X-Force
整合版本:14.0
設定 X-Force,以便與 Google Security Operations 搭配使用
如要取得個人 API 金鑰,請使用有效的 IBM ID 登入 IBM X-Force Exchange 網站。
在畫面右上角查看使用者設定檔,然後前往下方的「設定」頁面,建立新的 API 金鑰/密碼組合。
在「設定」頁面中,按一下「API 存取權」,然後按一下「API 金鑰產生」部分中的「產生」按鈕。
在 Google SecOps 中設定 X-Force 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
取得雜湊資訊
說明
向 X-Force 查詢雜湊資訊。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 門檻 | 字串 | 不適用 | 閾值可設為「低」、「中」或「高」。 |
用途
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 惡意軟體 | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
如果實體的風險分數超過門檻,系統就會新增洞察資訊,警告雜湊值標示為惡意軟體。
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 結果
[
{
"EntityResult":
{
"malware":
{
"hash": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"family": ["tsunami"],
"origins":
{
"downloadServers": {},
"subjects": {},
"CnCServers":
{
"count": 1,
"rows":
[{
"count": 483,
"origin": "CnC",
"domain": "pc-guard.net",
"filepath": "v.html",
"ip": "1.1.1.1",
"uri": "http://pc-guard.net/v.html",
"lastseen": "2014-10-20T23:19:00Z",
"md5": "474B9CCF5AB9D72CA8A333889BBB34F",
"type": "CnC",
"firstseen": "2014-10-20T23:19:00Z",
"schema": "http"
}]},
"emails": {},
"external":
{
"detectionCoverage": 46,
"family": ["heuristic", "trojan"]
}},
"created": "2014-10-20T23:19:00Z",
"familyMembers":
{
"tsunami":
{
"count": 61
}},
"md5": "0x474B9CCF5AB9D72CA8A333889BBB34F0",
"type": "md5",
"risk": "high"
},
"tags": []
},
"Entity": "474B9CCF5AB9D72CA8A333889BBB34F0"
}
]
依類別取得 IP
說明
依類別取得 IP。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 類別 | 字串 | 不適用 | IP 的類別。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"ip": "string",
"score": "integer",
"created": "string"
}
]
取得 IP 資訊
說明
查詢 X-Force 的 IP 資訊。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 門檻 | 字串 | 不適用 | 門檻必須是整數 (例如:3)。 |
用途
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
如果實體超過門檻,就會標示為可疑。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| subnets | 如果 JSON 結果中存在該值,則傳回該值 |
| reasonDescription | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| 原因 | 如果 JSON 結果中存在該值,則傳回該值 |
| 分數 | 如果 JSON 結果中存在該值,則傳回該值 |
| categoryDescriptions | 如果 JSON 結果中存在該值,則傳回該值 |
| 貓 | 如果 JSON 結果中存在該值,則傳回該值 |
| geo | 如果 JSON 結果中存在該值,則傳回該值 |
| 記錄 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
如果風險分數超過門檻,請新增 Insight 並標示為可疑。
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON 結果
[
{
"EntityResult":
{
"subnets":
[{
"subnet": "1.1.1.1/14",
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2017-10-18T06:23:00.000Z",
"ip": "1.1.1.1",
"asns":
{
"8359":
{
"Company": "MTS, RU",
"cidr": 14
}},
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"subnet": "1.1.1.1/20",
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
}}],
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"tags": [],
"ip": "1.1.1.1",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
},
"history":
[{
"reasonDescription": "One of the five RIRs announced a (new) location mapping of the IP.",
"created": "2012-03-22T07:26:00.000Z",
"ip": "1.1.1.1/14",
"reason": "Regional Internet Registry",
"score": 1,
"categoryDescriptions": {},
"cats": {},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2012-04-13T13:34:00.000Z",
"ip": "1.1.1.1/14",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 100
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}, {
"reasonDescription": "Based on statistical DNS analysis.",
"created": "2014-01-22T19:56:00.000Z",
"ip": "1.1.1.1/20",
"reason": "DNS heuristics",
"score": 1,
"categoryDescriptions":
{
"Dynamic IPs\": "This category contains IP addresses of dialup hosts and DSL lines."
},
"cats":
{
"Dynamic IPs": 71
},
"geo":
{
"country": "Russia",
"countrycode": "RU"
}}]},
"Entity": "1.1.1.1"
}
]
取得 IP 惡意軟體
說明
查詢與 IP 位址相關聯的惡意軟體。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 門檻 | 字串 | 不適用 | 門檻必須是整數 (例如:3)。 |
用途
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
如果 malware_count 大於 0,實體就會標示為可疑。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 惡意軟體 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
如果 malware_count > 0,請新增警告洞察資訊,指出實體與惡意軟體有關聯,並將其標示為可疑。
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_malware | True/False | is_malware:False |
JSON 結果
[
{
"EntityResult":
{
"malware":
[{
"count": 13,
"origin": "CnC",
"domain": "l33t-milf.info",
"last": "2016-10-29T06:31:00Z",
"family": ["kasidet"],
"filepath": "dom/tasks.php",
"ip": "0x00000000000000000000ffff08080808",
"uri": "http://example.com/dom/tasks.php",
"first": "2016-10-29T06:31:00Z",
"host": "dom",
"lastseen": "2016-10-29T06:31:00Z",
"md5": "4C10F74CE20328B7CC4207245BC9D725",
"type": "CnC",
"firstseen": "2016-10-29T06:31:00Z",
"schema": "http"
}]},
"Entity": "1.1.1.1"
}
]
取得網址資訊
說明
向 X-Force 查詢網址資訊。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 門檻 | 字串 | 不適用 | 門檻必須是整數(例如:3)。 |
用途
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
如果實體超過門檻,就會標示為可疑。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 相關聯的分數 | 如果 JSON 結果中存在該值,則傳回該值 |
| result | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
如果風險分數超過門檻,請新增警告洞察資料並標示為可疑。
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_risk | True/False | is_risk:False |
JSON 結果
[
{
"EntityResult":
{
"associated":
[{
"url": "markossolomon.com",
"cats": {},
"score": null,
"categoryDescriptions": {}
}],
"result":
{
"url": "markossolomon.com/f1q7qx.php",
"cats":
{
"Botnet Command and Control Server": true
},
"score": 10,
"categoryDescriptions":
{
"Botnet Command and Control Server": "This category contains Web sites or domains that host a botnet command and control server."
}},
"tags": []
},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
乒乓
說明
測試與 X-Force 的連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。