TruSTAR
통합 버전: 4.0
사용 사례
보강 작업을 수행합니다.
Google Security Operations에서 TruSTAR 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://api.trustar.co | 예 | TruSTAR API 루트 |
| API 키 | 문자열 | 해당 사항 없음 | 예 | TruSTAR API 키 |
| API 비밀번호 | 비밀번호 | 예 | TruSTAR API 보안 비밀 | |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 TruSTAR 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
API 토큰 및 API 보안 비밀을 찾을 수 있는 위치
- https://station.trustar.co/settings/api로 이동합니다.
- '클라이언트 ID'와 '클라이언트 보안 비밀번호'를 복사하여 통합 구성에 넣습니다.
- 테스트 실행을 실행합니다.
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 TruSTAR에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 작업이 실패하고 플레이북 실행이 중지되어야 합니다. |
일반 |
항목 보강
설명
TruSTAR의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 모두
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 보안 수준 기준 | DDL | 낮음 기본값: 양성 낮음 중간 높음 |
예 | 엔티티가 의심스러운 것으로 표시되기 위한 최저 보안 수준을 지정합니다. |
| 엔클레이브 필터 | CSV | 아니요 | 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 목격 | JSON으로 제공되는 경우 |
| first_seen | JSON으로 제공되는 경우 |
| last_seen | JSON으로 제공되는 경우 |
| tags | JSON으로 제공되는 경우 |
| source | JSON으로 제공되는 경우 |
| security_level | JSON으로 제공되는 경우 |
| report_link | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 일부 항목을 보강하지 않은 경우 (is_success = true): '작업이 TruSTAR를 사용하여 다음 항목을 보강할 수 없었습니다.\n'.format(entity.identifier) 모두 보강하지 않은 경우(is_success = false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 하나 이상의 인클레이브를 찾을 수 없는 경우: ''항목 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names) |
일반 |
| 항목 테이블 | 보강 테이블과 동일하지만 프리픽스가 없는 열입니다. | 항목 |
관련 IOC 가져오기
설명
제공된 항목과 관련된 IOC에 대한 정보를 가져옵니다. 지원되는 항목: 모두
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 최대 IOC 수 | 정수 | 50 | 아니요 | 반환할 IOC 수를 지정합니다. 기본값: 50 최대: 1,000 |
| 엔클레이브 필터 | CSV | 아니요 | 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. IOC를 찾을 수 없는 경우(is_success=false) 'TruSTAR에서 제공된 항목과 관련된 IOC를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 응답이 200이 아닌 경우: ''관련 IOC 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) 엔클레이브 중 하나를 찾을 수 없는 경우: "Error executing action "Get Related IOCs". 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names) |
일반 |
케이스 월 테이블 |
이름: 통계 열: 유형 개수 |
일반 |
관련 보고서 가져오기
설명
항목과 관련된 신고에 관한 정보를 가져옵니다. 지원되는 항목: 모두
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 만들기 | 체크박스 | 예 | 아니요 | 사용 설정하면 작업에서 항목과 관련된 신고에 대한 정보가 포함된 통계를 만듭니다. |
| 통계에 신고 본문 포함 | 체크박스 | 아니요 | 아니요 | 사용 설정하면 통계에 보고서 본문에 관한 정보가 포함됩니다. 참고: 보고서 본문의 크기가 매우 클 수 있습니다. |
| 엔클레이브 필터 | CSV | 아니요 | 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다. | |
| 반환할 최대 보고서 수 | 정수 | 아니요 | 반환할 보고서 수를 지정합니다. 기본값은 10입니다. 최대: 25 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
항목 통계
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 보고서를 찾을 수 없는 경우 (is_success=false) 'TruSTAR에서 관련 보고서를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 200 응답이 아닌 경우: ''관련 보고서 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) 엔클레이브 중 하나를 찾을 수 없는 경우: "Error executing action "Get Related Reports". 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names) |
일반 |
| 케이스 월 | 제목: 관련 보고서 열: 제목 태그 |
일반 |
엔클레이브 나열
설명
TruSTAR에서 사용 가능한 엔클레이브를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 필터 로직 | DDL | 같음 DDL 같음 포함 |
아니요 | 적용할 필터 로직을 지정합니다. |
| 필터 값 | 문자열 | 아니요 | 필터에 사용할 값을 지정합니다. | |
| 반환할 최대 엔클레이브 수 | 정수 | 50 | 아니요 | 반환할 엔클레이브 수를 지정합니다. 기본값: 50 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 엔클레이브가 없는 경우 (is_success=false): 'TruSTAR에서 관련 엔클레이브를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 케이스 월 | 제목: 관련 보고서 열: 이름 읽기 만들기 업데이트 ID 유형 |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.