X-Force
集成版本:14.0
配置 X-Force,以便与 Google Security Operations 搭配使用
如需获取个人 API 密钥,请使用有效的 IBM ID 登录 IBM X-Force Exchange 网站。
查看屏幕右上角的用户个人资料,然后前往下方的设置页面,创建新的 API 密钥/密码对。
在“设置”页面上,依次点击 API 访问权限和“API 密钥生成”部分中的生成按钮。
在 Google SecOps 中配置 X-Force 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
获取哈希信息
说明
向 X-Force 查询哈希信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 不适用 | 阈值可以是:低、中或高。 |
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 遭到恶意软件攻击 | 返回 JSON 结果中是否存在相应值 |
| 标签 | 返回 JSON 结果中是否存在相应值 |
数据分析
如果实体的风险得分超过阈值,则会添加相应数据洞见,警告哈希已被标记为恶意软件。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 结果
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
按类别获取 IP
说明
按类别获取 IP。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 类别 | 字符串 | 不适用 | IP 的类别。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
获取 IP 信息
说明
向 X-Force 查询 IP 信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 不适用 | 阈值必须是整数(例如:3)。 |
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
如果实体超出阈值,则会被标记为可疑。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| subnets | 返回 JSON 结果中是否存在相应值 |
| reasonDescription | 返回 JSON 结果中是否存在相应值 |
| 标签 | 返回 JSON 结果中是否存在相应值 |
| ip | 返回 JSON 结果中是否存在相应值 |
| reason | 返回 JSON 结果中是否存在相应值 |
| 得分 | 返回 JSON 结果中是否存在相应值 |
| categoryDescriptions | 返回 JSON 结果中是否存在相应值 |
| cats | 返回 JSON 结果中是否存在相应值 |
| geo | 返回 JSON 结果中是否存在相应值 |
| 历史记录 | 返回 JSON 结果中是否存在相应值 |
数据分析
如果风险得分超过阈值,则添加数据洞见并将其标记为可疑。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 结果
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
获取 IP 恶意软件
说明
向 X-Force 查询与 IP 地址关联的恶意软件。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 不适用 | 阈值必须是整数(例如:3)。 |
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
如果 malware_count 大于 0,实体会被标记为可疑。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 遭到恶意软件攻击 | 返回 JSON 结果中是否存在相应值 |
数据分析
添加了警告信息,指出实体与恶意软件相关联,如果 malware_count > 0,则将其标记为可疑。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_malware | True/False | is_malware:False |
JSON 结果
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
获取网址信息
说明
向 X-Force 查询网址信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 不适用 | 阈值必须是整数(例如:3)。 |
使用场景
不适用
运行于
此操作在网址实体上运行。
操作执行结果
实体扩充
如果实体超出阈值,则会被标记为可疑。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 相关联的 | 返回 JSON 结果中是否存在相应值 |
| 结果 | 返回 JSON 结果中是否存在相应值 |
| 标签 | 返回 JSON 结果中是否存在相应值 |
数据分析
添加警告数据洞见,并在风险得分超过阈值时将其标记为可疑。
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 结果
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
Ping
说明
测试与 X-Force 的连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 结果
N/A
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。