacktrace)"

一般

CSV 牆面表格

表格名稱：ThreatQ Indicators

表格欄：

ID (對應為 id)
標題 (對應為標題)
建立時間 (對應為 created_at)
更新時間 (對應為 updated_at)
說明 (對應為說明)

一般

列出對手

說明

列出 ThreatQ 中的攻擊者。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
其他欄位	CSV	對手、附件、屬性、註解、事件、指標、簽章、來源、魚叉式網路釣魚、標記、類型、監控清單。	否	指定要在回應中包含哪些額外欄位。可能的值：adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。
排序欄位	DDL	ID 可能的值包括： ID 標題建立日期更新時間發生時間	否	指定要用來排序對手的欄位。
排序方向	DDL	遞增可能的值：遞增遞減	否	指定排序方向。
要傳回的事件數量上限	整數	50	否	指定要傳回的指標數量。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "total": 3,
    "data": [
        {
            "id": 3,
            "type_id": 27,
            "status_id": 1,
            "class": "network",
            "hash": "6677d693422fbeb541397fb8554f4664",
            "value": "7815696ecbf1c96e6894b779456d330e",
            "description": null,
            "last_detected_at": null,
            "expires_at": null,
            "expired_at": null,
            "expires_needs_calc": "N",
            "expires_calculated_at": "2020-07-19 11:10:02",
            "created_at": "2020-07-19 11:08:48",
            "updated_at": "2020-07-19 11:08:48",
            "touched_at": "2020-07-19 11:08:48",
            "adversaries": [],
            "attachments": [],
            "attributes": [],
            "comments": [],
            "events": [],
            "indicators": [
                {
                    "id": 1,
                    "type_id": 18,
                    "status_id": 1,
                    "class": "host",
                    "hash": "6677d693422fbeb541397fb8554f4664",
                    "value": "7815696ecbf1c96e6894b779456d330e",
                    "description": null,
                    "last_detected_at": null,
                    "expires_at": null,
                    "expired_at": null,
                    "expires_needs_calc": "N",
                    "expires_calculated_at": "2020-07-19 11:10:02",
                    "created_at": "2020-07-19 09:17:20",
                    "updated_at": "2020-07-19 09:17:20",
                    "touched_at": "2020-07-19 11:08:48",
                    "pivot": {
                        "id": 15,
                        "created_at": "2020-07-19 11:08:48",
                        "updated_at": "2020-07-19 11:08:48"
                    }
                }
            ],
            "score": {
                "indicator_id": 3,
                "generated_score": "0.00",
                "manual_score": null,
                "score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
                "created_at": "2020-07-19 11:08:48",
                "updated_at": "2020-07-19 11:08:48"
            },
            "signatures": [],
            "sources": [
                {
                    "id": 8,
                    "type": "users",
                    "reference_id": 1,
                    "name": "tip.labops@siemplify.co",
                    "tlp_id": null,
                    "created_at": "2020-07-19 11:08:48",
                    "updated_at": "2020-07-19 11:08:48",
                    "published_at": null,
                    "pivot": {
                        "indicator_id": 3,
                        "source_id": 8,
                        "id": 3,
                        "creator_source_id": 8
                    }
                }
            ],
            "status": {
                "id": 1,
                "name": "Active",
                "description": "Poses a threat and is being exported to detection tools.",
                "user_editable": "N",
                "visible": "Y",
                "include_in_export": "Y",
                "protected": "Y",
                "created_at": "2020-06-29 17:14:34",
                "updated_at": "2020-06-29 17:14:34"
            },
            "tags": [],
            "type": {
                "id": 27,
                "name": "String",
                "class": "network",
                "score": null,
                "wildcard_matching": "Y",
                "created_at": "2020-06-29 17:13:29",
                "updated_at": "2020-06-29 17:13:29"
            },
            "watchlist": []
        }
    ]
}

案件總覽

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功且有資料可用 (is_success=true)：

print "Successfully listed ThreatQ indicators."

如果沒有可用資料 (is_success=false)：

print "No indicators were found in ThreatQ."

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

print "Error executing action "List Indicators". 原因：{0}''.format(error.Stacktrace)

如果「其他欄位」參數中指定了無效欄位：

print "Error executing action "List Indicators". 原因：「其他欄位」參數中指定的欄位無效。'''.format(error.Stacktrace)"

一般

CSV 牆面表格

表格名稱：ThreatQ Indicators

表格欄：

ID (對應為 id)
標題 (對應為標題)
建立時間 (對應為 created_at)
更新時間 (對應為 updated_at)
說明 (對應為說明)

一般

更新指標狀態

說明

動作會更新 ThreatQ 中的指標狀態。

參數

參數顯示名稱

類型

預設值

是否為必填

說明

狀態

DDL

有效

可能的值包括：

有效

已過期

間接

查看

已列入許可清單

是

指定指標的新狀態。

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "id": 1,
        "type_id": 18,
        "status_id": 2,
        "class": "host",
        "hash": "6677d693422fbeb541397fb8554f4664",
        "value": "7815696ecbf1c96e6894b779456d330e",
        "description": null,
        "last_detected_at": null,
        "expires_at": null,
        "expired_at": "2020-07-21 09:05:56",
        "expires_needs_calc": "N",
        "expires_calculated_at": "2020-07-21 07:35:02",
        "created_at": "2020-07-19 09:17:20",
        "updated_at": "2020-07-21 09:05:56",
        "touched_at": "2020-07-21 09:05:56"
    }
}

案件總覽

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully updated status for the indicator with value '{0}' in ThreatQ.".format(indicator value)

如果找不到指標 (is_success = false)：
列印「Action was not able to update status for the indicator with value '{0}' in ThreatQ. 原因：ThreatQ 中找不到值為「{0}」且類型為「{1}」的指標。".format(indicator value, indicator type)

如果一般錯誤(is_success = false)：

Print: "Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器等：

print "Error executing action "Update Indicator Status". 原因：{0}''.format(error.Stacktrace)

一般

更新指標分數

說明

動作會更新 ThreatQ 中的指標分數。

參數

參數顯示名稱

類型

預設值

為必填項目

說明

分數

DDL

「7 - 中」

可能的值：

「0 - 非常低」

「1 - 非常低」

「2 - 非常低」

「3 - 非常低」

「4 - 非常低」

「5 - Low」(5 - 低)

「6 - Low」(6 - 低)

「7 - 中」

「8 - 中」

「9 - 高」

「10 - 非常高」

是

指定指標的新分數。

分數驗證

DDL

最高分

可能的值：

最高分

強制更新

是

指定要使用的分數驗證類型。如果指定「最高分數」，動作會比較目前的值，且只有在指定的分數高於目前產生和手動輸入的分數時，才會更新指標的分數。如果指定「強制更新」，動作會更新指標的分數，不會比較目前值。

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

{
    "data": {
        "indicator_id": 2,
        "generated_score": "5.00",
        "manual_score": 1,
        "score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
        "created_at": "2020-07-19 09:17:43",
        "updated_at": "2020-07-21 09:25:27"
    }
}

案件總覽

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success = true)：
print "Successfully updated score for the indicator with value '{0}' in ThreatQ.".format(indicator value)

如果「分數驗證」==「最高分數」，且動作參數中指定的分數小於目前分數：(is_success = false)：

print "Action didn't update score for the indicator with value '{0}' in ThreatQ. 原因：目前分數較高。".format(指標值)

如果找不到指標 (is_success = false)：

print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. 原因：ThreatQ 中找不到值為「{0}」且類型為「{1}」的指標。".format(indicator value, indicator type)

如果一般錯誤(is_success = false)：

Print: "Action was not able to update score for the indicator with value '{0}' in ThreatQ.".format(indicator value)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等)，請按照下列步驟操作：

print "Error executing action "Update Indicator Score". 原因：{0}''.format(error.Stacktrace)

一般

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。