TruSTAR

Integrationsversion: 4.0

Anwendungsbereiche

Anreicherungsaktionen durchführen

TruSTAR-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
API-Stamm String https://api.trustar.co Ja TruSTAR-API-Stamm
API-Schlüssel String Ja TruSTAR-API-Schlüssel
API-Secret Passwort Ja TruSTAR-API-Secret
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum TruSTAR-Server gültig ist.

API-Token und API-Secret finden

  1. Rufen Sie https://station.trustar.co/settings/api auf.
  2. Kopieren Sie „Client-ID“ und „Clientschlüssel“ und fügen Sie sie in die Integrationskonfiguration ein.
  3. Testlauf ausführen

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu TruSTAR mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Bei Erfolg: „Successfully connected to the TruSTAR server with the provided connection parameters!“ (Erfolgreich mit dem TruSTAR-Server verbunden, der mit den angegebenen Verbindungsparametern ausgeführt wird)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if not successful: „Failed to connect to the TruSTAR server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen von TruSTAR anreichern Unterstützte Entitäten: alle.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Grenzwert für das Sicherheitsniveau DDL

Niedrig

Standardwerte:

Gutartig

Niedrig

Mittel

Hoch

 Ja Geben Sie an, welche Sicherheitsstufe mindestens erforderlich sein muss, damit die Identität als verdächtig eingestuft wird.
Enclave-Filter CSV Nein Geben Sie eine durch Kommas getrennte Liste von Enklavennamen an, die während der Anreicherung verwendet werden sollen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "indicatorType": "URL",
    "value": "http://esmne052.top/downfiles/lv.exe",
    "correlationCount": 0,
    "priorityLevel": "NOT_FOUND",
    "noteCount": 0,
    "sightings": 3,
    "firstSeen": 1617901588427,
    "lastSeen": 1617923344643,
    "enclaveIds": [
        "b850e851-27e3-4cc2-9269-69ac0aad63b1",
        "85313bc9-deb4-4022-ac03-923adcee9298",
        "cf777992-5dde-4d08-aef2-5e7c13951f54"
    ],
    "tags": [
        {
            "guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
            "name": "api-tag",
            "enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
        }
    ],
    "source": "",
    "notes": [],
    "guid": "URL|http://esmne052.top/downfiles/lv.exe",
    "summaries": [
        {
            "reportId": "970da023-e974-4223-80be-4b83c85583d9",
            "updated": 1617900133000,
            "enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
            "source": {
                "key": "virustotal",
                "name": "VirusTotal"
            },
            "type": "URL",
            "value": "http://esmne052.top/downfiles/lv.exe",
            "score": {
                "name": "Positives/Total Scans",
                "value": "12/85"
            },
            "attributes": [
                {
                    "name": "Scan Date",
                    "value": 1617900133000
                },
                {
                    "name": "Websites with Positive Detections",
                    "value": [
                        "AegisLab WebGuard",
                        "AlienVault",
                        "CRDF",
                        "ESET",
                        "Emsisoft",
                        "Fortinet",
                        "G-Data",
                        "Kaspersky",
                        "Spamhaus",
                        "URLhaus",
                        "VX Vault",
                        "benkow.cc"
                    ]
                }
            ],
            "severityLevel": 1
        },
    ]
}
Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
Sichtungen Wenn in JSON verfügbar
first_seen Wenn in JSON verfügbar
last_seen Wenn in JSON verfügbar
Tags Wenn in JSON verfügbar
source Wenn in JSON verfügbar
security_level Wenn in JSON verfügbar
report_link Wenn in JSON verfügbar
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
if enriched some(is_success = true): "Successfully enriched the following entities using TruSTAR:\n".format(entity.identifier)

Wenn einige nicht angereichert wurden (is_success = true): „Die Aktion konnte die folgenden Entitäten nicht mit TruSTAR anreichern:\n“.format(entity.identifier)

Wenn nicht alle angereichert wurden (is_success = false): „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entitäten anreichern‘. Grund: {0}''.format(error.Stacktrace)

Wenn eine der Enklaven nicht gefunden wurde: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Die folgenden Enclaves wurden nicht gefunden: {0}. Bitte überprüfen Sie die Schreibweise oder verwenden Sie die Aktion „List Enclaves“, um die gültigen Enclaves zu finden.“''.format(enclave names)

 Allgemein
Tabelle mit Elementen Dieselben Spalten wie in der Anreicherungstabelle, aber ohne Präfix. Entität

Beschreibung

Informationen zu IOCs abrufen, die mit den angegebenen Entitäten zusammenhängen. Unterstützte Einheiten: alle.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Maximale Anzahl zurückzugebender IOCs Ganzzahl 50 Nein Geben Sie an, wie viele IOCs zurückgegeben werden sollen. Standard: 50. Maximum: 1.000
Enclave-Filter CSV Nein Geben Sie eine durch Kommas getrennte Liste von Enklavennamen an, die während der Anreicherung verwendet werden sollen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "{indicatorType_1}": ["{value_1}"],
    "{indicatorType_2}": ["{value_2}"]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Wenn mindestens ein IOC gefunden wurde (is_success = true): „Successfully returned related IOCs for the provided entities in TruSTAR“ (Zugehörige IOCs für die angegebenen Entitäten in TruSTAR wurden erfolgreich zurückgegeben).

Wenn keine IOCs gefunden wurden (is_success=false): „No related IOCs were found for the provided entities in TruSTAR“ (Für die angegebenen Entitäten in TruSTAR wurden keine zugehörigen IOCs gefunden).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Error executing action ‚Get Related IOCs‘. Grund: {0}''.format(error.Stacktrace)

Wenn keine 200er-Antwort: „Fehler beim Ausführen der Aktion ‚Get Related IOCs‘.“ Grund: {0}''.format(message)

Wenn eine der Enclaves nicht gefunden wurde: „Fehler beim Ausführen der Aktion ‚Get Related IOCs‘. Grund: Die folgenden Enclaves wurden nicht gefunden: {0}. Bitte überprüfen Sie die Schreibweise oder verwenden Sie die Aktion „List Enclaves“, um die gültigen Enclaves zu finden.“''.format(enclave names)

 Allgemein

Case Wall-Tabelle

Name: Statistiken

Spalten:

Typ

Anzahl

Allgemein

Beschreibung

Informationen zu Berichten zu den Entitäten abrufen Unterstützte Entitäten: alle.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Insight erstellen Kästchen Ja Nein Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu Berichten erstellt, die sich auf die Einheiten beziehen.
Berichtstext in den Insight einbeziehen Kästchen Nein Nein Wenn diese Option aktiviert ist, enthält der Insight Informationen zum Text des Berichts. Hinweis: Der Berichtstext kann sehr groß sein.
Enclave-Filter CSV Nein Geben Sie eine durch Kommas getrennte Liste von Enklavennamen an, die während der Anreicherung verwendet werden sollen.
Maximale Anzahl zurückzugebender Berichte Ganzzahl Nein Geben Sie an, wie viele Berichte zurückgegeben werden sollen. Der Standardwert ist 10. Maximal: 25.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
    "created": 1615928416710,
    "updated": 1615928416710,
    "title": "35201",
    "distributionType": "ENCLAVE",
    "submissionStatus": "PROCESSED",
    "timeBegan": 1615928416187,
    "reportBody": "Event # 1\n   Source IP: 4.2.2.2\n   Destination IP: 10.250.250.25\n   Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
    "externalTrackingId": "qradar-offence-35201",
    "enclaveIds": [
        "28177710-9cb8-aa2f-29e8-135c14365e80"
    ],
    "tags": [
        {
            "guid": "sense offense",
            "name": "sense offense",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "host logout",
            "name": "host logout",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "service stopped",
            "name": "service stopped",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "object access success",
            "name": "object access success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "process creation success",
            "name": "process creation success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "information",
            "name": "information",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user privilege",
            "name": "user privilege",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user login failure",
            "name": "user login failure",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        }
    ]
}
Entitäts-Insight

Beispiel für die Funktion „Zugehörige Berichte“

Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Wenn ein Bericht gefunden wird (is_success = true): „Successfully returned related reports for the provided entities in TruSTAR“ (Zugehörige Berichte für die angegebenen Entitäten in TruSTAR wurden erfolgreich zurückgegeben).

Wenn keine Berichte gefunden werden (is_success=false) „No related reports were found in TruSTAR“ (In TruSTAR wurden keine zugehörigen Berichte gefunden)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Get Related Reports‘. Grund: {0}''.format(error.Stacktrace)

Wenn keine 200er-Antwort: „Fehler beim Ausführen der Aktion ‚Get Related Reports‘.“ Grund: {0}''.format(message)

Wenn eine der Enklaven nicht gefunden wurde: „Fehler beim Ausführen der Aktion ‚Get Related Reports‘. Grund: Die folgenden Enclaves wurden nicht gefunden: {0}. Bitte überprüfen Sie die Schreibweise oder verwenden Sie die Aktion „List Enclaves“, um die gültigen Enclaves zu finden.“''.format(enclave names)

 Allgemein
Fall-Repository

Titel:Zugehörige Berichte

Spalten:

Titel

Tags

Allgemein

Enclaves auflisten

Beschreibung

Listet die verfügbaren Enclaves in TruSTAR auf.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Filterlogik DDL

Gleich

DDL

Gleich

Enthält

 Nein Geben Sie an, welche Filterlogik angewendet werden soll.
Filterwert String Nein Geben Sie an, welcher Wert im Filter verwendet werden soll.
Maximale Anzahl zurückzugebender Enclaves Ganzzahl 50 Nein Geben Sie an, wie viele Enclaves zurückgegeben werden sollen. Standard: 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[
    {
        "name": "COVID-19 OSINT Community Enclave",
        "templateName": "COVID-19",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
        "type": "OPEN"
    },
    {
        "name": "Hybrid Analysis Public Feed",
        "templateName": "Open Source",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
        "type": "OPEN"
    }
]
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Wenn eine Enklave gefunden wird (is_success = true): „Successfully returned available enclaves in TruSTAR“ (Verfügbare Enklaven in TruSTAR wurden erfolgreich zurückgegeben).

Wenn keine Enclaves gefunden werden (is_success=false): „No related enclaves were found in TruSTAR“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Enclaves auflisten‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Fall-Repository

Titel:Zugehörige Berichte

Spalten:

Name

Lesen

Erstellen

Aktualisieren

ID

Typ

 Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten