X-Force
Versión de integración: 14.0
Configura X-Force para que funcione con Google Security Operations
Para obtener tu clave de API personal, accede al sitio web de IBM X-Force Exchange con un ID de IBM activo.
Consulta tu perfil de usuario en la esquina superior derecha de la pantalla y, luego, ve a la página Configuración que se encuentra más abajo para crear un nuevo par de contraseña y clave de API.
En la página Configuración, haz clic en Acceso a la API y, luego, en el botón Generar en la sección Generación de claves de API.
Configura la integración de X-Force en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Obtener información del hash
Descripción
Consultar X-Force para obtener información sobre el hash
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El valor del umbral puede ser bajo, medio o alto. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| malware | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
Estadísticas
Si la puntuación de riesgo de la entidad supera el umbral, se agregará la estadística para advertir que el hash está marcado como software malicioso.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risk | Verdadero/Falso | is_risk:False |
Resultado de JSON
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
Obtener la IP por categoría
Descripción
Obtén la IP por categoría.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Categoría | cadena | N/A | Es la categoría de la IP. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
Obtener información de IP
Descripción
Consultar X-Force para obtener información sobre la IP
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El límite debe ser un número entero (por ejemplo, 3). |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| subnets | Devuelve si existe en el resultado JSON. |
| reasonDescription | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| Reason | Devuelve si existe en el resultado JSON. |
| puntuación | Devuelve si existe en el resultado JSON. |
| categoryDescriptions | Devuelve si existe en el resultado JSON. |
| cats | Devuelve si existe en el resultado JSON. |
| geo | Devuelve si existe en el resultado JSON. |
| historial | Devuelve si existe en el resultado JSON. |
Estadísticas
Si la puntuación de riesgo supera el umbral, agrega la sugerencia y márcala como sospechosa.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risky | Verdadero/Falso | is_risky:False |
Resultado de JSON
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
Obtén la IP de software malicioso
Descripción
Consulta X-Force para obtener información sobre el software malicioso asociado a una dirección IP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El límite debe ser un número entero (por ejemplo, 3). |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si malware_count es mayor que 0.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| malware | Devuelve si existe en el resultado JSON. |
Estadísticas
Agrega una estadística de advertencia que indique que la entidad se asoció con software malicioso y márcala como sospechosa si malware_count > 0.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_malware | Verdadero/Falso | is_malware:False |
Resultado de JSON
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
Obtener información de la URL
Descripción
Consultar X-Force para obtener información de la URL
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | cadena | N/A | El límite debe ser un número entero(por ejemplo, 3). |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| asociadas | Devuelve si existe en el resultado JSON. |
| Resultado | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
Estadísticas
Agrega una estadística de advertencia y márcala como sospechosa si la puntuación de riesgo supera el umbral.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_risk | Verdadero/Falso | is_risk:False |
Resultado de JSON
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Descripción
Prueba la conectividad con X-Force.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connected | Verdadero/Falso | is_connected:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.