TruSTAR
集成版本:4.0
使用场景
执行丰富化操作。
在 Google Security Operations 中配置 TruSTAR 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://api.trustar.co | 是 | TruSTAR API 根网址 |
| API 密钥 | 字符串 | 不适用 | 是 | TruSTAR API 密钥 |
| API 密钥 | 密码 | 是 | TruSTAR API 密钥 | |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 TruSTAR 服务器的连接所用的 SSL 证书是否有效。 |
在哪里查找 API 令牌和 API Secret
- 前往 https://station.trustar.co/settings/api
- 复制“客户端 ID”和“客户端密钥”,并将其放入集成配置中
- 执行测试运行。
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数测试与 TruSTAR 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
丰富实体
说明
使用 TruSTAR 中的信息丰富实体。支持的实体:所有实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 安全等级阈值 | DDL | 低 默认值: 良性 低 中 高 |
是 | 指定实体被标记为可疑的最低安全级别。 |
| Enclave 过滤条件 | CSV | 否 | 指定在丰富化期间应使用的 enclave 名称的英文逗号分隔列表。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 目击 | 以 JSON 格式提供时 |
| first_seen | 以 JSON 格式提供时 |
| last_seen | 以 JSON 格式提供时 |
| 标签 | 以 JSON 格式提供时 |
| 来源 | 以 JSON 格式提供时 |
| security_level | 以 JSON 格式提供时 |
| report_link | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果未扩充某些实体(is_success = true):"操作无法使用 TruSTAR 扩充以下实体:\n".format(entity.identifier) 如果未丰富所有实体(is_success = false):“未丰富任何实体”。 操作应失败并停止 playbook 执行: 如果未找到某个飞地:“执行操作‘丰富实体’时出错。原因:未找到以下 enclave:{0}。请检查拼写,或使用“列出安全区”操作查找有效的安全区。''.format(enclave names) |
常规 |
| 实体表 | 与富集表中的列相同,但没有前缀。 | 实体 |
获取相关 IOC
说明
获取与所提供实体相关的 IOC 的信息。支持的实体:全部。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要返回的 IOC 数量上限 | 整数 | 50 | 否 | 指定要返回的 IOC 数量。默认值:50。最大值:1000。 |
| Enclave 过滤条件 | CSV | 否 | 指定在丰富化期间应使用的 enclave 名称的英文逗号分隔列表。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 如果未找到任何 IOC(is_success=false)“No related IOCs were found for the provided entities in TruSTAR”(在 TruSTAR 中未找到所提供实体的相关 IOC)。 操作应失败并停止 playbook 执行: 如果响应不是 200:“执行操作‘获取相关 IOC’时出错。原因:{0}''.format(message) 如果未找到某个飞地:“执行操作‘获取相关 IOC’时出错。原因:未找到以下 enclave:{0}。请检查拼写,或使用“列出安全区”操作查找有效的安全区。''.format(enclave names) |
常规 |
案例墙表格 |
名称:统计信息 列: 类型 数量 |
常规 |
获取相关报告
说明
获取与实体相关的报告的信息。支持的实体:所有实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 是 | 否 | 如果启用,操作将创建包含与实体相关的报告信息的分析洞见。 |
| 在数据分析中包含报告正文 | 复选框 | 否 | 否 | 如果启用,数据洞见将包含有关报告正文的信息。注意:报告正文的大小可能非常大。 |
| Enclave 过滤条件 | CSV | 否 | 指定在丰富化期间应使用的 enclave 名称的英文逗号分隔列表。 | |
| 要返回的报告数量上限 | 整数 | 否 | 指定要返回的报告数量。默认值:10。上限:25。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
实体分析洞见
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 如果未找到任何报告 (is_success=false),“未在 TruSTAR 中找到相关报告” 操作应失败并停止 playbook 执行: 如果未收到 200 响应:“执行操作‘获取相关报告’时出错。原因:{0}''.format(message) 如果未找到任何飞地:“执行操作‘获取相关报告’时出错。原因:未找到以下 enclave:{0}。请检查拼写,或使用“列出安全区”操作查找有效的安全区。''.format(enclave names) |
常规 |
| 案例墙 | Title:相关报告 列: 标题 代码 |
常规 |
列出飞地
说明
列出 TruSTAR 中的可用飞地。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 过滤逻辑 | DDL | 等于 DDL 等于 包含 |
否 | 指定应应用哪些过滤条件逻辑。 |
| 过滤条件值 | 字符串 | 否 | 指定应在过滤条件中使用什么值。 | |
| 要返回的隔离区数量上限 | 整数 | 50 | 否 | 指定要返回多少个飞地。默认值:50。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 如果未找到任何 enclave (is_success=false):“No related enclaves were found in TruSTAR”(未在 TruSTAR 中找到任何相关 enclave) 操作应失败并停止 playbook 执行: |
常规 |
| 案例墙 | Title:相关报告 列: 姓名 也别忘了阅读 创建 更新 ID 类型 |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。