TruSTAR
Versión de integración: 4.0
Casos de uso
Realizar acciones de enriquecimiento
Configura la integración de TruSTAR en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://api.trustar.co | Sí | Raíz de la API de TruSTAR |
| Clave de API | String | N/A | Sí | Clave de API de TruSTAR |
| Secreto de API | Contraseña | Sí | Secreto de la API de TruSTAR | |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de TruSTAR sea válido. |
Dónde encontrar el token y el secreto de la API
- Navega a https://station.trustar.co/settings/api.
- Copia el "ID de cliente" y el "secreto de cliente" y colócalos en la configuración de integración.
- Ejecuta la prueba.
Acciones
Ping
Descripción
Prueba la conectividad a TruSTAR con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debería fallar y detener la ejecución de la guía: |
General |
Enriquece entidades
Descripción
Enriquece entidades con información de TruSTAR. Entidades admitidas: Todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral del nivel de seguridad | DDL | Baja Valores predeterminados: Benigno Baja Medio Alta |
Sí | Especifica cuál debe ser el nivel de seguridad más bajo para que la entidad se marque como sospechosa. |
| Filtro de enclave | CSV | No | Especifica una lista separada por comas de los nombres de los enclaves que se deben usar durante el enriquecimiento. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Avistamientos | Cuando está disponible en JSON |
| first_seen | Cuando está disponible en JSON |
| last_seen | Cuando está disponible en JSON |
| etiquetas | Cuando está disponible en JSON |
| source | Cuando está disponible en JSON |
| security_level | Cuando está disponible en JSON |
| report_link | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se enriquecieron algunas (is_success = true): "Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier) If didn't enrich all (is_success = false): "No se enriquecieron todas las entidades". La acción debe fallar y detener la ejecución de un playbook: Si no se encontró uno de los enclaves: "Error al ejecutar la acción "Enrich Entities". Motivo: No se encontraron los siguientes enclaves: {0}. Verifica la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
| Tabla de entidades | Son las mismas columnas que en la tabla de enriquecimiento, pero sin prefijo. | Entidad |
Obtén IOC relacionados
Descripción
Obtén información sobre los IOC relacionados con las entidades proporcionadas. Entidades admitidas: Todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Cantidad máxima de IOCs que se devolverán | Número entero | 50 | No | Especifica la cantidad de IOC que se devolverán. El valor predeterminado es 50. El valor máximo es 1,000. |
| Filtro de enclave | CSV | No | Especifica una lista separada por comas de los nombres de los enclaves que se deben usar durante el enriquecimiento. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no se encontraron IOCs(is_success=false), se mostrará el mensaje "No se encontraron IOCs relacionados con las entidades proporcionadas en TruSTAR". La acción debe fallar y detener la ejecución de un playbook: Si la respuesta no es 200: "Error al ejecutar la acción "Get Related IOCs". Motivo: {0}''.format(message) Si no se encontró uno de los enclaves: "Error al ejecutar la acción "Get Related IOCs"". Motivo: No se encontraron los siguientes enclaves: {0}. Verifica la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
Tabla del muro de casos |
Nombre: Estadísticas Columnas: Tipo Recuento |
General |
Obtén informes relacionados
Descripción
Obtén información sobre los informes relacionados con las entidades. Entidades admitidas: Todas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla de verificación | Sí | No | Si está habilitada, la acción creará una estadística que contendrá información sobre los informes relacionados con las entidades. |
| Incluir el cuerpo del informe en la estadística | Casilla de verificación | No | No | Si está habilitado, la estadística contendrá información sobre el cuerpo del informe. Nota: El cuerpo del informe puede ser muy grande. |
| Filtro de enclave | CSV | No | Especifica una lista separada por comas de los nombres de los enclaves que se deben usar durante el enriquecimiento. | |
| Cantidad máxima de informes que se pueden devolver | Número entero | No | Especifica la cantidad de informes que se devolverán. Cantidad predeterminada: 10. Máximo: 25 |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Estadísticas de la entidad
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se encuentran informes (is_success=false) "No se encontraron informes relacionados en TruSTAR" La acción debe fallar y detener la ejecución de un playbook: Si no hay ninguna respuesta 200: "Error al ejecutar la acción "Get Related Reports". Motivo: {0}''.format(message) Si no se encontró uno de los enclaves: "Error al ejecutar la acción "Get Related Reports"". Motivo: No se encontraron los siguientes enclaves: {0}. Verifica la ortografía o usa la acción "List Enclaves" para encontrar los enclaves válidos.''.format(enclave names) |
General |
| Muro de casos | Título: Informes relacionados Columnas: Título Etiquetas |
General |
Enumera los enclaves
Descripción
Enumera los enclaves disponibles en TruSTAR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Lógica de filtro | DDL | Igual DDL Igual Contiene |
No | Especifica qué lógica de filtro se debe aplicar. |
| Valor del filtro | String | No | Especifica qué valor se debe usar en el filtro. | |
| Max Enclaves To Return | Número entero | 50 | No | Especifica la cantidad de enclaves que se devolverán. El valor predeterminado es 50. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se encuentran enclaves (is_success=false): "No se encontraron enclaves relacionados en TruSTAR" La acción debe fallar y detener la ejecución de un playbook: |
General |
| Muro de casos | Título: Informes relacionados Columnas: Nombre Leer Crear Actualizar ID Tipo |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.