Se usó la API de Cloud Translation para traducir esta página.

Integra Anomali ThreatStream con Google SecOps

En este documento, se describe cómo integrar Anomali ThreatStream con Google Security Operations (Google SecOps).

Versión de integración: 11.0

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Raíz web	String	https://siemplify.threatstream.com	Sí	Es la raíz web de la instancia de Anomali ThreatStream. Este parámetro se usa para crear vínculos de informes en los elementos de integración.
Raíz de la API	String	https://api.threatstream.com	Sí	Es la raíz de la API de la instancia de Anomali ThreatStream.
Dirección de correo electrónico	String	N/A	Sí	Dirección de correo electrónico de la cuenta de Anomali ThreatStream.
Clave de API	Contraseña	N/A	Sí	Es la clave de API de la cuenta de Anomali ThreatStream.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Anomali ThreatStream sea válido.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

Add Tags To Entities

Agrega etiquetas a las entidades en Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Etiquetas	CSV	N/A	Sí	Especifica una lista separada por comas de las etiquetas que se deben agregar a las entidades en Anomali ThreatStream.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se agregaron correctamente etiquetas a las siguientes entidades en Anomali ThreatStream:\n{0}".format(lista de identificadores de entidades) Si no se encontraron entidades específicas (is_success=true): "No se encontraron las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier]) If not found all entities (is_success=false): "No se encontró ninguna de las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión al servidor o algún otro error: "Error al ejecutar la acción "Add Tags To Entities". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se agregaron correctamente etiquetas a las siguientes entidades en Anomali ThreatStream:\n{0}".format(lista de identificadores de entidades)

Si no se encontraron entidades específicas (is_success=true): "No se encontraron las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier])

If not found all entities (is_success=false): "No se encontró ninguna de las entidades proporcionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión al servidor o algún otro error: "Error al ejecutar la acción "Add Tags To Entities". Reason: {0}''.format(error.Stacktrace)

General

Enriquece entidades

Recupera información sobre IPs, URLs, hashes y direcciones de correo electrónico de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Umbral de gravedad	DDL	Baja Valores posibles: Muy alta Alta Medio Baja	Sí	Especifica cuál debe ser el umbral de gravedad para la entidad, de modo que se marque como sospechosa. Si se encuentran varios registros para la misma entidad, la acción tomará la gravedad más alta de todos los registros disponibles.
Umbral de confianza	Número entero	N/A	Sí	Especifica cuál debe ser el umbral de confianza para la entidad, de modo que se marque como sospechosa. Nota: El valor máximo es 100. Si se encuentran varios registros para la entidad, la acción tomará el promedio. Los registros activos tienen prioridad.
Ignorar el estado de falso positivo	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción ignorará el estado de falso positivo y marcará la entidad como sospechosa según los umbrales de gravedad y confianza. Si se inhabilita, la acción nunca etiquetará las entidades de falso positivo como sospechosas, independientemente de si cumplen o no con las condiciones de umbral de gravedad y "umbral de confianza".
Agregar tipo de amenaza al caso	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción agregará los tipos de amenazas de la entidad de todos los registros como etiquetas al caso. Ejemplo: apt
Solo la estadística de entidad sospechosa	Casilla de verificación	Desmarcado	Sí	Si está habilitada, la acción solo creará estadísticas para las entidades que superaron el umbral de gravedad y el umbral de confianza.
Crear estadística	Casilla de verificación	Desmarcado	Sí	Si está habilitada, la acción agregará una estadística por entidad procesada.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
id	Cuando está disponible en JSON
estado	Cuando está disponible en JSON
itype	Cuando está disponible en JSON
expiration_time	Cuando está disponible en JSON
ip	Cuando está disponible en JSON
feed_id	Cuando está disponible en JSON
confianza	Cuando está disponible en JSON
uuid	Cuando está disponible en JSON
retina_confidence	Cuando está disponible en JSON
trusted_circle_ids	Cuando está disponible en JSON
source	Cuando está disponible en JSON
latitud	Cuando está disponible en JSON
tipo	Cuando está disponible en JSON
descripción	Cuando está disponible en JSON
etiquetas	Cuando está disponible en JSON
threat_score	Cuando está disponible en JSON
source_confidence	Cuando está disponible en JSON
modification_time	Cuando está disponible en JSON
org_name	Cuando está disponible en JSON
asn	Cuando está disponible en JSON
creation_time	Cuando está disponible en JSON
tlp	Cuando está disponible en JSON
country	Cuando está disponible en JSON
longitude	Cuando está disponible en JSON
gravedad,	Cuando está disponible en JSON
subtype	Cuando está disponible en JSON
informe	Cuando está disponible en JSON

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list) Si no se pudieron enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier]) If failed to enrich all entities (is_success=false): "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General
Tabla del muro de casos	Nombre de la tabla: Vínculos de análisis relacionados: {entity_identifier} Columnas de la tabla: Nombre Vínculo	General
Tabla del muro de casos	Claves basadas en la tabla de enriquecimiento	Entidad

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list)

Si no se pudieron enriquecer entidades específicas (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier])

If failed to enrich all entities (is_success=false): "No se enriqueció ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace)

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Tabla del muro de casos

Nombre de la tabla: Vínculos de análisis relacionados: {entity_identifier}

Columnas de la tabla:

Nombre
Vínculo

General

Tabla del muro de casos

Claves basadas en la tabla de enriquecimiento

Entidad

Obtén asociaciones relacionadas

Recupera asociaciones relacionadas con la entidad de Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Devuelve campañas	Casilla de verificación	Marcado	No	Si está habilitado, la acción recuperará las campañas relacionadas y sus detalles.
Devuelve boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará los boletines de amenazas relacionados y sus detalles.
Actores de devolución	Casilla de verificación	Marcado	No	Si está habilitado, la acción recuperará los actores relacionados y sus detalles.
Devuelve patrones de ataque	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará patrones de ataque relacionados y detalles sobre ellos.
Devuelve cursos de acción	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará los cursos de acción relacionados y sus detalles.
Devuelve identidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará las identidades relacionadas y sus detalles.
Incidentes de devoluciones	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará los incidentes relacionados y sus detalles.
Devolución de infraestructura	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará la infraestructura relacionada y sus detalles.
Devuelve conjuntos de intrusiones	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará los conjuntos de intrusiones relacionados y sus detalles.
Devuelve el software malicioso	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará el malware relacionado y sus detalles.
Devuelve firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará firmas relacionadas y detalles sobre ellas.
Devolver herramientas	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará herramientas relacionadas y detalles sobre ellas.
TTP de devoluciones	Casilla de verificación	Marcado	No	Si está habilitado, la acción recuperará los TTP relacionados y sus detalles.
Devuelve vulnerabilidades	Casilla de verificación	Marcado	No	Si está habilitada, la acción recuperará las vulnerabilidades relacionadas y sus detalles.
Crea una entidad de campaña	Casilla de verificación	Desmarcado	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de la campaña disponibles.
Crea la entidad de actores	Casilla de verificación	Desmarcado	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de Actor disponibles.
Crea una entidad de firma	Casilla de verificación	Desmarcado	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de firma disponibles.
Crea una entidad de vulnerabilidad	Casilla de verificación	Desmarcado	No	Si se habilita, la acción creará una entidad a partir de las asociaciones de vulnerabilidad disponibles.
Crear estadística	Casilla de verificación	Marcado	No	Si está habilitada, la acción creará una estadística basada en los resultados.
Crear etiqueta de caso	Casilla de verificación	Desmarcado	No	Si se habilita, la acción creará etiquetas de casos según los resultados.
Cantidad máxima de asociaciones que se devolverán	Número entero	5	No	Especifica cuántas asociaciones se deben devolver por tipo. Valor predeterminado: 5
Cantidad máxima de estadísticas que se pueden devolver	Número entero	3	No	Especifica cuántos resultados de las principales estadísticas relacionadas con los IOC se deben devolver. Nota: La acción procesará un máximo de 1,000 IOC relacionados con la asociación. Si proporcionas `0`, la acción no intentará recuperar información de estadísticas.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos una asociación entre entidades (is_success=true): "Se recuperaron correctamente las asociaciones relacionadas de Anomali ThreatStream" Si no se encuentran asociaciones (is_success=false): "No se encontraron asociaciones relacionadas". Mensaje asíncrono: "Waiting for all of the association details to be retrieved" La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Association". Reason: {0}''.format(error.Stacktrace)	General
Tabla del muro de casos	Nombre de la tabla: "Asociaciones relacionadas" Columnas de la tabla: ID Nombre Tipo Estado

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos una asociación entre entidades (is_success=true): "Se recuperaron correctamente las asociaciones relacionadas de Anomali ThreatStream"

Si no se encuentran asociaciones (is_success=false): "No se encontraron asociaciones relacionadas".

Mensaje asíncrono: "Waiting for all of the association details to be retrieved"

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Association". Reason: {0}''.format(error.Stacktrace)

General

Tabla del muro de casos

Nombre de la tabla: "Asociaciones relacionadas"

Columnas de la tabla:

ID
Nombre
Tipo
Estado

Obtener entidades relacionadas

Recupera entidades relacionadas según las asociaciones en Anomali ThreatStream.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Umbral de confianza	Número entero	N/A	Sí	Especifica cuál debería ser el límite de confianza. El valor máximo es 100.
Buscar boletines de amenazas	Casilla de verificación	Marcado	No	Si está habilitada, la acción buscará entre los boletines de amenazas.
Buscar actores	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los actores.
Cómo buscar patrones de ataque	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los patrones de ataque.
Campañas de Búsqueda	Casilla de verificación	Marcado	No	Si está habilitado, la acción buscará campañas.
Buscar cursos de acción	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los cursos de acción.
Buscar identidades	Casilla de verificación	Marcado	No	Si está habilitado, la acción buscará entre las identidades.
Incidentes de búsqueda	Casilla de verificación	Marcado	No	Si está habilitada, la acción buscará entre los incidentes.
Infraestructuras de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre las infraestructuras.
Buscar conjuntos de intrusión	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los conjuntos de intrusiones.
Buscar software malicioso	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre el software malicioso.
Buscar firmas	Casilla de verificación	Marcado	No	Si está habilitada, la acción buscará entre las firmas.
Herramientas de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre las herramientas.
TTPs de búsqueda	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre los ttps.
Buscar vulnerabilidades	Casilla de verificación	Marcado	No	Si se habilita, la acción buscará entre las vulnerabilidades.
Cantidad máxima de entidades que se devolverán	Número entero	50	No	Especifica cuántas entidades se devolverán por tipo de entidad.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico (entidad de usuario que coincide con la regex de correo electrónico)
Agente de amenazas
CVE

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente los hashes relacionados de Anomali ThreatStream" Si no se encuentran hashes (is_success=false): "No se encontraron hashes relacionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Hashes". Reason: {0}''.format(error.Stacktrace) Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se recuperaron correctamente los hashes relacionados de Anomali ThreatStream"

Si no se encuentran hashes (is_success=false): "No se encontraron hashes relacionados".

La acción debería fallar y detener la ejecución de la guía:

Si el parámetro "Umbral de confianza" no está en el rango de 0 a 100: "El valor de "Umbral de confianza" debe estar en el rango de 0 a 100".

General

Ping

Prueba la conectividad con Anomali ThreatStream.

Parámetros

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente:"No se pudo conectar al servidor de Anomali ThreatStream. Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente: "Successfully connected to the Anomali ThreatStream server with the provided connection parameters!"

La acción debería fallar y detener la ejecución de la guía:

Si no se realiza correctamente:"No se pudo conectar al servidor de Anomali ThreatStream. Error is {0}".format(exception.stacktrace)

General

Quita etiquetas de entidades

Quita etiquetas de las entidades en Anomali ThreatStream. Entidades admitidas: hash, URL, dirección IP y dirección de correo electrónico (entidad de usuario que coincide con la regex de correo electrónico).

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Etiquetas	CSV	N/A	Sí	Especifica una lista separada por comas de las etiquetas que se deben quitar de las entidades en Anomali ThreatStream.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se quita al menos una etiqueta de una entidad (is_success=true): "Se quitaron correctamente las siguientes etiquetas de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags) Si no se encuentra una etiqueta para una entidad (is_success=true): "Las siguientes etiquetas ya no formaban parte de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags) Si no se encuentran todas las etiquetas para una entidad (is_success=true): "Ninguna de las etiquetas proporcionadas formaba parte de la entidad "{entity.identifier}" en Anomali ThreatStream". Si no se encuentra una entidad (is_success=true): "No se encontraron las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier]) Si no se encuentran todas las entidades (is_success=false): "No se encontró ninguna de las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Remove Tags From Entities". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se quita al menos una etiqueta de una entidad (is_success=true): "Se quitaron correctamente las siguientes etiquetas de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags)

Si no se encuentra una etiqueta para una entidad (is_success=true): "Las siguientes etiquetas ya no formaban parte de la entidad "{entity.identifier}" en Anomali ThreatStream:\n{0}".format(tags)

Si no se encuentran todas las etiquetas para una entidad (is_success=true): "Ninguna de las etiquetas proporcionadas formaba parte de la entidad "{entity.identifier}" en Anomali ThreatStream".

Si no se encuentra una entidad (is_success=true): "No se encontraron las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier])

Si no se encuentran todas las entidades (is_success=false): "No se encontró ninguna de las entidades proporcionadas".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Remove Tags From Entities". Reason: {0}''.format(error.Stacktrace)

General

Informar como falso positivo

Marcar entidades en Anomali ThreatStream como falsos positivos Entidades admitidas: Hash, URL, dirección IP, dirección de correo electrónico (entidad de usuario que coincide con la regex de correo electrónico).

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Motivo	String	N/A	Sí	Especifica el motivo por el que deseas marcar entidades como falsos positivos.
Comentario	String	N/A	Sí	Especifica información adicional relacionada con tu decisión de marcar la entidad como falso positivo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Dirección de correo electrónico (entidad del usuario que coincide con la regex de correo electrónico)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se denunciaron correctamente las siguientes entidades como falsos positivos en Anomali ThreatStream:\n{0}".format(lista de identificadores de entidades) Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) Si no se pueden enriquecer todas las entidades (is_success=false): "No se informó que ninguna entidad sea un falso positivo". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Informar como falso positivo". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades (is_success=true): "Se denunciaron correctamente las siguientes entidades como falsos positivos en Anomali ThreatStream:\n{0}".format(lista de identificadores de entidades)

Si no se pueden marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

Si no se pueden enriquecer todas las entidades (is_success=false): "No se informó que ninguna entidad sea un falso positivo".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Informar como falso positivo". Reason: {0}''.format(error.Stacktrace)

General

Envía elementos observables

Envía un observable a Anomali ThreatStream en función de entidades de IP, URL, hash y correo electrónico. Entidades admitidas: hash, URL, dirección IP y dirección de correo electrónico (entidad de usuario que coincide con la regex de correo electrónico).

Dónde encontrar los IDs de círculos de confianza

Para encontrar el ID de un círculo de confianza, ubícalo en Anomali ThreatStream y haz clic en su nombre. La URL que se muestra en la barra de direcciones incluye el ID, como https://siemplify.threatstream.com/search?trustedcircles=13..

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Clasificación	DDL	Privado Valores posibles: Público Privado	Sí	Especifica la clasificación del observable.
Tipo de amenaza	DDL	APT Valores posibles APT Software publicitario Anómalos Anomización Bot Brute C2 Vulnerado Criptomonedas Filtración de datos DDOS DNS dinámico Exfil Exploit Detección de fraude Herramienta de hackeo I2P Informativo Software malicioso P2P Estacionado Phish Analizar Hundimiento Social Spam Suprimir Sospechoso TOR VPS	Sí	Especifica el tipo de amenaza para los observables.
Fuente	String	Siemplify	No	Especifica la fuente de inteligencia de la observable.
Fecha de vencimiento	Número entero	N/A	No	Especifica la fecha de vencimiento en días para el observable. Si no se especifica nada aquí, la acción creará un observable que nunca vencerá.
IDs de círculos de confianza	CSV	N/A	No	Especifica la lista de IDs de círculos de confianza separados por comas. Los observables se compartirán con esos círculos de confianza.
TLP	DDL	Selecciona una opción Valores posibles: Selecciona una opción Rojo Verde Ámbar Blanco	No	Especifica el TLP de tus observables.
Confianza	Número entero	N/A	No	Especifica cuál debe ser la confianza del observable. Nota: Este parámetro solo funcionará si creas observables en tu organización y requiere que se habilite la anulación de la confianza del sistema.
Anular la confianza del sistema	Casilla de verificación	Desmarcado	No	Si está habilitado, los elementos observables creados tendrán la confianza especificada en el parámetro Confidence. Nota: No puedes compartir observables en círculos de confianza ni de forma pública cuando este parámetro está habilitado.
Envío anónimo	Casilla de verificación	Desmarcado	No	Si se habilita, la acción realizará un envío anónimo.
Etiquetas	CSV	N/A	No	Especifica una lista separada por comas de las etiquetas que deseas agregar al observable.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash
Dirección IP
URL
Correo electrónico

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Muro de casos

Tipo de resultado Descripción Tipo

Mensaje de salida*

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades(is_success=true): "Se enviaron y aprobaron correctamente las siguientes entidades en Anomali ThreatStream:\n{0}".format(entity.identifier list) Si no se pueden enriquecer algunas entidades (entidades rechazadas) (is_success=true): "No se pudieron enviar ni aprobar correctamente las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success=false): "No se envió ninguna entidad correctamente a Anomali ThreatStream". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Submit Observables". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 400: "Error al ejecutar la acción "Submit Observables". Motivo: {0}''.format(message)	General
	Vínculo: `https://siemplify.threatstream.com/import/review/{jobid}`	Entidad

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se encuentra al menos un hash en las entidades(is_success=true): "Se enviaron y aprobaron correctamente las siguientes entidades en Anomali ThreatStream:\n{0}".format(entity.identifier list)

Si no se pueden enriquecer algunas entidades (entidades rechazadas) (is_success=true): "No se pudieron enviar ni aprobar correctamente las siguientes entidades en Anomali ThreatStream\n: {0}".format([entity.identifier])

Si no se puede enriquecer para todas las entidades (is_success=false): "No se envió ninguna entidad correctamente a Anomali ThreatStream".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Submit Observables". Reason: {0}''.format(error.Stacktrace)

Si se informa el código de estado 400: "Error al ejecutar la acción "Submit Observables". Motivo: {0}''.format(message)

General

Vínculo:

https://siemplify.threatstream.com/import/review/{jobid}

Entidad

Conectores

Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Conector de observables de Anomali ThreatStream

Extrae indicadores observables de Anomali ThreatStream.

Los nombres de las fuentes se usan en la lista dinámica.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es `Product Name`.
Nombre del campo del evento	String	tipo	Sí	Es el nombre del campo que determina el nombre del evento (subtipo).
Nombre del campo del entorno	String	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado.
`Environment Regex Pattern`	String	.*	No	Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	300	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	https://api.threatstream.com	Sí	Es la raíz de la API de la instancia de Anomali ThreatStream.
Dirección de correo electrónico	String	N/A	Sí	Dirección de correo electrónico de la cuenta de Anomali ThreatStream.
Clave de API	Contraseña	N/A	Sí	Es la clave de API de la cuenta de Anomali ThreatStream.
Gravedad más baja que se recuperará	String	Alta	Sí	Es la gravedad más baja que se usará para recuperar los observables. Valores posibles: Baja Medio Alta Muy alta
Nivel de confianza más bajo para recuperar	Número entero	50	Sí	Es la confianza más baja que se usará para recuperar observables. La cantidad máxima es `100`.
Filtro de feed de origen	CSV	N/A	No	Lista separada por comas de los IDs de los feeds que se deben usar para transferir los observables, como `515,4129`.
Filtro de tipo de observable	CSV	URL, dominio, correo electrónico, hash, IP, IPv6	No	Lista separada por comas de los tipos de observables que se deben ingerir, como `URL, domain`. Valores posibles: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filtro de estado observable	CSV	activo	No	Lista separada por comas del estado observable que se debe usar para transferir datos nuevos, como `active,inactive` Valores posibles: `active`, `inactive`, `falsepos` .
Filtro de tipo de amenaza	CSV	N/A	No	Lista separada por comas de los tipos de amenazas que se deben usar para transferir observables, como `adware,anomalous,anonymization,apt`. Valores posibles: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filtro de círculo de confianza	CSV	N/A	No	Lista separada por comas de los IDs de círculos de confianza que se deben usar para transferir observables, como `146,147`.
Filtro de nombre de etiqueta	CSV	N/A	No	Lista separada por comas de los nombres de las etiquetas asociadas con los observables que se deben usar con la transferencia, como `Microsoft Credentials, Phishing`.
Agrupamiento de feeds fuente	Casilla de verificación	Desmarcado	No	Si se habilita, el conector agrupa los observables de la misma fuente en la misma alerta de Google SecOps.
Recuperar la cantidad máxima de días hacia atrás	Número entero	1	No	Es la cantidad de días anteriores al día de hoy para recuperar los datos observables. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida.
Cantidad máxima de variables observables por alerta	Número entero	100	No	Es la cantidad de elementos observables que se incluirán en una alerta de Google SecOps. La cantidad máxima permitida es de 200.
`Use whitelist as a blacklist`	Casilla de verificación	Desmarcado	Sí	Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo.
Verificar SSL	Casilla de verificación	Desmarcado	Sí	Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Anomali ThreatStream.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.

Reglas del conector

El conector admite proxies.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.