TruSTAR
Versione integrazione: 4.0
Casi d'uso
Eseguire azioni di arricchimento.
Configurare l'integrazione di TruSTAR in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://api.trustar.co | Sì | Root API TruSTAR |
| Chiave API | Stringa | N/D | Sì | Chiave API TruSTAR |
| API secret | Password | Sì | API secret di TruSTAR | |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server TruSTAR sia valido. |
Dove trovare il token API e il segreto API
- Vai a https://station.trustar.co/settings/api
- Copia "ID client" e "Client secret" e inseriscili nella configurazione dell'integrazione.
- Esegui l'esecuzione del test.
Azioni
Dindin
Descrizione
Testa la connettività a TruSTAR con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità utilizzando le informazioni di TruSTAR. Entità supportate: tutte.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia del livello di sicurezza | DDL | Bassa Valori predefiniti: Benigno Bassa Media Alta |
Sì | Specifica quale deve essere il livello di sicurezza più basso affinché l'entità venga contrassegnata come sospetta. |
| Filtro enclave | CSV | No | Specifica un elenco separato da virgole di nomi di enclave da utilizzare durante l'arricchimento. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| avvistamenti | Quando disponibile in formato JSON |
| first_seen | Quando disponibile in formato JSON |
| last_seen | Quando disponibile in formato JSON |
| Tag | Quando disponibile in formato JSON |
| origine | Quando disponibile in formato JSON |
| security_level | Quando disponibile in formato JSON |
| report_link | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier) Se non è stato eseguito l'arricchimento di tutte le entità (is_success = false): "Nessuna entità è stata arricchita". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se non è stata trovata una delle enclave: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: non sono stati trovati i seguenti enclave: {0}. Controlla l'ortografia o utilizza l'azione "Elenca enclave" per trovare le enclave valide.".format(enclave names) |
Generale |
| Tabella entità | Stesse colonne della tabella di arricchimento, ma senza prefisso. | Entità |
Recuperare gli IOC correlati
Descrizione
Ricevi informazioni sugli indicatori di compromissione correlati alle entità fornite. Entità supportate: tutte.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero massimo di IOC da restituire | Numero intero | 50 | No | Specifica il numero di indicatori di compromissione da restituire. Valore predefinito: 50. Massimo: 1000. |
| Filtro enclave | CSV | No | Specifica un elenco separato da virgole di nomi di enclave da utilizzare durante l'arricchimento. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non sono stati trovati indicatori di compromissione(is_success=false) "Non sono stati trovati indicatori di compromissione correlati per le entità fornite in TruSTAR". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se la risposta non è 200: "Errore durante l'esecuzione dell'azione "Recupera indicatori di compromissione correlati". Motivo: {0}''.format(message) Se non è stata trovata una delle enclave: "Errore durante l'esecuzione dell'azione "Recupera IOC correlati". Motivo: non sono stati trovati i seguenti enclave: {0}. Controlla l'ortografia o utilizza l'azione "Elenca enclave" per trovare le enclave valide.".format(enclave names) |
Generale |
Tabella della bacheca casi |
Nome: Statistiche Colonne: Tipo Conteggio |
Generale |
Visualizzare i report correlati
Descrizione
Ottieni informazioni sulle segnalazioni relative alle entità. Entità supportate: tutte.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Sì | No | Se attivata, l'azione creerà un insight contenente informazioni sui report correlati alle entità. |
| Includere il corpo del report nell'approfondimento | Casella di controllo | No | No | Se attivato, l'approfondimento conterrà informazioni sul corpo del report. Nota: il corpo del report può essere molto grande. |
| Filtro enclave | CSV | No | Specifica un elenco separato da virgole di nomi di enclave da utilizzare durante l'arricchimento. | |
| Numero massimo di report da restituire | Numero intero | No | Specifica il numero di report da restituire. Valore predefinito: 10. Massimo: 25. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Informazioni sull'entità
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non vengono trovati report (is_success=false) "Non sono stati trovati report correlati in TruSTAR" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se non viene restituita alcuna risposta 200: "Errore durante l'esecuzione dell'azione "Recupera report correlati". Motivo: {0}''.format(message) Se non è stato trovato uno degli enclave: "Errore durante l'esecuzione dell'azione "Ottieni report correlati". Motivo: non sono stati trovati i seguenti enclave: {0}. Controlla l'ortografia o utilizza l'azione "Elenca enclave" per trovare le enclave valide.".format(enclave names) |
Generale |
| Bacheca casi | Titolo: Report correlati Colonne: Titolo Tag |
Generale |
List Enclaves
Descrizione
Elenca i componenti sicuri disponibili in TruSTAR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Logica di filtro | DDL | Uguale DDL Uguale Contiene |
No | Specifica la logica di filtro da applicare. |
| Valore filtro | Stringa | No | Specifica il valore da utilizzare nel filtro. | |
| Numero massimo di enclave da restituire | Numero intero | 50 | No | Specifica il numero di enclave da restituire. Valore predefinito: 50. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non vengono trovate enclave (is_success=false): "Non sono state trovate enclave correlate in TruSTAR" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
| Bacheca casi | Titolo: Report correlati Colonne: Nome Leggi Creazione Aggiorna ID Tipo |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.