Questa pagina è stata tradotta dall'API Cloud Translation.

Integrare Anomali ThreatStream con Google SecOps

Questo documento descrive come integrare Anomali ThreatStream con Google Security Operations (Google SecOps).

Versione integrazione: 11.0

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Root web	Stringa	https://siemplify.threatstream.com	Sì	Root web dell'istanza Anomali ThreatStream. Questo parametro viene utilizzato per creare link ai report tra gli elementi di integrazione.
Root API	Stringa	https://api.threatstream.com	Sì	Radice API dell'istanza Anomali ThreatStream.
Indirizzo email	Stringa	N/D	Sì	Indirizzo email dell'account Anomali ThreatStream.
Chiave API	Password	N/D	Sì	Chiave API dell'account Anomali ThreatStream.
Verifica SSL	Casella di controllo	Selezionata	Sì	Se abilitata, verifica che il certificato SSL per la connessione al server Anomali ThreatStream sia valido.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Aggiungere tag alle entità

Aggiungi tag alle entità in Anomali ThreatStream.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Tag	CSV	N/D	Sì	Specifica un elenco separato da virgole di tag da aggiungere alle entità in Anomali ThreatStream.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully added tags to the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) Se non sono state trovate entità specifiche (is_success=true): "Le seguenti entità non sono state trovate in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se non sono state trovate tutte le entità (is_success=false): "Nessuna delle entità fornite è stata trovata." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi tag alle entità". Motivo: {0}''.format(error.Stacktrace)	Generale

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully added tags to the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se non sono state trovate entità specifiche (is_success=true): "Le seguenti entità non sono state trovate in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se non sono state trovate tutte le entità (is_success=false): "Nessuna delle entità fornite è stata trovata."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi tag alle entità". Motivo: {0}''.format(error.Stacktrace)

Generale

Arricchire le entità

Recupera informazioni su IP, URL, hash e indirizzi email da Anomali ThreatStream.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di gravità	DDL	Bassa Valori possibili: Molto alto Alta Medie Bassa	Sì	Specifica la soglia di gravità per l'entità, in modo da contrassegnarla come sospetta. Se vengono trovati più record per la stessa entità, l'azione prenderà in considerazione la gravità più elevata tra tutti i record disponibili.
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza per l'entità, in modo da contrassegnarla come sospetta. Nota: il valore massimo è 100. Se vengono trovati più record per l'entità, l'azione prenderà la media. I record attivi hanno la priorità.
Ignora lo stato di falso positivo	Casella di controllo	Deselezionata	No	Se abilitata, l'azione ignorerà lo stato di falso positivo e contrassegnerà l'entità come sospetta in base alla soglia di gravità e alla soglia di confidenza. Se disattivata, l'azione non contrassegnerà mai le entità false positive come sospette, indipendentemente dal fatto che superino o meno le condizioni di "Soglia di gravità" e "Soglia di confidenza".
Aggiungere il tipo di minaccia alla richiesta	Casella di controllo	Deselezionata	No	Se abilitata, l'azione aggiungerà i tipi di minaccia dell'entità da tutti i record come tag alla richiesta. Esempio: apt
Solo approfondimento Entità sospetta	Casella di controllo	Deselezionata	Sì	Se abilitata, l'azione creerà approfondimenti solo per le entità che hanno superato la soglia di gravità e la soglia di confidenza.
Crea approfondimento	Casella di controllo	Deselezionata	Sì	Se abilitata, l'azione aggiungerà una statistica per ogni entità elaborata.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Arricchimento delle entità

Nome del campo di arricchimento	Logica - Quando applicarla
id	Quando disponibile in formato JSON
stato	Quando disponibile in formato JSON
itype	Quando disponibile in formato JSON
expiration_time	Quando disponibile in formato JSON
ip	Quando disponibile in formato JSON
feed_id	Quando disponibile in formato JSON
confidenza	Quando disponibile in formato JSON
uuid	Quando disponibile in formato JSON
retina_confidence	Quando disponibile in formato JSON
trusted_circle_ids	Quando disponibile in formato JSON
origine	Quando disponibile in formato JSON
latitude	Quando disponibile in formato JSON
tipo	Quando disponibile in formato JSON
descrizione	Quando disponibile in formato JSON
Tag	Quando disponibile in formato JSON
threat_score	Quando disponibile in formato JSON
source_confidence	Quando disponibile in formato JSON
modification_time	Quando disponibile in formato JSON
org_name	Quando disponibile in formato JSON
asn	Quando disponibile in formato JSON
creation_time	Quando disponibile in formato JSON
tlp	Quando disponibile in formato JSON
country	Quando disponibile in formato JSON
longitude	Quando disponibile in formato JSON
gravità	Quando disponibile in formato JSON
sottotipo	Quando disponibile in formato JSON
report	Quando disponibile in formato JSON

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite viene arricchita (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list) Se non è stato possibile arricchire entità specifiche (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando Anomali ThreatStream\n: {0}".format([entity.identifier]) Se l'arricchimento di tutte le entità non è riuscito (is_success=false): "Nessuna entità è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale
Tabella Bacheca casi	Nome tabella: Link alle analisi correlate: {entity_identifier} Colonne della tabella: Nome Link	Generale
Tabella Bacheca casi	Chiavi basate sulla tabella di arricchimento	Entità

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e almeno una delle entità fornite viene arricchita (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list)

Se non è stato possibile arricchire entità specifiche (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando Anomali ThreatStream\n: {0}".format([entity.identifier])

Se l'arricchimento di tutte le entità non è riuscito (is_success=false): "Nessuna entità è stata arricchita."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Tabella Bacheca casi

Nome tabella: Link alle analisi correlate: {entity_identifier}

Colonne della tabella:

Nome
Link

Generale

Tabella Bacheca casi

Chiavi basate sulla tabella di arricchimento

Entità

Get Related Associations

Recupera le associazioni correlate alle entità da Anomali ThreatStream.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Campagne per i resi	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà le campagne correlate e i relativi dettagli.
Restituisci bollettini sulle minacce	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà i bollettini sulle minacce correlate e i relativi dettagli.
Attori di ritorno	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà gli attori correlati e i relativi dettagli.
Restituisce i pattern di attacco	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà i pattern di attacco correlati e i relativi dettagli.
Restituisci i corsi di azione	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà i corsi di azione correlati e i relativi dettagli.
Restituisci identità	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà le identità correlate e i relativi dettagli.
Incidenti di reso	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà gli incidenti correlati e i relativi dettagli.
Infrastruttura di ritorno	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà l'infrastruttura correlata e i relativi dettagli.
Restituisci set di intrusioni	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà i gruppi di intrusione correlati e i relativi dettagli.
Restituzione di malware	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà i malware correlati e i relativi dettagli.
Firme per il reso	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà le firme correlate e i relativi dettagli.
Strumenti di reso	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà gli strumenti correlati e i relativi dettagli.
TTP per i resi	Casella di controllo	Selezionata	No	Se attivata, l'azione recupererà le TTP correlate e i relativi dettagli.
Restituisci vulnerabilità	Casella di controllo	Selezionata	No	Se abilitata, l'azione recupererà le vulnerabilità correlate e i relativi dettagli.
Crea entità campagna	Casella di controllo	Deselezionata	No	Se abilitata, l'azione creerà un'entità dalle associazioni di campagne disponibili.
Crea entità Attori	Casella di controllo	Deselezionata	No	Se questa opzione è abilitata, l'azione creerà un'entità dalle associazioni di attori disponibili.
Crea entità firma	Casella di controllo	Deselezionata	No	Se questa opzione è abilitata, l'azione creerà un'entità dalle associazioni di firme disponibili.
Crea entità vulnerabilità	Casella di controllo	Deselezionata	No	Se abilitata, l'azione creerà un'entità dalle associazioni di vulnerabilità disponibili.
Crea approfondimento	Casella di controllo	Selezionata	No	Se abilitata, l'azione creerà un approfondimento basato sui risultati.
Crea tag richiesta	Casella di controllo	Deselezionata	No	Se abilitata, l'azione creerà tag di richiesta in base ai risultati.
Numero massimo di associazioni da restituire	Numero intero	5	No	Specifica il numero di associazioni da restituire per tipo. Valore predefinito: 5
Numero massimo di statistiche da restituire	Numero intero	3	No	Specifica il numero di risultati delle statistiche principali relative agli IOC da restituire. Nota: l'azione elaborerà al massimo 1000 indicatori di compromissione correlati all'associazione. Se fornisci `0`, l'azione non tenta di recuperare le informazioni statistiche.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Risultato JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovata almeno un'associazione tra le entità (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" (Associazioni correlate recuperate correttamente da Anomali ThreatStream) Se non vengono trovate associazioni (is_success=false): "Non sono state trovate associazioni correlate." Messaggio asincrono: "In attesa del recupero di tutti i dettagli dell'associazione" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni associazione correlata". Motivo: {0}''.format(error.Stacktrace)	Generale
Tabella Bacheca casi	Nome tabella: "Associazioni correlate" Colonne della tabella: ID Nome Tipo Stato

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovata almeno un'associazione tra le entità (is_success=true): "Successfully retrieved related associations from Anomali ThreatStream" (Associazioni correlate recuperate correttamente da Anomali ThreatStream)

Se non vengono trovate associazioni (is_success=false): "Non sono state trovate associazioni correlate."

Messaggio asincrono: "In attesa del recupero di tutti i dettagli dell'associazione"

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni associazione correlata". Motivo: {0}''.format(error.Stacktrace)

Generale

Tabella Bacheca casi

Nome tabella: "Associazioni correlate"

Colonne della tabella:

ID
Nome
Tipo
Stato

Recupero entità correlate

Recupera le entità correlate in base alle associazioni in Anomali ThreatStream.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia di confidenza	Numero intero	N/D	Sì	Specifica la soglia di confidenza. Il valore massimo è 100.
Cerca bollettini sulle minacce	Casella di controllo	Selezionata	No	Se abilitata, l'azione eseguirà la ricerca tra i bollettini sulle minacce.
Cerca attori	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra gli attori.
Cerca pattern di attacco	Casella di controllo	Selezionata	No	Se abilitata, l'azione eseguirà la ricerca tra i pattern di attacco.
Campagne sulla rete di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione cercherà le campagne.
Cerca corsi di azione	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra i corsi di azione.
Cerca identità	Casella di controllo	Selezionata	No	Se abilitata, l'azione eseguirà la ricerca tra le identità.
Cerca incidenti	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra gli incidenti.
Infrastrutture di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra le infrastrutture.
Cerca set di intrusioni	Casella di controllo	Selezionata	No	Se abilitata, l'azione eseguirà la ricerca tra i set di intrusioni.
Cerca malware	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra i malware.
Cerca firme	Casella di controllo	Selezionata	No	Se abilitata, l'azione eseguirà la ricerca tra le firme.
Strumenti di ricerca	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra gli strumenti.
Cerca TTP	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra gli ttps.
Cerca vulnerabilità	Casella di controllo	Selezionata	No	Se attivata, l'azione eseguirà la ricerca tra le vulnerabilità.
Numero massimo di entità da restituire	Numero intero	50	No	Specifica il numero di entità da restituire per tipo di entità.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email (entità utente che corrisponde all'espressione regolare dell'email)
Utente malintenzionato
CVE

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Risultato JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Recupero riuscito degli hash correlati da Anomali ThreatStream" Se non vengono trovati hash (is_success=false): "Non sono stati trovati hash correlati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera hash correlati". Motivo: {0}''.format(error.Stacktrace) Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."	Generale

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Recupero riuscito degli hash correlati da Anomali ThreatStream"

Se non vengono trovati hash (is_success=false): "Non sono stati trovati hash correlati."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera hash correlati". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Soglia di confidenza" non è compreso tra 0 e 100: "Il valore di "Soglia di confidenza" deve essere compreso tra 0 e 100."

Generale

Dindin

Testa la connettività ad Anomali ThreatStream.

Parametri

N/D

Pubblica su

Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Anomali ThreatStream riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine:"Impossibile connettersi al server Anomali ThreatStream. Error is {0}".format(exception.stacktrace)	Generale

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione al server Anomali ThreatStream riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se l'operazione non va a buon fine:"Impossibile connettersi al server Anomali ThreatStream. Error is {0}".format(exception.stacktrace)

Generale

Rimuovere i tag dalle entità

Rimuovi i tag dalle entità in Anomali ThreatStream. Entità supportate: hash, URL, indirizzo IP, indirizzo email (entità utente che corrisponde all'espressione regolare dell'email).

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Tag	CSV	N/D	Sì	Specifica un elenco separato da virgole di tag da rimuovere dalle entità in Anomali ThreatStream.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno un tag viene rimosso da un'entità (is_success=true): "Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags) Se non viene trovato un tag per un'entità (is_success=true): "I seguenti tag non facevano già parte dell'entità "{entity.identifier}" in Anomali ThreatStream:\n{0}".format(tags) Se non vengono trovati tutti i tag per un'entità (is_success=true): "Nessuno dei tag forniti faceva parte dell'entità "{entity.identifier}" in Anomali ThreatStream." Se non viene trovata un'entità (is_success=true): "Le seguenti entità non sono state trovate in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se non vengono trovate tutte le entità (is_success=false): "Nessuna delle entità fornite è stata trovata." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Rimuovi tag dalle entità". Motivo: {0}''.format(error.Stacktrace)	Generale

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e almeno un tag viene rimosso da un'entità (is_success=true): "Successfully removed the following tags from the "{entity.identifier}" entity in Anomali ThreatStream:\n{0}".format(tags)

Se non viene trovato un tag per un'entità (is_success=true): "I seguenti tag non facevano già parte dell'entità "{entity.identifier}" in Anomali ThreatStream:\n{0}".format(tags)

Se non vengono trovati tutti i tag per un'entità (is_success=true): "Nessuno dei tag forniti faceva parte dell'entità "{entity.identifier}" in Anomali ThreatStream."

Se non viene trovata un'entità (is_success=true): "Le seguenti entità non sono state trovate in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se non vengono trovate tutte le entità (is_success=false): "Nessuna delle entità fornite è stata trovata."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Rimuovi tag dalle entità". Motivo: {0}''.format(error.Stacktrace)

Generale

Segnala come falso positivo

Segnala le entità in Anomali ThreatStream come falsi positivi. Entità supportate: Hash, URL, indirizzo IP, indirizzo email (entità utente che corrisponde all'espressione regolare dell'email).

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Motivo	Stringa	N/D	Sì	Specifica il motivo per cui vuoi contrassegnare le entità come falsi positivi.
Commento	Stringa	N/D	Sì	Specifica informazioni aggiuntive relative alla tua decisione di contrassegnare l'entità come falso positivo.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Indirizzo email (entità utente che corrisponde all'espressione regolare dell'email)

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Bacheca casi

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list) Se non riesci a contrassegnare entità specifiche (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se non è possibile arricchire tutte le entità (is_success=false): "Nessuna entità è stata segnalata come falso positivo". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Segnala come falso positivo". Motivo: {0}''.format(error.Stacktrace)	Generale

Tipo di risultato

Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e viene trovato almeno un hash tra le entità (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se non riesci a contrassegnare entità specifiche (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se non è possibile arricchire tutte le entità (is_success=false): "Nessuna entità è stata segnalata come falso positivo".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Segnala come falso positivo". Motivo: {0}''.format(error.Stacktrace)

Generale

Inviare gli osservabili

Invia un osservabile ad Anomali ThreatStream in base a IP, URL, hash, entità email. Entità supportate: hash, URL, indirizzo IP, indirizzo email (entità utente che corrisponde all'espressione regolare dell'email).

Dove trovare gli ID cerchia attendibili

Per trovare l'ID di un cerchio attendibile, individua il cerchio attendibile in Anomali ThreatStream e fai clic sul suo nome. L'URL visualizzato nella barra degli indirizzi mostra l'ID, ad esempio https://siemplify.threatstream.com/search?trustedcircles=13.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Classificazione	DDL	Privato Valori possibili: Pubblico Privato	Sì	Specifica la classificazione dell'osservabile.
Tipo di minaccia	DDL	APT Valori possibili APT Adware Anomali Anomyzation Bot Brute C2 Compromessi Crypto Data Leakage DDOS DNS dinamico Esfiltrazione Exploit Attività fraudolenta Strumento di hacking I2P Informativo Malware P2P Parcheggiata Phish Scansione Sinkhole Social Spam Ignora Contenuti sospetti TOR VPS	Sì	Specifica il tipo di minaccia per gli indicatori.
Origine	Stringa	Siemplify	No	Specifica l'origine delle informazioni per l'osservabile.
Data di scadenza	Numero intero	N/D	No	Specifica la data di scadenza in giorni per l'osservabile. Se non viene specificato nulla, l'azione creerà un osservabile che non scadrà mai.
ID cerchie attendibili	CSV	N/D	No	Specifica l'elenco separato da virgole degli ID cerchia attendibili. Gli indicatori verranno condivisi con queste cerchie attendibili.
TLP	DDL	Selezionane uno Valori possibili: Selezionane uno Rosso Verde Ambra Bianco	No	Specifica il TLP per gli indicatori.
Confidenza	Numero intero	N/D	No	Specifica il livello di confidenza per l'osservabile. Nota: questo parametro funzionerà solo se crei osservabili nella tua organizzazione e richiede l'attivazione di Override System Confidence.
Override della confidenza del sistema	Casella di controllo	Deselezionata	No	Se abilitata, gli osservabili creati avranno la confidenza specificata nel parametro Confidenza. Nota: quando questo parametro è attivato, non puoi condividere gli indicatori in cerchie attendibili e pubblicamente.
Invio anonimo	Casella di controllo	Deselezionata	No	Se abilitata, l'azione effettuerà un invio anonimo.
Tag	CSV	N/D	No	Specifica un elenco separato da virgole di tag da aggiungere all'osservabile.

Pubblica su

Questa azione viene eseguita sulle seguenti entità:

Hash
Indirizzo IP
URL
Email

Risultati dell'azione

Risultato dello script

Nome del risultato dello script	Opzioni del valore	Esempio
is_success	Vero o falso	is_success:False

Risultato JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Bacheca casi

Tipo di risultato Descrizione Tipo

Messaggio di output*

Tipo di risultato	Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If successful and at least one hash across entities is found(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) If fails to enrich some entities (rejected entities) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata inviata correttamente ad Anomali ThreatStream." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia osservabili". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 400: "Errore durante l'esecuzione dell'azione "Invia osservabili". Motivo: {0}''.format(message)	Generale
	Link: `https://siemplify.threatstream.com/import/review/{jobid}`	Entità

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

If successful and at least one hash across entities is found(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list)

If fails to enrich some entities (rejected entities) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se l'arricchimento non va a buon fine per tutte le entità (is_success=false): "Nessuna entità è stata inviata correttamente ad Anomali ThreatStream."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia osservabili". Motivo: {0}''.format(error.Stacktrace)

Se viene segnalato il codice di stato 400: "Errore durante l'esecuzione dell'azione "Invia osservabili". Motivo: {0}''.format(message)

Generale

Link:

https://siemplify.threatstream.com/import/review/{jobid}

Entità

Connettori

Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Anomali ThreatStream - Observables Connector

Estrai gli indicatori da Anomali ThreatStream.

I nomi delle fonti vengono utilizzati nell'elenco dinamico.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome campo prodotto	Stringa	Nome prodotto	Sì	Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è `Product Name`.
Nome campo evento	Stringa	tipo	Sì	Il nome del campo che determina il nome (sottotipo) dell'evento.
Nome campo ambiente	Stringa	""	No	Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito.
`Environment Regex Pattern`	Stringa	.*	No	Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` non elaborato richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
Timeout dello script (secondi)	Numero intero	300	Sì	Limite di timeout per il processo Python che esegue lo script corrente.
Root API	Stringa	https://api.threatstream.com	Sì	Radice API dell'istanza Anomali ThreatStream.
Indirizzo email	Stringa	N/D	Sì	Indirizzo email dell'account Anomali ThreatStream.
Chiave API	Password	N/D	Sì	Chiave API dell'account Anomali ThreatStream.
Gravità minima da recuperare	Stringa	Alta	Sì	La gravità più bassa che verrà utilizzata per recuperare gli osservabili. Valori possibili: Bassa Media Alta Molto alto
Confidenza minima per il recupero	Numero intero	50	Sì	Il livello di confidenza più basso che verrà utilizzato per recuperare gli osservabili. Il valore massimo è `100`.
Filtro feed di origine	CSV	N/D	No	Elenco separato da virgole di ID feed da utilizzare per l'importazione di osservabili, ad esempio `515,4129`.
Filtro tipo di osservabile	CSV	URL, dominio, email, hash, ip, ipv6	No	Elenco separato da virgole dei tipi osservabili da inserire, ad esempio `URL, domain`. Valori possibili: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filtro stato osservabile	CSV	attivo	No	Elenco separato da virgole di stati osservabili da utilizzare per l'importazione di nuovi dati, ad esempio `active,inactive` Valori possibili: `active`, `inactive`, `falsepos` .
Filtro Tipo di minaccia	CSV	N/D	No	Elenco separato da virgole dei tipi di minaccia da utilizzare per l'importazione di osservabili, ad esempio `adware,anomalous,anonymization,apt`. Valori possibili: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filtro Cerchie attendibili	CSV	N/D	No	Elenco separato da virgole di ID cerchia attendibili da utilizzare per l'importazione di osservabili, ad esempio `146,147`.
Filtro per nome tag	CSV	N/D	No	Elenco separato da virgole dei nomi dei tag associati agli osservabili che devono essere utilizzati per l'importazione, ad esempio `Microsoft Credentials, Phishing`.
Raggruppamento dei feed di origine	Casella di controllo	Deselezionata	No	Se attivato, il connettore raggruppa gli osservabili della stessa origine nello stesso avviso Google SecOps.
Recupera giorni massimi a ritroso	Numero intero	1	No	Il numero di giorni precedenti a oggi per recuperare gli osservabili. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto.
Numero massimo di osservabili per avviso	Numero intero	100	No	Il numero di osservabili da includere in un avviso di Google SecOps. Il massimo consentito è 200.
`Use whitelist as a blacklist`	Casella di controllo	Deselezionata	Sì	Se selezionato, il connettore utilizza l'elenco dinamico come blocklist.
Verifica SSL	Casella di controllo	Deselezionata	Sì	Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Anomali ThreatStream.
Indirizzo del server proxy	Stringa	N/D	No	L'indirizzo del server proxy da utilizzare.
Nome utente proxy	Stringa	N/D	No	Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy	Password	N/D	No	La password del proxy per l'autenticazione.

Regole del connettore

Il connettore supporta i proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.