TruSTAR
Versão da integração: 4.0
Casos de uso
Realizar ações de enriquecimento.
Configurar a integração do TruSTAR no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.trustar.co | Sim | Raiz da API TruSTAR |
| Chave de API | String | N/A | Sim | Chave de API do TruSTAR |
| Chave secreta da API | Senha | Sim | Chave secreta da API TruSTAR | |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor TruSTAR é válido. |
Onde encontrar o token e a chave secreta da API
- Acesse https://station.trustar.co/settings/api
- Copie "ID do cliente" e "Chave secreta do cliente" e coloque-os na configuração da integração.
- Execute o teste.
Ações
Ping
Descrição
Teste a conectividade com o TruSTAR usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação deve falhar e interromper a execução de um playbook: |
Geral |
Enriquecer entidades
Descrição
Aprimorar entidades usando informações do TruSTAR. Entidades compatíveis: todas.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite do nível de segurança | DDL | Baixo Valores padrão: Benigno Baixo Médio Alta |
Sim | Especifique qual deve ser o nível de segurança mais baixo para que a entidade seja marcada como suspeita. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| avistamentos | Quando disponível em JSON |
| first_seen | Quando disponível em JSON |
| last_seen | Quando disponível em JSON |
| tags | Quando disponível em JSON |
| source | Quando disponível em JSON |
| security_level | Quando disponível em JSON |
| report_link | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não enriquecer algumas (is_success = true): "Não foi possível enriquecer as seguintes entidades usando o TruSTAR:\n".format(entity.identifier) Se não enriquecer tudo (is_success = false): "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um dos enclaves não for encontrado: "Erro ao executar a ação "Enriquecer entidades". Motivo: os seguintes enclaves não foram encontrados: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos."''.format(enclave names) |
Geral |
| Tabela de entidades | As mesmas colunas da tabela de enriquecimento, mas sem prefixo. | Entidade |
Receber IOCs relacionados
Descrição
Receba informações sobre IOCs relacionados às entidades fornecidas. Entidades compatíveis: todas.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de IOCs a serem retornados | Número inteiro | 50 | Não | Especifique quantos IOCs retornar. Padrão: 50. Máximo: 1.000. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se nenhum IOC for encontrado(is_success=false): "Nenhum IOC relacionado foi encontrado para as entidades fornecidas no TruSTAR". A ação precisa falhar e interromper a execução de um playbook: Se a resposta não for 200: "Erro ao executar a ação "Receber IOCs relacionados". Motivo: {0}''.format(message) Se um dos enclaves não for encontrado: "Erro ao executar a ação "Receber IOCs relacionados". Motivo: os seguintes enclaves não foram encontrados: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos."''.format(enclave names) |
Geral |
Tabela do painel de casos |
Nome: Estatísticas Colunas: Tipo Contagem |
Geral |
Acessar relatórios relacionados
Descrição
Receba informações sobre relatórios relacionados às entidades. Entidades compatíveis: todas.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Sim | Não | Se ativada, a ação vai criar um insight com informações sobre relatórios relacionados às entidades. |
| Incluir o corpo do relatório no insight | Caixa de seleção | Não | Não | Se ativado, o insight vai conter informações sobre o corpo do relatório. Observação: o corpo do relatório pode ser muito grande. |
| Filtro de enclave | CSV | Não | Especifique uma lista separada por vírgulas de nomes de enclaves que devem ser usados durante o enriquecimento. | |
| Número máximo de relatórios a serem retornados | Número inteiro | Não | Especifique quantos relatórios retornar. Padrão: 10. Máximo: 25. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
Insight de entidade
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se nenhum relatório for encontrado (is_success=false) "Nenhum relatório relacionado foi encontrado no TruSTAR" A ação precisa falhar e interromper a execução de um playbook: Se nenhuma resposta 200: "Erro ao executar a ação "Receber relatórios relacionados". Motivo: {0}''.format(message) Se um dos enclaves não for encontrado: "Erro ao executar a ação "Receber relatórios relacionados". Motivo: os seguintes enclaves não foram encontrados: {0}. Verifique a ortografia ou use a ação "List Enclaves" para encontrar os enclaves válidos."''.format(enclave names) |
Geral |
| Painel de casos | Título:Relatórios relacionados Colunas: Título Tags |
Geral |
Listar enclaves
Descrição
Lista os enclaves disponíveis no TruSTAR.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Lógica de filtro | DDL | Igual DDL Igual Contém |
Não | Especifique qual lógica de filtro deve ser aplicada. |
| Valor do filtro | String | Não | Especifique o valor que será usado no filtro. | |
| Max Enclaves To Return | Número inteiro | 50 | Não | Especifique quantos enclaves serão retornados. Padrão: 50. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se nenhum enclave for encontrado (is_success=false): "Nenhum enclave relacionado foi encontrado no TruSTAR" A ação precisa falhar e interromper a execução de um playbook: |
Geral |
| Painel de casos | Título:Relatórios relacionados Colunas: Nome Ler Criar Atualizar ID Tipo |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.