X-Force
Versión de integración: 14.0
Configurar X-Force para que funcione con Google Security Operations
Para obtener tu clave de API personal, inicia sesión en el sitio web IBM X-Force Exchange con un ID de IBM activo.
Ve a tu perfil de usuario, situado en la esquina superior derecha de la pantalla, y, a continuación, accede a la página Configuración para crear un nuevo par de contraseña y clave de API.
En la página Configuración, haz clic en Acceso a la API y, a continuación, en el botón Generar de la sección Generación de claves de API.
Configurar la integración de X-Force en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Obtener información de hash
Descripción
Consulta a X-Force para obtener información sobre el hash.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El valor del umbral puede ser bajo, medio o alto. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| se instale malware | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
Estadísticas
Si la puntuación de riesgo de la entidad supera el umbral, se añadirá la estadística para advertir que el hash está marcado como malware.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risk | Verdadero/Falso | is_risk:False |
Resultado de JSON
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
Obtener IP por categoría
Descripción
Obtener la propiedad intelectual por categoría.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Categoría | cadena | N/A | Categoría de la IP. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
Obtener información de IP
Descripción
Consulta X-Force para obtener información sobre IPs.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El umbral debe ser un número entero (por ejemplo, 3). |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si superan el umbral. En caso contrario, devuelve el valor "false".
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| subnets | Devuelve si existe en el resultado JSON. |
| reasonDescription | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| reason | Devuelve si existe en el resultado JSON. |
| puntuación | Devuelve si existe en el resultado JSON. |
| categoryDescriptions | Devuelve si existe en el resultado JSON. |
| gatos | Devuelve si existe en el resultado JSON. |
| geo | Devuelve si existe en el resultado JSON. |
| historial | Devuelve si existe en el resultado JSON. |
Estadísticas
Si la puntuación de riesgo supera el umbral, añade la información valiosa y márcala como sospechosa.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
Obtener malware de IP
Descripción
Consulta X-Force para obtener el malware asociado a una dirección IP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El umbral debe ser un número entero (por ejemplo, 3). |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si malware_count es mayor que 0.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| se instale malware | Devuelve si existe en el resultado JSON. |
Estadísticas
Añade una estadística de advertencia que indique que la entidad se ha asociado a malware y márcala como sospechosa si malware_count > 0.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_malware | Verdadero/Falso | is_malware:False |
Resultado de JSON
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
Obtener información de la URL
Descripción
Consulta a X-Force para obtener información sobre una URL.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El umbral debe ser un número entero(por ejemplo, 3). |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si superan el umbral. En caso contrario, devuelve el valor "false".
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| asociado | Devuelve si existe en el resultado JSON. |
| result | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
Estadísticas
Añade una estadística de advertencia y márcala como sospechosa si la puntuación de riesgo supera el umbral.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risk | Verdadero/Falso | is_risk:False |
Resultado de JSON
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Descripción
Prueba la conectividad con X-Force.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connected | Verdadero/Falso | is_connected:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.