TruSTAR
Versión de integración: 4.0
Casos prácticos
Realiza acciones de enriquecimiento.
Configurar la integración de TruSTAR en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://api.trustar.co | Sí | Raíz de la API de TruSTAR |
| Clave de API | Cadena | N/A | Sí | Clave de API de TruSTAR |
| Secreto de API | Contraseña | Sí | Secreto de API de TruSTAR | |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de TruSTAR sea válido. |
Dónde encontrar el token y el secreto de la API
- Ve a https://station.trustar.co/settings/api.
- Copia "ID de cliente" y "Secreto de cliente" y pégalos en la configuración de la integración.
- Ejecuta la prueba.
Acciones
Ping
Descripción
Prueba la conectividad con TruSTAR con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: La acción debería fallar y detener la ejecución de una guía: |
General |
Enriquecer entidades
Descripción
Enriquece las entidades con información de TruSTAR. Entidades admitidas: todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de nivel de seguridad | DDL | Bajo Valores predeterminados: Benigno Bajo Medio Alta |
Sí | Especifica cuál debe ser el nivel de seguridad más bajo para que la entidad se marque como sospechosa. |
| Enclave Filter | CSV | No | Especifica una lista de nombres de enclaves separados por comas que se deben usar durante el enriquecimiento. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| avistamientos | Cuando esté disponible en JSON |
| first_seen | Cuando esté disponible en JSON |
| last_seen | Cuando esté disponible en JSON |
| etiquetas | Cuando esté disponible en JSON |
| fuente | Cuando esté disponible en JSON |
| security_level | Cuando esté disponible en JSON |
| report_link | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: Si no se ha enriquecido alguna (is_success = true): "No se ha podido enriquecer las siguientes entidades con TruSTAR:\n".format(entity.identifier) Si no se ha enriquecido todo (is_success = false): "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si no se encuentra uno de los enclaves: "Error al ejecutar la acción "Enrich Entities". Motivo: no se han encontrado los siguientes enclaves: {0}. Comprueba la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
| Tabla de entidades | Las mismas columnas que en la tabla de enriquecimiento, pero sin prefijo. | Entidad |
Obtener IOCs relacionados
Descripción
Obtiene información sobre los IOCs relacionados con las entidades proporcionadas. Entidades admitidas: todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de IOCs que se devolverán | Entero | 50 | No | Especifica cuántos IOCs quieres que se devuelvan. Valor predeterminado: 50. Máximo: 1000. |
| Enclave Filter | CSV | No | Especifica una lista de nombres de enclaves separados por comas que se deben usar durante el enriquecimiento. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si no se han encontrado IOCs(is_success=false), se mostrará el mensaje "No se han encontrado IOCs relacionados con las entidades proporcionadas en TruSTAR". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si la respuesta no es 200: "Error al ejecutar la acción "Get Related IOCs". Motivo: {0}''.format(message) Si no se encuentra uno de los enclaves: "Error al ejecutar la acción "Get Related IOCs". Motivo: no se han encontrado los siguientes enclaves: {0}. Comprueba la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
Tabla del panel de casos |
Nombre: Estadísticas Columnas: Tipo Recuento |
General |
Obtener informes relacionados
Descripción
Obtener información sobre los informes relacionados con las entidades. Entidades admitidas: todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla | Sí | No | Si se habilita, la acción creará una estadística que contenga información sobre los informes relacionados con las entidades. |
| Incluir el cuerpo del informe en la estadística | Casilla | No | No | Si está habilitada, la estadística incluirá información sobre el cuerpo del informe. Nota: El cuerpo del informe puede ser muy grande. |
| Enclave Filter | CSV | No | Especifica una lista de nombres de enclaves separados por comas que se deben usar durante el enriquecimiento. | |
| Número máximo de informes que se devolverán | Entero | No | Especifica cuántos informes quieres que se devuelvan. Valor predeterminado: 10. Máximo: 25. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Información valiosa sobre las entidades
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si no se encuentran informes (is_success=false) "No se han encontrado informes relacionados en TruSTAR" La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si no se devuelve ninguna respuesta 200: "Error al ejecutar la acción "Get Related Reports". Motivo: {0}''.format(message) Si no se encuentra uno de los enclaves: "Error al ejecutar la acción "Get Related Reports". Motivo: no se han encontrado los siguientes enclaves: {0}. Comprueba la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
| Panel de casos | Título: Informes relacionados Columnas: Título Etiquetas |
General |
Mostrar enclaves
Descripción
Lista los enclaves disponibles en TruSTAR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Lógica de filtro | DDL | Igual DDL Igual Contiene |
No | Especifica la lógica de filtro que se debe aplicar. |
| Valor de filtro | Cadena | No | Especifica el valor que se debe usar en el filtro. | |
| Número máximo de enclaves que se devolverán | Entero | 50 | No | Especifica cuántos enclaves quieres devolver. Valor predeterminado: 50. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si no se encuentra ningún enclave (is_success=false): "No related enclaves were found in TruSTAR" La acción debería fallar y detener la ejecución de un cuaderno de estrategias: |
General |
| Panel de casos | Título: Informes relacionados Columnas: Nombre Leer Crear Actualizar ID Tipo |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.