TruSTAR
Version de l'intégration : 4.0
Cas d'utilisation
Effectuer des actions d'enrichissement
Configurer l'intégration de TruSTAR dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://api.trustar.co | Oui | Racine de l'API TruSTAR |
| Clé API | Chaîne | N/A | Oui | Clé API TruSTAR |
| Code secret de l'API | Mot de passe | Oui | Code secret de l'API TruSTAR | |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur TruSTAR est valide. |
Où trouver le jeton et le secret de l'API
- Accédez à https://station.trustar.co/settings/api.
- Copiez l'ID client et le code secret du client, puis collez-les dans la configuration de l'intégration.
- Exécutez l'exécution du test.
Actions
Ping
Description
Testez la connectivité à TruSTAR avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Paramètres
N/A
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations de TruSTAR. Toutes les entités sont acceptées.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil du niveau de sécurité | LDD | Faible Valeurs par défaut : Bénin Faible Moyen Élevée |
Oui | Spécifiez le niveau de sécurité le plus bas à partir duquel l'entité doit être marquée comme suspecte. |
| Filtre d'enclave | CSV | Non | Spécifiez une liste de noms d'enclaves séparés par une virgule qui doivent être utilisés lors de l'enrichissement. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| observations | Lorsqu'il est disponible au format JSON |
| first_seen | Lorsqu'il est disponible au format JSON |
| last_seen | Lorsqu'il est disponible au format JSON |
| tags | Lorsqu'il est disponible au format JSON |
| source | Lorsqu'il est disponible au format JSON |
| security_level | Lorsqu'il est disponible au format JSON |
| report_link | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si certaines entités n'ont pas été enrichies (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide de TruSTAR :\n".format(entity.identifier) Si l'enrichissement n'a pas été effectué pour toutes les entités (is_success = false) : "Aucune entité n'a été enrichie". L'action doit échouer et arrêter l'exécution d'un playbook : Si l'une des enclaves est introuvable : "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : les enclaves suivantes sont introuvables : {0}. Veuillez vérifier l'orthographe ou utiliser l'action "Lister les enclaves" pour trouver les enclaves valides."''.format(enclave names) |
Général |
| Tableau des entités | Les mêmes colonnes que dans le tableau d'enrichissement, mais sans préfixe. | Entité |
Obtenir les IOC associés
Description
Obtenez des informations sur les IOC associés aux entités fournies. Entités acceptées : toutes.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nombre maximal d'IOC à renvoyer | Integer | 50 | Non | Indiquez le nombre d'IOC à renvoyer. Valeur par défaut : 50. Maximum : 1 000. |
| Filtre d'enclave | CSV | Non | Spécifiez une liste de noms d'enclaves séparés par une virgule qui doivent être utilisés lors de l'enrichissement. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucun IOC n'a été trouvé(is_success=false) : "Aucun IOC associé n'a été trouvé pour les entités fournies dans TruSTAR". L'action doit échouer et arrêter l'exécution d'un playbook : Si la réponse n'est pas 200 : "Erreur lors de l'exécution de l'action "Obtenir les IOC associés". Motif : {0}''.format(message) Si l'une des enclaves est introuvable : "Erreur lors de l'exécution de l'action "Obtenir les IOC associés". Motif : les enclaves suivantes sont introuvables : {0}. Veuillez vérifier l'orthographe ou utiliser l'action "Lister les enclaves" pour trouver les enclaves valides."''.format(enclave names) |
Général |
Tableau du mur des cas |
Nom : Statistiques Colonnes : Type Nombre |
Général |
Obtenir les rapports associés
Description
Obtenez des informations sur les rapports liés aux entités. Toutes les entités sont acceptées.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight | Case à cocher | Oui | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les rapports associés aux entités. |
| Inclure le corps du rapport dans l'insight | Case à cocher | Non | Non | Si cette option est activée, l'insight contient des informations sur le corps du rapport. Remarque : Le corps du rapport peut être très volumineux. |
| Filtre d'enclave | CSV | Non | Spécifiez une liste de noms d'enclaves séparés par une virgule qui doivent être utilisés lors de l'enrichissement. | |
| Nombre maximal de rapports à renvoyer | Integer | Non | Indiquez le nombre de rapports à renvoyer. Par défaut : 10. Maximum : 25. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Insight sur l'entité
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucun rapport n'est trouvé (is_success=false) : "Aucun rapport associé n'a été trouvé dans TruSTAR" L'action doit échouer et arrêter l'exécution d'un playbook : Si aucune réponse 200 n'est reçue : "Erreur lors de l'exécution de l'action "Obtenir les rapports associés". Motif : {0}''.format(message) Si l'une des enclaves n'a pas été trouvée : "Erreur lors de l'exécution de l'action "Obtenir les rapports associés". Motif : les enclaves suivantes sont introuvables : {0}. Veuillez vérifier l'orthographe ou utiliser l'action "Lister les enclaves" pour trouver les enclaves valides."''.format(enclave names) |
Général |
| Mur des cas | Titre : Rapports associés Colonnes : Titre Tags |
Général |
Lister les enclaves
Description
Liste les enclaves disponibles dans TruSTAR.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Logique de filtrage | LDD | Égal à LDD Égal à Contient |
Non | Spécifiez la logique de filtrage à appliquer. |
| Valeur du filtre | Chaîne | Non | Spécifiez la valeur à utiliser dans le filtre. | |
| Nombre maximal d'enclaves à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'enclaves à renvoyer. Valeur par défaut : 50. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucun enclave n'est trouvé (is_success=false) : "No related enclaves were found in TruSTAR" (Aucun enclave associé n'a été trouvé dans TruSTAR) L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
| Mur des cas | Titre : Rapports associés Colonnes : Nom Lire Créer Mettre à jour ID Type |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.