X-Force
통합 버전: 14.0
Google Security Operations와 호환되도록 X-Force 구성
개인 API 키를 가져오려면 활성 IBM ID로 IBM X-Force Exchange 웹사이트에 로그인하세요.
화면 오른쪽 상단에서 사용자 프로필을 확인한 다음 아래의 설정 페이지로 이동하여 새 API 키/비밀번호 쌍을 만듭니다.
설정 페이지에서 API 액세스를 클릭한 다음 API 키 생성 섹션에서 생성 버튼을 클릭합니다.
Google SecOps에서 X-Force 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
해시 정보 가져오기
설명
해시 정보를 위해 X-Force를 쿼리합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 기준 | 문자열 | 해당 사항 없음 | 임곗값은 낮음, 중간 또는 높음일 수 있습니다. |
사용 사례
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 멀웨어 | JSON 결과에 존재하는 경우에 반환 |
| tags | JSON 결과에 존재하는 경우에 반환 |
통계
엔티티의 위험 점수가 기준점을 초과하면 해시가 멀웨어로 표시된다는 경고가 통계에 추가됩니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 결과
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
카테고리별 IP 가져오기
설명
카테고리별 IP 가져오기
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 카테고리 | 문자열 | 해당 사항 없음 | IP의 카테고리입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
IP 정보 가져오기
설명
X-Force에 IP 정보를 쿼리합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 기준 | 문자열 | 해당 사항 없음 | 기준액은 정수여야 합니다 (예: 3). |
사용 사례
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
항목 보강
기준점을 초과하면 항목이 의심스러운 것으로 표시됩니다. 그 외의 경우: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| subnets | JSON 결과에 존재하는 경우에 반환 |
| reasonDescription | JSON 결과에 존재하는 경우에 반환 |
| tags | JSON 결과에 존재하는 경우에 반환 |
| ip | JSON 결과에 존재하는 경우에 반환 |
| reason | JSON 결과에 존재하는 경우에 반환 |
| 점수 | JSON 결과에 존재하는 경우에 반환 |
| categoryDescriptions | JSON 결과에 존재하는 경우에 반환 |
| cats | JSON 결과에 존재하는 경우에 반환 |
| geo | JSON 결과에 존재하는 경우에 반환 |
| history | JSON 결과에 존재하는 경우에 반환 |
통계
위험 점수가 기준점을 초과하면 통계를 추가하고 의심스러운 것으로 표시합니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 결과
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
IP 멀웨어 가져오기
설명
IP 주소와 연결된 멀웨어를 X-Force에 쿼리합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 기준 | 문자열 | 해당 사항 없음 | 기준액은 정수여야 합니다 (예: 3). |
사용 사례
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
항목 보강
malware_count가 0보다 크면 항목이 의심스러운 것으로 표시됩니다.
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 멀웨어 | JSON 결과에 존재하는 경우에 반환 |
통계
멀웨어와 연결된 항목이라는 경고 통계를 추가하고 malware_count > 0인 경우 의심스러운 것으로 표시합니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_malware | True/False | is_malware:False |
JSON 결과
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
URL 정보 가져오기
설명
X-Force에 URL 정보를 쿼리합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 기준 | 문자열 | 해당 사항 없음 | 기준액은 정수여야 합니다(예: 3). |
사용 사례
해당 사항 없음
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
항목 보강
항목이 기준점을 초과하면 의심스러운 것으로 표시됩니다. 그 외의 경우: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 이 점수는 | JSON 결과에 존재하는 경우에 반환 |
| 결과 | JSON 결과에 존재하는 경우에 반환 |
| tags | JSON 결과에 존재하는 경우에 반환 |
통계
위험 점수가 기준을 초과하면 경고 통계를 추가하고 의심스러운 것으로 표시합니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 결과
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
핑
설명
X-Force 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 결과
N/A
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.