Halaman ini diterjemahkan oleh Cloud Translation API.

TruSTAR

Versi integrasi: 4.0

Kasus Penggunaan

Lakukan tindakan pengayaan.

Mengonfigurasi integrasi TruSTAR di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root API	String	https://api.trustar.co	Ya	Root TruSTAR API
Kunci API	String	T/A	Ya	Kunci API TruSTAR
Rahasia API	Sandi		Ya	Rahasia API TruSTAR
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server TruSTAR valid.

Tempat Menemukan Token API dan Rahasia API

Buka https://station.trustar.co/settings/api
Salin "Client ID" dan "Client Secret", lalu masukkan ke konfigurasi integrasi
Jalankan uji coba.

Tindakan

Ping

Deskripsi

Uji konektivitas ke TruSTAR dengan parameter yang disediakan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Successfully connected to the TruSTAR server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika tidak berhasil: "Gagal terhubung ke server TruSTAR. Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the TruSTAR server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika tidak berhasil: "Gagal terhubung ke server TruSTAR. Error adalah {0}".format(exception.stacktrace)

Umum

Memperkaya Entitas

Deskripsi

Memperkaya entitas menggunakan informasi dari TruSTAR. Entitas yang didukung: Semua.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nilai Minimum Tingkat Keamanan	DDL	Rendah Nilai default: Benign Rendah Sedang Tinggi	Ya	Tentukan tingkat keamanan terendah agar entitas ditandai sebagai mencurigakan.
Filter Enclave	CSV		Tidak	Tentukan daftar nama enclave yang dipisahkan koma yang harus digunakan selama pengayaan.

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Nilai Minimum Tingkat Keamanan

DDL

Rendah

Nilai default:

Benign

Rendah

Sedang

Tinggi

Tentukan tingkat keamanan terendah agar entitas ditandai sebagai mencurigakan.

Filter Enclave

CSV

Tidak

Tentukan daftar nama enclave yang dipisahkan koma yang harus digunakan selama pengayaan.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "indicatorType": "URL",
    "value": "http://esmne052.top/downfiles/lv.exe",
    "correlationCount": 0,
    "priorityLevel": "NOT_FOUND",
    "noteCount": 0,
    "sightings": 3,
    "firstSeen": 1617901588427,
    "lastSeen": 1617923344643,
    "enclaveIds": [
        "b850e851-27e3-4cc2-9269-69ac0aad63b1",
        "85313bc9-deb4-4022-ac03-923adcee9298",
        "cf777992-5dde-4d08-aef2-5e7c13951f54"
    ],
    "tags": [
        {
            "guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
            "name": "api-tag",
            "enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
        }
    ],
    "source": "",
    "notes": [],
    "guid": "URL|http://esmne052.top/downfiles/lv.exe",
    "summaries": [
        {
            "reportId": "970da023-e974-4223-80be-4b83c85583d9",
            "updated": 1617900133000,
            "enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
            "source": {
                "key": "virustotal",
                "name": "VirusTotal"
            },
            "type": "URL",
            "value": "http://esmne052.top/downfiles/lv.exe",
            "score": {
                "name": "Positives/Total Scans",
                "value": "12/85"
            },
            "attributes": [
                {
                    "name": "Scan Date",
                    "value": 1617900133000
                },
                {
                    "name": "Websites with Positive Detections",
                    "value": [
                        "AegisLab WebGuard",
                        "AlienVault",
                        "CRDF",
                        "ESET",
                        "Emsisoft",
                        "Fortinet",
                        "G-Data",
                        "Kaspersky",
                        "Spamhaus",
                        "URLhaus",
                        "VX Vault",
                        "benkow.cc"
                    ]
                }
            ],
            "severityLevel": 1
        },
    ]
}

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
penampakan	Jika tersedia dalam JSON
first_seen	Jika tersedia dalam JSON
last_seen	Jika tersedia dalam JSON
tags	Jika tersedia dalam JSON
sumber	Jika tersedia dalam JSON
security_level	Jika tersedia dalam JSON
report_link	Jika tersedia dalam JSON

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if enriched some(is_success = true): "Successfully enriched the following entities using TruSTAR:\n".format(entity.identifier) If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier) Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya". Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) Jika salah satu enclave tidak ditemukan: "Error executing action "Enrich Entities". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)	Umum
Tabel Entitas	Kolom yang sama seperti di tabel Pengayaan, tetapi tanpa awalan.	Entity

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using TruSTAR:\n".format(entity.identifier)

If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier)

Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

Jika salah satu enclave tidak ditemukan: "Error executing action "Enrich Entities". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)

Umum

Tabel Entitas

Kolom yang sama seperti di tabel Pengayaan, tetapi tanpa awalan.

Entity

Mendapatkan IOC Terkait

Deskripsi

Mendapatkan informasi tentang IOC yang terkait dengan entitas yang diberikan. Entitas yang didukung: Semua.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Jumlah Maksimum IOC yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah IOC yang akan ditampilkan. Default: 50. Maksimum: 1000.
Filter Enclave	CSV		Tidak	Tentukan daftar nama enclave yang dipisahkan koma yang harus digunakan selama pengayaan.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "{indicatorType_1}": ["{value_1}"],
    "{indicatorType_2}": ["{value_2}"]
}

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika setidaknya satu IOC ditemukan(is_success = true): "Successfully returned related IOCs for the provided entities in TruSTAR". Jika tidak ada IOC yang ditemukan(is_success=false) "No related IOCs were found for the provided entities in TruSTAR". Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Related IOCs". Alasan: {0}''.format(error.Stacktrace) Jika respons non-200: "Error executing action "Get Related IOCs". Alasan: {0}''.format(message) Jika salah satu enclave tidak ditemukan: "Error executing action "Get Related IOCs". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)	Umum
Tabel Repositori Kasus	Nama: Statistik Kolom: Jenis Jumlah	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika setidaknya satu IOC ditemukan(is_success = true): "Successfully returned related IOCs for the provided entities in TruSTAR".

Jika tidak ada IOC yang ditemukan(is_success=false) "No related IOCs were found for the provided entities in TruSTAR".

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Get Related IOCs". Alasan: {0}''.format(error.Stacktrace)

Jika respons non-200: "Error executing action "Get Related IOCs". Alasan: {0}''.format(message)

Jika salah satu enclave tidak ditemukan: "Error executing action "Get Related IOCs". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)

Umum

Tabel Repositori Kasus

Nama: Statistik

Kolom:

Jenis

Jumlah

Umum

Mendapatkan Laporan Terkait

Deskripsi

Mendapatkan informasi tentang laporan yang terkait dengan entitas. Entitas yang didukung: Semua.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Buat Insight	Kotak centang	Ya	Tidak	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang laporan yang terkait dengan entitas.
Menyertakan Isi Laporan Dalam Insight	Kotak centang	Tidak	Tidak	Jika diaktifkan, insight akan berisi informasi tentang isi laporan. Catatan: isi laporan bisa berukuran sangat besar.
Filter Enclave	CSV		Tidak	Tentukan daftar nama enclave yang dipisahkan koma yang harus digunakan selama pengayaan.
Jumlah Maksimum Laporan yang Akan Ditampilkan	Bilangan bulat		Tidak	Tentukan jumlah laporan yang akan ditampilkan. Default: 10. Maksimum: 25.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
    "created": 1615928416710,
    "updated": 1615928416710,
    "title": "35201",
    "distributionType": "ENCLAVE",
    "submissionStatus": "PROCESSED",
    "timeBegan": 1615928416187,
    "reportBody": "Event # 1\n   Source IP: 4.2.2.2\n   Destination IP: 10.250.250.25\n   Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
    "externalTrackingId": "qradar-offence-35201",
    "enclaveIds": [
        "28177710-9cb8-aa2f-29e8-135c14365e80"
    ],
    "tags": [
        {
            "guid": "sense offense",
            "name": "sense offense",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "host logout",
            "name": "host logout",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "service stopped",
            "name": "service stopped",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "object access success",
            "name": "object access success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "process creation success",
            "name": "process creation success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "information",
            "name": "information",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user privilege",
            "name": "user privilege",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user login failure",
            "name": "user login failure",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        }
    ]
}

Insight Entitas

Contoh insight Dapatkan Laporan Terkait

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika satu laporan ditemukan (is_success = true): "Successfully returned related reports for the provided entities in TruSTAR". Jika tidak ada laporan yang ditemukan (is_success=false) "No related reports were found in TruSTAR" Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Dapatkan Laporan Terkait". Alasan: {0}''.format(error.Stacktrace) Jika tidak ada respons 200: "Error saat menjalankan tindakan "Dapatkan Laporan Terkait". Alasan: {0}''.format(message) Jika salah satu enclave tidak ditemukan: "Error saat menjalankan tindakan "Get Related Reports". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)	Umum
Repositori Kasus	Judul: Laporan Terkait Kolom: Title Tag	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika satu laporan ditemukan (is_success = true): "Successfully returned related reports for the provided entities in TruSTAR".

Jika tidak ada laporan yang ditemukan (is_success=false) "No related reports were found in TruSTAR"

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Dapatkan Laporan Terkait". Alasan: {0}''.format(error.Stacktrace)

Jika tidak ada respons 200: "Error saat menjalankan tindakan "Dapatkan Laporan Terkait". Alasan: {0}''.format(message)

Jika salah satu enclave tidak ditemukan: "Error saat menjalankan tindakan "Get Related Reports". Alasan: enklave berikut tidak ditemukan: {0}. Periksa ejaan atau gunakan tindakan "List Enclaves" untuk menemukan enklave yang valid.''.format(enclave names)

Umum

Repositori Kasus

Judul: Laporan Terkait

Kolom:

Title

Tag

Umum

Mencantumkan Enclave

Deskripsi

Mencantumkan enklave yang tersedia di TruSTAR.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Logika Filter	DDL	Sama dengan DDL Sama dengan Berisi	Tidak	Tentukan logika filter yang harus diterapkan.
Nilai Filter	String		Tidak	Tentukan nilai yang akan digunakan dalam filter.
Jumlah Maksimum Enklave yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan jumlah enklave yang akan ditampilkan. Default: 50.

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Logika Filter

DDL

Sama dengan

DDL

Sama dengan

Berisi

Tidak

Tentukan logika filter yang harus diterapkan.

Nilai Filter

String

Tidak

Tentukan nilai yang akan digunakan dalam filter.

Jumlah Maksimum Enklave yang Akan Ditampilkan

Bilangan bulat

Tidak

Tentukan jumlah enklave yang akan ditampilkan. Default: 50.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

[
    {
        "name": "COVID-19 OSINT Community Enclave",
        "templateName": "COVID-19",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
        "type": "OPEN"
    },
    {
        "name": "Hybrid Analysis Public Feed",
        "templateName": "Open Source",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
        "type": "OPEN"
    }
]

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika satu enclave ditemukan (is_success = true): "Successfully returned available enclaves in TruSTAR". Jika tidak ada enclave yang ditemukan (is_success=false): "No related enclaves were found in TruSTAR" Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "List Enclaves". Alasan: {0}''.format(error.Stacktrace)	Umum
Repositori Kasus	Judul: Laporan Terkait Kolom: Nama Baca Buat Perbarui ID Jenis	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika satu enclave ditemukan (is_success = true): "Successfully returned available enclaves in TruSTAR".

Jika tidak ada enclave yang ditemukan (is_success=false): "No related enclaves were found in TruSTAR"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "List Enclaves". Alasan: {0}''.format(error.Stacktrace)

Umum

Repositori Kasus

Judul: Laporan Terkait

Kolom:

Nama

Baca

Buat

Perbarui

Jenis

Umum

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.