X-Force
Version de l'intégration : 14.0
Configurer X-Force pour qu'il fonctionne avec Google Security Operations
Pour obtenir votre clé API personnelle, veuillez vous connecter au site Web IBM X-Force Exchange avec un ID IBM actif.
Affichez votre profil utilisateur en haut à droite de l'écran, puis accédez à la page Paramètres ci-dessous pour créer une paire clé/mot de passe API.
Sur la page "Paramètres", cliquez sur Accès à l'API, puis sur le bouton Générer dans la section "Génération de clé API".
Configurer l'intégration X-Force dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Obtenir des informations sur le hachage
Description
Interrogez X-Force pour obtenir des informations sur le hachage.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | chaîne | N/A | La valeur du seuil peut être "faible", "moyenne" ou "élevée". |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| attaque de logiciels malveillants | Renvoie la valeur si elle existe dans le résultat JSON. |
| tags | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Si le score de risque de l'entité dépasse le seuil, l'insight est ajouté pour avertir que le hachage est marqué comme logiciel malveillant.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_risk | Vrai/Faux | is_risk:False |
Résultat JSON
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
Obtenir des adresses IP par catégorie
Description
Obtenez des adresses IP par catégorie.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Catégorie | chaîne | N/A | Catégorie de l'adresse IP. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
Obtenir des informations sur l'adresse IP
Description
Interrogez X-Force pour obtenir des informations sur les adresses IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | chaîne | N/A | Le seuil doit être un nombre entier (par exemple, 3). |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes si elles dépassent le seuil. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| subnets | Renvoie la valeur si elle existe dans le résultat JSON. |
| reasonDescription | Renvoie la valeur si elle existe dans le résultat JSON. |
| tags | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip | Renvoie la valeur si elle existe dans le résultat JSON. |
| reason | Renvoie la valeur si elle existe dans le résultat JSON. |
| score | Renvoie la valeur si elle existe dans le résultat JSON. |
| categoryDescriptions | Renvoie la valeur si elle existe dans le résultat JSON. |
| cats | Renvoie la valeur si elle existe dans le résultat JSON. |
| geo | Renvoie la valeur si elle existe dans le résultat JSON. |
| historique | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Si le score de risque dépasse le seuil, ajoutez un insight et marquez-le comme suspect.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_risky | Vrai/Faux | is_risky:False |
Résultat JSON
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
Obtenir un logiciel malveillant d'adresse IP
Description
Interrogez X-Force pour connaître le logiciel malveillant associé à une adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | chaîne | N/A | Le seuil doit être un nombre entier (par exemple, 3). |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes si malware_count est supérieur à 0.
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| attaque de logiciels malveillants | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Ajoutez un insight d'avertissement indiquant que l'entité était associée à un logiciel malveillant et marquez-la comme suspecte si malware_count > 0.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_malware | Vrai/Faux | is_malware:False |
Résultat JSON
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
Obtenir des informations sur l'URL
Description
Interrogez X-Force pour obtenir des informations sur l'URL.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | chaîne | N/A | Le seuil doit être un nombre entier(par exemple, 3). |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes si elles dépassent le seuil. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| à chacun des jetons | Renvoie la valeur si elle existe dans le résultat JSON. |
| résultat | Renvoie la valeur si elle existe dans le résultat JSON. |
| tags | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Ajoutez un insight d'avertissement et marquez-le comme suspect si le score de risque dépasse le seuil.
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_risk | Vrai/Faux | is_risk:False |
Résultat JSON
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
Description
Testez la connectivité à X-Force.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_connected | Vrai/Faux | is_connected:False |
Résultat JSON
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.