TruSTAR

統合バージョン: 4.0

ユースケース

拡充アクションを実行します。

Google Security Operations で TruSTAR の統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
API ルート 文字列 https://api.trustar.co はい TruSTAR API ルート
API キー 文字列 なし はい TruSTAR API キー
API Secret パスワード はい TruSTAR API シークレット
SSL を確認する チェックボックス オン はい 有効になっている場合は、TruSTAR サーバーへの接続用の SSL 証明書が有効であることを確認します。

API トークンと API シークレットの確認方法

  1. https://station.trustar.co/settings/api に移動します。
  2. [クライアント ID] と [クライアント シークレット] をコピーして、統合構成に配置します。
  3. テスト実行を実行します。

操作

Ping

説明

Google Security Operations の [Marketplace] タブの統合構成ページで提供されているパラメータを使用して、TruSTAR への接続をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
成功した場合: 「指定された接続パラメータで TruSTAR サーバーに正常に接続しました。」

アクションが失敗し、ハンドブックの実行が停止します:
成功しなかった場合: 「TruSTAR サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace)

 一般

エンティティの拡充

説明

TruSTAR の情報を使用してエンティティを拡充します。サポートされるエンティティ: すべて。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
セキュリティ レベルのしきい値 DDL

デフォルト値:

良性

 はい エンティティが不審としてマークされるための最低セキュリティ レベルを指定します。
エンクレーブ フィルタ CSV いいえ 拡充時に使用するエンクレーブ名のカンマ区切りリストを指定します。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "indicatorType": "URL",
    "value": "http://esmne052.top/downfiles/lv.exe",
    "correlationCount": 0,
    "priorityLevel": "NOT_FOUND",
    "noteCount": 0,
    "sightings": 3,
    "firstSeen": 1617901588427,
    "lastSeen": 1617923344643,
    "enclaveIds": [
        "b850e851-27e3-4cc2-9269-69ac0aad63b1",
        "85313bc9-deb4-4022-ac03-923adcee9298",
        "cf777992-5dde-4d08-aef2-5e7c13951f54"
    ],
    "tags": [
        {
            "guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
            "name": "api-tag",
            "enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
        }
    ],
    "source": "",
    "notes": [],
    "guid": "URL|http://esmne052.top/downfiles/lv.exe",
    "summaries": [
        {
            "reportId": "970da023-e974-4223-80be-4b83c85583d9",
            "updated": 1617900133000,
            "enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
            "source": {
                "key": "virustotal",
                "name": "VirusTotal"
            },
            "type": "URL",
            "value": "http://esmne052.top/downfiles/lv.exe",
            "score": {
                "name": "Positives/Total Scans",
                "value": "12/85"
            },
            "attributes": [
                {
                    "name": "Scan Date",
                    "value": 1617900133000
                },
                {
                    "name": "Websites with Positive Detections",
                    "value": [
                        "AegisLab WebGuard",
                        "AlienVault",
                        "CRDF",
                        "ESET",
                        "Emsisoft",
                        "Fortinet",
                        "G-Data",
                        "Kaspersky",
                        "Spamhaus",
                        "URLhaus",
                        "VX Vault",
                        "benkow.cc"
                    ]
                }
            ],
            "severityLevel": 1
        },
    ]
}
エンティティ拡充
拡充フィールド名 ロジック - 適用するタイミング
目撃情報 JSON で利用可能な場合
first_seen JSON で利用可能な場合
last_seen JSON で利用可能な場合
tags JSON で利用可能な場合
ソース JSON で利用可能な場合
security_level JSON で利用可能な場合
report_link JSON で利用可能な場合
ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
一部を拡充した場合(is_success = true): 「TruSTAR を使用して次のエンティティを拡充しました:\n".format(entity.identifier)

一部が拡充されなかった場合(is_success = true): 「アクションで TruSTAR を使用して次のエンティティを拡充できませんでした:\n".format(entity.identifier)

すべて拡充しなかった場合(is_success = false): 「拡充されたエンティティはありません」。

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他: 「"エンティティの拡充" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace)

エンクレーブのいずれかが見つからなかった場合: 「アクション「エンティティの拡充」の実行エラー。理由: 次のエンクレーブが見つかりませんでした: {0}。スペルを確認するか、「エンクレーブを一覧表示」アクションを使用して有効なエンクレーブを見つけてください。''.format(enclave names)

 全般
エンティティ テーブル エンリッチメント テーブルと同じ列ですが、プレフィックスはありません。 エンティティ

説明

指定されたエンティティに関連する IOC に関する情報を取得します。サポートされているエンティティ: すべて。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
返される IOC の最大数 Integer 50 いいえ 返される IOC の数を指定します。デフォルト: 50。 最大数は 1,000 です。
エンクレーブ フィルタ CSV いいえ 拡充時に使用するエンクレーブ名のカンマ区切りリストを指定します。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "{indicatorType_1}": ["{value_1}"],
    "{indicatorType_2}": ["{value_2}"]
}
Case Wall
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
少なくとも 1 つの IOC が見つかった場合(is_success = true): 「TruSTAR で、指定されたエンティティに関連する IOC が正常に返されました。」

IOC が見つからなかった場合(is_success=false)「TruSTAR で指定されたエンティティに関連する IOC が見つかりませんでした」。

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が間違っている、サーバーに接続できない、その他など、致命的なエラーが発生した場合:「アクション「関連する IOC を取得」の実行エラー。理由: {0}''.format(error.Stacktrace)

レスポンスが 200 以外の場合: 「アクション「関連する IOC を取得」の実行中にエラーが発生しました。理由: {0}」.format(message)

エンクレーブのいずれかが見つからなかった場合: 「"関連する IOC を取得" という操作の実行中にエラーが発生しました。理由: 次のエンクレーブが見つかりませんでした: {0}。スペルを確認するか、「エンクレーブを一覧表示」アクションを使用して有効なエンクレーブを見つけてください。''.format(enclave names)

 全般

ケースウォール テーブル

名前: 統計情報

列:

タイプ

カウント

 全般

説明

エンティティに関連するレポートに関する情報を取得します。サポートされるエンティティ: すべて。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
インサイトの作成 チェックボックス はい いいえ 有効にすると、アクションによってエンティティに関連するレポートに関する情報を含む分析情報が作成されます。
分析情報にレポートの本文を含める チェックボックス いいえ いいえ 有効にすると、分析情報にレポート本文に関する情報が含まれます。注: レポートの本文のサイズが非常に大きくなることがあります。
エンクレーブ フィルタ CSV いいえ 拡充時に使用するエンクレーブ名のカンマ区切りリストを指定します。
返されるレポートの最大数 Integer いいえ 返すレポートの数を指定します。デフォルト: 10。最大: 25。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
    "id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
    "created": 1615928416710,
    "updated": 1615928416710,
    "title": "35201",
    "distributionType": "ENCLAVE",
    "submissionStatus": "PROCESSED",
    "timeBegan": 1615928416187,
    "reportBody": "Event # 1\n   Source IP: 4.2.2.2\n   Destination IP: 10.250.250.25\n   Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
    "externalTrackingId": "qradar-offence-35201",
    "enclaveIds": [
        "28177710-9cb8-aa2f-29e8-135c14365e80"
    ],
    "tags": [
        {
            "guid": "sense offense",
            "name": "sense offense",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "host logout",
            "name": "host logout",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "service stopped",
            "name": "service stopped",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "object access success",
            "name": "object access success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "process creation success",
            "name": "process creation success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "information",
            "name": "information",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user privilege",
            "name": "user privilege",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user login failure",
            "name": "user login failure",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        }
    ]
}
エンティティの分析情報

関連レポートの分析情報の例を取得する

ケースウォール
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
1 つのレポートが見つかった場合(is_success = true): 「TruSTAR で、指定されたエンティティに関連するレポートが正常に返されました。」

レポートが見つからない場合(is_success=false)「TruSTAR で関連するレポートが見つかりませんでした」

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が間違っている、サーバーに接続できない、その他など、致命的なエラーが発生した場合:「アクション「関連レポートの取得」の実行エラー。理由: {0}」.format(error.Stacktrace)

レスポンスが 200 以外の場合: 「アクション「関連レポートの取得」の実行エラー。理由: {0}」.format(message)

エンクレーブのいずれかが見つからなかった場合: 「"関連レポートの取得"という操作の実行中にエラーが発生しました。理由: 次のエンクレーブが見つかりませんでした: {0}。スペルを確認するか、「エンクレーブを一覧表示」アクションを使用して有効なエンクレーブを見つけてください。''.format(enclave names)

 全般
ケースウォール

タイトル: 関連レポート

列:

タイトル

タグ

 全般

エンクレーブの一覧表示

説明

TruSTAR で使用可能なエンクレーブを一覧表示します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
フィルタ ロジック DDL

等しい

DDL

等しい

Contains

 いいえ 適用するフィルタ ロジックを指定します。
フィルタ値 文字列 いいえ フィルタで使用する値を指定します。
返される最大エンクレーブ数 Integer 50 いいえ 返すエンクレーブの数を指定します。デフォルト: 50。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
[
    {
        "name": "COVID-19 OSINT Community Enclave",
        "templateName": "COVID-19",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
        "type": "OPEN"
    },
    {
        "name": "Hybrid Analysis Public Feed",
        "templateName": "Open Source",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
        "type": "OPEN"
    }
]
Case Wall
結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
1 つのエンクレーブが見つかった場合(is_success = true): 「TruSTAR で利用可能なエンクレーブが正常に返されました。」

エンクレーブが見つからない場合(is_success=false):「TruSTAR に関連するエンクレーブが見つかりませんでした」

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が間違っている、サーバーに接続できない、その他など、致命的なエラーが発生した場合:「アクション「エンクレーブの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace)

 一般
ケースウォール

タイトル: 関連レポート

列:

名前

読み取り

作成

更新

ID

タイプ

 全般

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。