TruSTAR
Versão da integração: 4.0
Exemplos de utilização
Realizar ações de enriquecimento.
Configure a integração do TruSTAR no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.trustar.co | Sim | Raiz da API TruSTAR |
| Chave de API | String | N/A | Sim | Chave da API TruSTAR |
| Segredo da API | Palavra-passe | Sim | Segredo da API TruSTAR | |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor TruSTAR é válido. |
Onde encontrar o token de API e o segredo da API
- Aceda a https://station.trustar.co/settings/api
- Copie o "ID de cliente" e o "Segredo do cliente" e coloque-os na configuração da integração
- Execute a execução de teste.
Ações
Tchim-tchim
Descrição
Teste a conetividade ao TruSTAR com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: A ação deve falhar e parar a execução de um playbook: |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações da TruSTAR. Entidades suportadas: todas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite do nível de segurança | LDD | Baixo Valores predefinidos: Benigno Baixo Médio Alto |
Sim | Especifique qual deve ser o nível de segurança mais baixo para que a entidade seja marcada como suspeita. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| avistamentos | Quando estiver disponível em JSON |
| first_seen | Quando estiver disponível em JSON |
| last_seen | Quando estiver disponível em JSON |
| etiquetas | Quando estiver disponível em JSON |
| fonte | Quando estiver disponível em JSON |
| security_level | Quando estiver disponível em JSON |
| report_link | Quando estiver disponível em JSON |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier) Se não tiver enriquecido tudo (is_success = false): "No entities were enriched" (Nenhuma entidade foi enriquecida). A ação deve falhar e parar a execução de um playbook: Se não tiver sido encontrado um dos enclaves: "Erro ao executar a ação "Enriquecer entidades". Motivo: não foram encontradas as seguintes áreas restritas: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos.''.format(enclave names) |
Geral |
| Tabela de entidades | As mesmas colunas que na tabela de enriquecimento, mas sem prefixo. | Entidade |
Obtenha IOCs relacionados
Descrição
Obtenha informações sobre IOCs relacionados com as entidades fornecidas. Entidades suportadas: todas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Máximo de IOCs a devolver | Número inteiro | 50 | Não | Especifique o número de IOCs a devolver. Predefinição: 50. Máximo: 1000. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos: Se não foram encontrados IOCs(is_success=false) "Não foram encontrados IOCs relacionados para as entidades fornecidas no TruSTAR". A ação deve falhar e parar a execução de um manual de procedimentos: Se a resposta não for 200: "Erro ao executar a ação "Get Related IOCs". Motivo: {0}''.format(message) Se não tiver sido encontrado um dos enclaves: "Erro ao executar a ação "Obter IOCs relacionados". Motivo: não foram encontradas as seguintes áreas restritas: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos.''.format(enclave names) |
Geral |
Case Wall Table |
Nome: Estatísticas Colunas: Tipo Contagem |
Geral |
Obtenha relatórios relacionados
Descrição
Obtenha informações sobre relatórios relacionados com as entidades. Entidades suportadas: todas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Sim | Não | Se estiver ativada, a ação cria uma estatística com informações sobre relatórios relacionados com as entidades. |
| Include Report Body In Insight | Caixa de verificação | Não | Não | Se estiver ativada, a estatística vai conter informações sobre o corpo do relatório. Nota: o corpo do relatório pode ter um tamanho muito grande. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. | |
| Máximo de relatórios a devolver | Número inteiro | Não | Especifique o número de relatórios a devolver. Predefinição: 10. Máximo: 25. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Estatísticas de entidades
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: Se não forem encontrados relatórios (is_success=false) "No related reports were found in TruSTAR" A ação deve falhar e parar a execução de uma estratégia: Se não houver resposta 200: "Erro ao executar a ação "Get Related Reports". Motivo: {0}''.format(message) Se não tiver sido encontrado um dos enclaves: "Erro ao executar a ação "Get Related Reports". Motivo: não foram encontradas as seguintes áreas restritas: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos.''.format(enclave names) |
Geral |
| Case Wall | Title: Relatórios relacionados Colunas: Título Etiquetas |
Geral |
Listar enclaves
Descrição
Liste os enclaves disponíveis no TruSTAR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Lógica de filtragem | LDD | Igual LDD Igual Contém |
Não | Especifique a lógica de filtro que deve ser aplicada. |
| Valor do filtro | String | Não | Especifique o valor que deve ser usado no filtro. | |
| Máximo de enclaves a devolver | Número inteiro | 50 | Não | Especifique o número de enclaves a devolver. Predefinição: 50. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guião: Se não forem encontrados enclaves (is_success=false): "No related enclaves were found in TruSTAR" A ação deve falhar e parar a execução de um playbook: |
Geral |
| Case Wall | Title: Relatórios relacionados Colunas: Nome Leitura Criar Atualizar ID Tipo |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.