TruSTAR
整合版本:4.0
應用實例
執行擴充動作。
在 Google Security Operations 中設定 TruSTAR 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://api.trustar.co | 是 | TruSTAR API 根層級 |
| API 金鑰 | 字串 | 不適用 | 是 | TruSTAR API 金鑰 |
| API 密鑰 | 密碼 | 是 | TruSTAR API 密鑰 | |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連至 TruSTAR 伺服器的連線是否具有有效的 SSL 憑證。 |
如何尋找 API 權杖和 API 密鑰
- 前往 https://station.trustar.co/settings/api
- 複製「用戶端 ID」和「用戶端密鑰」,並放入整合設定中
- 執行測試。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 TruSTAR 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 動作應會失敗並停止執行應對手冊: |
一般 |
充實實體
說明
使用 TruSTAR 的資訊擴充實體。支援的實體:所有實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 安全等級門檻 | DDL | 低 預設值: 良性 低 中 高 |
是 | 指定實體的最低安全等級,以標示為可疑。 |
| Enclave 篩選器 | CSV | 否 | 指定要用於擴充的 Enclave 名稱清單 (以半形逗號分隔)。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"indicatorType": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"correlationCount": 0,
"priorityLevel": "NOT_FOUND",
"noteCount": 0,
"sightings": 3,
"firstSeen": 1617901588427,
"lastSeen": 1617923344643,
"enclaveIds": [
"b850e851-27e3-4cc2-9269-69ac0aad63b1",
"85313bc9-deb4-4022-ac03-923adcee9298",
"cf777992-5dde-4d08-aef2-5e7c13951f54"
],
"tags": [
{
"guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
"name": "api-tag",
"enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
}
],
"source": "",
"notes": [],
"guid": "URL|http://esmne052.top/downfiles/lv.exe",
"summaries": [
{
"reportId": "970da023-e974-4223-80be-4b83c85583d9",
"updated": 1617900133000,
"enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
"source": {
"key": "virustotal",
"name": "VirusTotal"
},
"type": "URL",
"value": "http://esmne052.top/downfiles/lv.exe",
"score": {
"name": "Positives/Total Scans",
"value": "12/85"
},
"attributes": [
{
"name": "Scan Date",
"value": 1617900133000
},
{
"name": "Websites with Positive Detections",
"value": [
"AegisLab WebGuard",
"AlienVault",
"CRDF",
"ESET",
"Emsisoft",
"Fortinet",
"G-Data",
"Kaspersky",
"Spamhaus",
"URLhaus",
"VX Vault",
"benkow.cc"
]
}
],
"severityLevel": 1
},
]
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 目擊事件 | 以 JSON 格式提供時 |
| first_seen | 以 JSON 格式提供時 |
| last_seen | 以 JSON 格式提供時 |
| 標記 | 以 JSON 格式提供時 |
| 來源 | 以 JSON 格式提供時 |
| security_level | 以 JSON 格式提供時 |
| report_link | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果未擴充部分項目 (is_success = true):「Action wasn't able to enrich the following entities using TruSTAR:\n".format(entity.identifier) 如果並非所有實體都已擴充 (is_success = false):「沒有任何實體已擴充」。 動作應會失敗並停止執行劇本: 如果找不到其中一個安全區:「Error executing action "Enrich Entities". 原因:找不到下列安全區:{0}。請檢查拼字,或使用「List Enclaves」動作尋找有效安全區。''.format(enclave names) |
一般 |
| 實體資料表 | 與擴充資料表中的資料欄相同,但不含前置字串。 | 實體 |
取得相關 IOC
說明
取得與所提供實體相關的 IOC 資訊。支援的實體:全部。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的 IOC 數量上限 | 整數 | 50 | 否 | 指定要傳回的 IOC 數量。預設值為 50。上限為 1000。 |
| Enclave 篩選器 | CSV | 否 | 指定要用於擴充的 Enclave 名稱清單 (以半形逗號分隔)。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"{indicatorType_1}": ["{value_1}"],
"{indicatorType_2}": ["{value_2}"]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果沒有找到任何 IOC(is_success=false),則會顯示「No related IOCs were found for the provided entities in TruSTAR」。 動作應會失敗並停止執行劇本: 如果回應不是 200:「執行動作『取得相關 IOC』時發生錯誤。原因:{0}''.format(message) 如果找不到其中一個安全區:「Error executing action "Get Related IOCs". 原因:找不到下列安全區:{0}。請檢查拼字,或使用「List Enclaves」動作尋找有效安全區。''.format(enclave names) |
一般 |
案件牆表格 |
名稱:統計資料 欄: 類型 數量 |
一般 |
取得相關報表
說明
取得與實體相關的報表資訊。支援的實體:所有實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 是 | 否 | 如果啟用,動作會建立洞察資料,內含與實體相關的報表資訊。 |
| 在洞察資料中加入報表內文 | 核取方塊 | 否 | 否 | 如果啟用,洞察資料會包含報表主體的相關資訊。注意:報表主體可能非常大。 |
| Enclave 篩選器 | CSV | 否 | 指定要用於擴充的 Enclave 名稱清單 (以半形逗號分隔)。 | |
| 要傳回的報表數量上限 | 整數 | 否 | 指定要傳回的報表數量。預設值為 10。最多 25 個。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
"created": 1615928416710,
"updated": 1615928416710,
"title": "35201",
"distributionType": "ENCLAVE",
"submissionStatus": "PROCESSED",
"timeBegan": 1615928416187,
"reportBody": "Event # 1\n Source IP: 4.2.2.2\n Destination IP: 10.250.250.25\n Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
"externalTrackingId": "qradar-offence-35201",
"enclaveIds": [
"28177710-9cb8-aa2f-29e8-135c14365e80"
],
"tags": [
{
"guid": "sense offense",
"name": "sense offense",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "host logout",
"name": "host logout",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "service stopped",
"name": "service stopped",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "object access success",
"name": "object access success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "process creation success",
"name": "process creation success",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "information",
"name": "information",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user privilege",
"name": "user privilege",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
},
{
"guid": "user login failure",
"name": "user login failure",
"enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
}
]
}
實體洞察
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果找不到任何報告 (is_success=false)「No related reports were found in TruSTAR」(在 TruSTAR 中找不到相關報告) 動作應會失敗並停止執行劇本: 如果沒有 200 回應:「執行動作『取得相關報表』時發生錯誤。原因:{0}''.format(message) 如果找不到其中一個安全區:「Error executing action "Get Related Reports". 原因:找不到下列安全區:{0}。請檢查拼字,或使用「List Enclaves」動作尋找有效安全區。''.format(enclave names) |
一般 |
| 案件總覽 | 標題:相關報告 欄: 標題 標記 |
一般 |
列出 Enclave
說明
列出 TruSTAR 中可用的安全區。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 篩選邏輯 | DDL | 等於 DDL 等於 包含 |
否 | 指定要套用哪些篩選器邏輯。 |
| 篩選條件值 | 字串 | 否 | 指定篩選器中應使用的值。 | |
| 要傳回的封閉區數量上限 | 整數 | 50 | 否 | 指定要傳回的封閉區數量。預設值為 50。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
[
{
"name": "COVID-19 OSINT Community Enclave",
"templateName": "COVID-19",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
"type": "OPEN"
},
{
"name": "Hybrid Analysis Public Feed",
"templateName": "Open Source",
"workflowSupported": false,
"read": true,
"create": false,
"update": false,
"id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
"type": "OPEN"
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果找不到任何安全區 (is_success=false):「No related enclaves were found in TruSTAR」(在 TruSTAR 中找不到相關安全區) 動作應會失敗並停止執行劇本: |
一般 |
| 案件總覽 | 標題:相關報告 欄: 名稱 讀取 建立 更新 ID 類型 |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。