X-Force
Integrationsversion: 14.0
X-Force für die Verwendung mit Google Security Operations konfigurieren
Um Ihren persönlichen API-Schlüssel zu erhalten, melden Sie sich bitte mit einer aktiven IBM ID auf der IBM X-Force Exchange-Website an.
Sehen Sie sich Ihr Nutzerprofil oben rechts auf dem Bildschirm an und rufen Sie dann unten die Seite Einstellungen auf, um ein neues API-Schlüssel-/Passwortpaar zu erstellen.
Klicken Sie auf der Seite „Einstellungen“ auf API-Zugriff und dann im Bereich „API-Schlüssel generieren“ auf die Schaltfläche Generieren.
X-Force-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Hash-Informationen abrufen
Beschreibung
Hash-Informationen von X-Force abfragen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | – | Der Wert des Grenzwerts kann „niedrig“, „mittel“ oder „hoch“ sein. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Malware | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Wenn der Risikowert der Entität den Schwellenwert überschreitet, wird der Insight hinzugefügt, um darauf hinzuweisen, dass der Hash als Malware gekennzeichnet ist.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risk | Wahr/falsch | is_risk:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
IP nach Kategorie abrufen
Beschreibung
IP nach Kategorie abrufen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Kategorie | String | – | Kategorie für geistiges Eigentum. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
IP-Informationen abrufen
Beschreibung
X-Force nach IP-Informationen abfragen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | – | Der Schwellenwert muss eine Ganzzahl sein (z. B. 3). |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als verdächtig markiert, wenn sie den Grenzwert überschreiten. Andernfalls: „false“.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| subnets | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| reasonDescription | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| reason | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Punktzahl | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| categoryDescriptions | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cats | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| geo | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Verlauf | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Wenn der Risikowert den Schwellenwert überschreitet, fügen Sie den Insight hinzu und markieren Sie ihn als verdächtig.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risky | Wahr/falsch | is_risky:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
IP-Malware
Beschreibung
Fragen Sie X-Force nach der Malware ab, die mit einer IP-Adresse verknüpft ist.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | – | Der Schwellenwert muss eine Ganzzahl sein (z. B. 3). |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als verdächtig markiert, wenn „malware_count“ größer als 0 ist.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Malware | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Fügen Sie einen Warnhinweis hinzu, dass die Einheit mit Malware in Verbindung gebracht wurde, und kennzeichnen Sie sie als verdächtig, wenn „malware_count“ > 0 ist.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_malware | Wahr/falsch | is_malware:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
URL-Informationen abrufen
Beschreibung
X-Force nach URL-Informationen abfragen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | – | Der Schwellenwert muss eine Ganzzahl sein(z. B. 3). |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als verdächtig markiert, wenn sie den Grenzwert überschreiten. Andernfalls: „false“.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| zugeordnet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Ergebnis | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Fügen Sie eine Warnung hinzu und markieren Sie sie als verdächtig, wenn der Risikoscore den Grenzwert überschreitet.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_risk | Wahr/falsch | is_risk:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Beschreibung
Konnektivität zu X-Force testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_connected | Wahr/falsch | is_connected:False |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten