X-Force
Versione integrazione: 14.0
Configura X-Force in modo che funzioni con Google Security Operations
Per ottenere la tua chiave API personale, accedi al sito web IBM X-Force Exchange con un ID IBM attivo.
Visualizza il tuo profilo utente nell'angolo in alto a destra dello schermo, quindi vai alla pagina Impostazioni in basso per creare una nuova coppia di chiave API/password.
Nella pagina Impostazioni, fai clic su Accesso API, poi sul pulsante Genera nella sezione Generazione chiave API.
Configura l'integrazione di X-Force in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Get Hash Info
Descrizione
Esegui query su X-Force per informazioni sull'hash.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | string | N/D | Il valore della soglia può essere basso, medio o alto. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| malware | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
Approfondimenti
Se il punteggio di rischio dell'entità supera la soglia, l'approfondimento verrà aggiunto per avvisare che l'hash è contrassegnato come malware.
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_risk | Vero/Falso | is_risk:False |
Risultato JSON
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
Ottenere la proprietà intellettuale per categoria
Descrizione
Ottenere la proprietà intellettuale per categoria.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Categoria | string | N/D | Categoria per l'IP. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
Ottieni informazioni sull'IP
Descrizione
Interroga X-Force per informazioni sull'IP.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | string | N/D | La soglia deve essere un numero intero (ad esempio, 3). |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette se superano la soglia. Altrimenti: False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| subnets | Restituisce se esiste nel risultato JSON |
| reasonDescription | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| ip | Restituisce se esiste nel risultato JSON |
| motivo | Restituisce se esiste nel risultato JSON |
| punteggio | Restituisce se esiste nel risultato JSON |
| categoryDescriptions | Restituisce se esiste nel risultato JSON |
| gatti | Restituisce se esiste nel risultato JSON |
| geo | Restituisce se esiste nel risultato JSON |
| cronologia | Restituisce se esiste nel risultato JSON |
Approfondimenti
Se il punteggio di rischio supera la soglia, aggiungi Insight e contrassegnalo come sospetto.
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_risky | Vero/Falso | is_risky:False |
Risultato JSON
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
Get IP Malware
Descrizione
Esegui una query su X-Force per il malware associato a un indirizzo IP.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | string | N/D | La soglia deve essere un numero intero (ad esempio, 3). |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette se malware_count è maggiore di 0.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| malware | Restituisce se esiste nel risultato JSON |
Approfondimenti
Aggiungi un approfondimento di avviso che indica che l'entità è associata a malware e contrassegnala come sospetta se malware_count > 0.
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_malware | Vero/Falso | is_malware:False |
Risultato JSON
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
Get URL Info
Descrizione
Esegui una query X-Force per informazioni sull'URL.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | string | N/D | La soglia deve essere un numero intero(ad esempio: 3). |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette se superano la soglia. Altrimenti: False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| associati | Restituisce se esiste nel risultato JSON |
| result | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
Approfondimenti
Aggiungi un approfondimento di avviso e contrassegnalo come sospetto se il punteggio di rischio supera la soglia.
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_risk | Vero/Falso | is_risk:False |
Risultato JSON
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Dindin
Descrizione
Testa la connettività a X-Force.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_connected | Vero/Falso | is_connected:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.