Anomali ThreatStream を Google SecOps と統合する
このドキュメントでは、Anomali ThreatStream を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 11.0
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ウェブ ルート | 文字列 | https://siemplify.threatstream.com | はい | Anomali ThreatStream インスタンスのウェブ ルート。 このパラメータは、統合アイテム間でレポートリンクを作成するために使用されます。 |
| API ルート | 文字列 | https://api.threatstream.com | はい | Anomali ThreatStream インスタンスの API ルート。 |
| メールアドレス | 文字列 | なし | はい | Anomali ThreatStream アカウントのメールアドレス。 |
| API キー | パスワード | なし | はい | Anomali ThreatStream アカウントの API キー。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Anomali ThreatStream サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティにタグを追加する
Anomali ThreatStream のエンティティにタグを追加します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | CSV | なし | はい | Anomali ThreatStream のエンティティに追加する必要があるタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Anomali ThreatStream の次のエンティティにタグが正常に追加されました:\n{0}」.format(entity.identifier リスト) 特定のエンティティが見つからない場合(is_success=true): 「次のエンティティが Anomali ThreatStream で見つかりませんでした\n: {0}」.format([entity.identifier]) すべてのエンティティが見つからない場合(is_success=false):「指定されたエンティティが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティにタグを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
エンティティを拡充する
Anomali ThreatStream から IP、URL、ハッシュ、メールアドレスに関する情報を取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 重大度のしきい値 | DDL | 低 値は次のいずれかです。
|
はい | エンティティを不審としてマークするための重大度のしきい値を指定します。同じエンティティに対して複数のレコードが見つかった場合、アクションでは利用可能なすべてのレコードの中で最も重大度の高いレコードが使用されます。 |
| 信頼度のしきい値 | Integer | なし | はい | エンティティを不審としてマークするために、エンティティの信頼度のしきい値を指定します。注: 最大値は 100 です。エンティティに複数のレコードが見つかった場合、アクションは平均値を取得します。有効なレコードが優先されます。 |
| Ignore False Positive Status(誤検知ステータスを無視) | チェックボックス | オフ | いいえ | 有効の場合、アクションは誤検出のステータスを無視し、重大度しきい値と信頼度しきい値に基づいてエンティティを不審としてマークします。無効の場合、アクションは、重大度しきい値と信頼度しきい値の条件を満たしているかどうかに関係なく、誤検出のエンティティを不審としてマークしません。 |
| ケースに脅威の種類を追加 | チェックボックス | オフ | いいえ | 有効にすると、アクションによって、すべてのレコードからエンティティの脅威タイプがタグとしてケースに追加されます。例: apt |
| 不審なエンティティのインサイトのみ | チェックボックス | オフ | はい | 有効にした場合、アクションによって重大度のしきい値と信頼度のしきい値を超えたエンティティに関するインサイトのみが作成されます。 |
| インサイトの作成 | チェックボックス | オフ | はい | 有効にすると、処理されたエンティティごとに分析情報が追加されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| id | JSON で利用可能な場合 |
| 設定されます。 | JSON で利用可能な場合 |
| itype | JSON で利用可能な場合 |
| expiration_time | JSON で利用可能な場合 |
| ip | JSON で利用可能な場合 |
| feed_id | JSON で利用可能な場合 |
| confidence | JSON で利用可能な場合 |
| uuid | JSON で利用可能な場合 |
| retina_confidence | JSON で利用可能な場合 |
| trusted_circle_ids | JSON で利用可能な場合 |
| ソース | JSON で利用可能な場合 |
| latitude | JSON で利用可能な場合 |
| type | JSON で利用可能な場合 |
| 説明 | JSON で利用可能な場合 |
| tags | JSON で利用可能な場合 |
| threat_score | JSON で利用可能な場合 |
| source_confidence | JSON で利用可能な場合 |
| modification_time | JSON で利用可能な場合 |
| org_name | JSON で利用可能な場合 |
| asn | JSON で利用可能な場合 |
| creation_time | JSON で利用可能な場合 |
| tlp | JSON で利用可能な場合 |
| country | JSON で利用可能な場合 |
| longitude | JSON で利用可能な場合 |
| 重要度 | JSON で利用可能な場合 |
| subtype | JSON で利用可能な場合 |
| レポート | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合(is_success=true): 「Anomali ThreatStream を使用して次のエンティティを拡充しました: \n {0}」.format(entity.identifier リスト) 特定のエンティティの拡充に失敗した場合(is_success=true): 「アクションで Anomali ThreatStream を使用して次のエンティティを拡充できませんでした\n: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success=false): 「拡充されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「"エンティティの拡充" アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲にない場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
| Case Wall テーブル | テーブル名: 関連する分析リンク: {entity_identifier} テーブル列:
|
全般 |
| Case Wall テーブル | エンリッチメント テーブルに基づくキー | エンティティ |
関連付けを取得する
Anomali ThreatStream からエンティティ関連付けを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返品キャンペーン | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するキャンペーンとその詳細が取得されます。 |
| 脅威に関する公開情報を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する脅威速報とその詳細が取得されます。 |
| Return Actors | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するアクターとその詳細が取得されます。 |
| 攻撃パターンの戻り値 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する攻撃パターンとその詳細が取得されます。 |
| 対応策を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する対応策とその詳細が取得されます。 |
| ID を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する ID とその詳細が取得されます。 |
| 返品に関するインシデント | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するインシデントとその詳細が取得されます。 |
| インフラストラクチャの返品 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するインフラストラクチャとその詳細が取得されます。 |
| 侵入セットを返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する侵入セットとその詳細が取得されます。 |
| マルウェアを返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するマルウェアとその詳細が取得されます。 |
| Return Signatures | チェックボックス | オン | いいえ | 有効にすると、アクションで関連するシグネチャとその詳細が取得されます。 |
| 返品ツール | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するツールとその詳細が取得されます。 |
| 返品の TTP | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する TTP とその詳細が取得されます。 |
| 脆弱性を返す | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連する脆弱性とその詳細が取得されます。 |
| キャンペーン エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なキャンペーンの関連付けからエンティティが作成されます。 |
| アクター エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なアクターの関連付けからエンティティが作成されます。 |
| 署名エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって利用可能なシグネチャ関連付けからエンティティが作成されます。 |
| 脆弱性エンティティを作成する | チェックボックス | オフ | いいえ | 有効にすると、アクションによって、利用可能な脆弱性関連付けからエンティティが作成されます。 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションによって結果に基づいて分析情報が作成されます。 |
| Create Case Tag | チェックボックス | オフ | いいえ | 有効にすると、アクションによって結果に基づいてケースタグが作成されます。 |
| 返される関連付けの最大数 | Integer | 5 | いいえ | タイプごとに返される関連付けの数を指定します。デフォルト: 5 |
| 返される統計情報の最大数 | Integer | 3 | いいえ | IOC に関する上位の統計結果を返す数を指定します。注: このアクションでは、関連付けに関連する IOC が最大 1,000 個処理されます。0 を指定すると、アクションは統計情報の取得を試行しません。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"campaign": [
{
"name": "Example 1",
"id": 1
},
{
"name": "Example 2",
"id": 2
}
],
"actor": [
{
"name": "Actor 1",
"id": 1
},
{
"name": "Actor 2",
"id": 2
}
],
"attackpattern": [
{
"name": "Pattern 1",
"id": 1
},
{
"name": "Pattern 2",
"id": 2
}
],
"courseofaction": [
{
"name": "Course of Action 1",
"id": 1
},
{
"name": "Course Of Action 2",
"id": 2
}
],
"identity": [
{
"name": "Identity 1",
"id": 1
},
{
"name": "Identity 2",
"id": 2
}
],
"incident": [
{
"name": "Incident 1",
"id": 1
},
{
"name": "Incident 2",
"id": 2
}
],
"infrastructure": [
{
"name": "Infrustructure 1",
"id": 1
},
{
"name": "Infrustructure 2",
"id": 2
}
],
"intrusionset": [
{
"name": "Intrusion set 1",
"id": 1
},
{
"name": "Intrusion set 2",
"id": 2
}
],
"malware": [
{
"name": "Malware 1",
"id": 1
},
{
"name": "Malware 2",
"id": 2
}
],
"signature": [
{
"name": "Signature 1",
"id": 1
},
{
"name": "Signature 2",
"id": 2
}
],
"tool": [
{
"name": "Tool 1",
"id": 1
},
{
"name": "Tool 2",
"id": 2
}
],
"ttp": [
{
"name": "TTP 1",
"id": 1
},
{
"name": "TTP 2",
"id": 2
}
],
"vulnerability": [
{
"name": "Vulnerability 1",
"id": 1
},
{
"name": "Vulnerability 2",
"id": 2
}
],
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つの関連付けが見つかった場合(is_success=true): 「Anomali ThreatStream から関連する関連付けが正常に取得されました」 関連付けが見つからない場合(is_success=false): 「関連する関連付けが見つかりませんでした。」 非同期メッセージ: 「すべての関連付けの詳細が取得されるのを待機しています」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「関連付けの取得操作のエラー」。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: 「関連付け」 テーブル列:
|
関連エンティティを取得する
Anomali ThreatStream の関連付けに基づいて関連エンティティを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 信頼度のしきい値 | Integer | なし | はい | 信頼度のしきい値を指定します。最大値は 100 です。 |
| 脅威に関する公開情報を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによって脅威速報が検索されます。 |
| アクターを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによってアクターが検索されます。 |
| 攻撃パターンを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによって攻撃パターンが検索されます。 |
| 検索キャンペーン | チェックボックス | オン | いいえ | 有効にすると、アクションは検索キャンペーンを検索します。 |
| 一連のアクションを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによって対応策が検索されます。 |
| ID を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ID の中から検索します。 |
| インシデントを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによってインシデントが検索されます。 |
| 検索インフラストラクチャ | チェックボックス | オン | いいえ | 有効にすると、アクションによってインフラストラクチャが検索されます。 |
| 侵入セットを検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは侵入セットを検索します。 |
| 検索マルウェア | チェックボックス | オン | いいえ | 有効にすると、アクションはマルウェアを検索します。 |
| 署名を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによってシグネチャが検索されます。 |
| 検索ツール | チェックボックス | オン | いいえ | 有効にすると、アクションによってツールが検索されます。 |
| TTP を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションは ttps を検索します。 |
| 脆弱性を検索する | チェックボックス | オン | いいえ | 有効にすると、アクションによって脆弱性が検索されます。 |
| 返されるエンティティの最大数 | 整数 | 50 | いいえ | エンティティ タイプごとに返されるエンティティの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール(メールの正規表現に一致するユーザー エンティティ)
- 脅威アクター
- CVE
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Anomali ThreatStream から関連するハッシュが正常に取得されました」 ハッシュが見つからない場合(is_success=false):「関連するハッシュが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「関連ハッシュの取得操作のエラー」。理由: {0}」.format(error.Stacktrace) 「信頼度しきい値」パラメータが 0 ~ 100 の範囲外の場合:「「信頼度しきい値」の値は 0 ~ 100 の範囲にする必要があります。」 |
全般 |
Ping
Anomali ThreatStream への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Anomali ThreatStream サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Anomali ThreatStream サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
エンティティからタグを削除する
Anomali ThreatStream のエンティティからタグを削除します。サポートされるエンティティ: ハッシュ、URL、IP アドレス、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | CSV | なし | はい | Anomali ThreatStream のエンティティから削除する必要があるタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、少なくとも 1 つのタグが 1 つのエンティティから削除された場合(is_success=true): 「Anomali ThreatStream の「{entity.identifier}」エンティティから次のタグが正常に削除されました:\n{0}」.format(tags) 1 つのエンティティに 1 つのタグが見つからない場合(is_success=true): 「次のタグは、Anomali ThreatStream の「{entity.identifier}」エンティティの一部ではありませんでした:\n{0}」.format(tags) 1 つのエンティティのすべてのタグが見つからない場合(is_success=true): 「指定されたタグは、Anomali ThreatStream の「{entity.identifier}」エンティティの一部ではありませんでした。」 1 つのエンティティが見つからない場合(is_success=true): 「次のエンティティが Anomali ThreatStream で見つかりませんでした\n: {0}」.format([entity.identifier]) すべてのエンティティが見つからない場合(is_success=false):「指定されたエンティティが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「エンティティからタグを削除」の実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) |
全般 |
偽陽性として報告
Anomali ThreatStream でエンティティを偽陽性として報告します。サポートされるエンティティ: ハッシュ、URL、IP アドレス、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 理由 | 文字列 | なし | はい | エンティティを偽陽性としてマークする理由を指定します。 |
| コメント | 文字列 | なし | はい | エンティティを誤検出としてマークする決定に関連する追加情報を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メールアドレス(メールの正規表現に一致するユーザー エンティティ)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「次のエンティティを Anomali ThreatStream で誤検出として正常に報告しました:\n{0}」.format(entity.identifier リスト) 特定のエンティティをマークできない場合(is_success=true): 「次のエンティティを Anomali ThreatStream で誤検出として報告できませんでした: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success=false):「誤検出として報告されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなどの致命的なエラーが報告される場合、その他の情報が報告されます。: 「"誤検出として報告" という操作の実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) |
全般 |
オブザーバブルを送信する
IP、URL、ハッシュ、メール エンティティに基づいて、Anomali ThreatStream にオブザーバブルを送信します。サポートされるエンティティ: ハッシュ、URL、IP アドレス、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
信頼できるサークルの ID を確認する方法
信頼できるサークルの ID を確認するには、Anomali ThreatStream で信頼できるサークルを見つけて、その名前をクリックします。アドレスバーに表示される URL に ID(https://siemplify.threatstream.com/search?trustedcircles=13. など)が表示されます。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 分類 | DDL | 非公開 値は次のいずれかです。
|
はい | オブザーバブルの分類を指定します。 |
| 脅威の種類 | DDL | APT 指定できる値
|
はい | オブザーバブルの脅威タイプを指定します。 |
| ソース | 文字列 | Siemplify | いいえ | オブザーバブルのインテリジェンス ソースを指定します。 |
| 有効期限 | Integer | なし | いいえ | オブザーバブルの有効期限を日数で指定します。ここで何も指定しない場合、アクションは期限切れにならないオブザーバブルを作成します。 |
| 信頼できるサークル ID | CSV | なし | いいえ | 信頼できるサークル ID のカンマ区切りのリストを指定します。オブザーバブルは、信頼できるサークルと共有されます。 |
| TLP | DDL | 1 つ選択 有効な値:
|
いいえ | オブザーバブルの TLP を指定します。 |
| 信頼度 | 整数 | なし | いいえ | オブザーバブルの信頼度を指定します。注: このパラメータは、組織でオブザーバブルを作成し、システム信頼度のオーバーライドを有効にする必要がある場合にのみ機能します。 |
| Override System Confidence | チェックボックス | オフ | いいえ | 有効にすると、作成されたオブザーバブルには、信頼度パラメータで指定された信頼度が設定されます。注: このパラメータが有効になっている場合、信頼できるサークルや一般公開でオブザーバブルを共有することはできません。 |
| 匿名送信 | チェックボックス | オフ | いいえ | 有効にすると、アクションによって匿名送信が行われます。 |
| タグ | CSV | なし | いいえ | オブザーバブルに追加するタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ハッシュ
- IP アドレス
- URL
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
approved_jobs = [
{
"id":,
"entity": {entity.identifier}
}
]
jobs_with_excluded_entities = [
{
"id":,
"entity": {entity.identifier}
}
]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、エンティティ間で少なくとも 1 つのハッシュが見つかった場合(is_success=true): 「Anomali ThreatStream で次のエンティティが正常に送信され、承認されました:\n{0}」.format(entity.identifier リスト) 一部のエンティティ(拒否されたエンティティ)の拡充に失敗した場合(is_success=true): 「Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}」.format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success=false): 「Anomali ThreatStream に正常に送信されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「オブザーバブルを送信」の実行エラー。理由: {0}」.format(error.Stacktrace) 400 ステータス コードが報告された場合:「アクション「オブザーバブルを送信」の実行エラー。理由: {0}」.format(message) |
全般 |
リンク:
|
エンティティ |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Anomali ThreatStream - オブザーバブル コネクタ
Anomali ThreatStream からオブザーバブルを取得します。
ソース名は動的リストで使用されます。
信頼できるサークルの ID を確認するには、Anomali ThreatStream で信頼できるサークルを見つけて、その名前をクリックします。アドレスバーに表示される URL に、https://siemplify.threatstream.com/search?trustedcircles=13 などの ID が表示されます。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい |
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
| イベント フィールド名 | 文字列 | タイプ | はい | イベント名(サブタイプ)を特定するフィールドの名前。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 |
Environment Regex Pattern |
文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | Integer | 300 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://api.threatstream.com | はい | Anomali ThreatStream インスタンスの API ルート。 |
| メールアドレス | 文字列 | なし | はい | Anomali ThreatStream アカウントのメールアドレス。 |
| API キー | パスワード | なし | はい | Anomali ThreatStream アカウントの API キー。 |
| 取得する最も低い重大度 | 文字列 | 高 | はい | オブザーバブルの取得に使用される最も低い重大度。 値は次のいずれかです。
|
| 取得される最も低い信頼度 | Integer | 50 | はい | オブザーバブルの取得に使用される最も低い信頼度。最大値は 100 です。 |
| ソースフィード フィルタ | CSV | なし | いいえ | オブザーバブルの取り込みに使用するフィード ID のカンマ区切りのリスト(515,4129 など)。 |
| Observable Type Filter | CSV | URL、ドメイン、メール、ハッシュ、IP、IPv6 | いいえ | 取り込む必要があるオブザーバブル タイプのカンマ区切りリスト( 指定できる値: |
| Observable ステータス フィルタ | CSV | 有効 | いいえ |
指定できる値: |
| 脅威の種類のフィルタ | CSV | なし | いいえ | オブザーバブルの取り込みに使用する脅威タイプのカンマ区切りのリスト( 指定できる値: |
| 信頼できるサークル フィルタ | CSV | なし | いいえ |
|
| タグ名フィルタ | CSV | なし | いいえ | 取り込み時に sed されるべきオブザーバブルに関連付けられたタグ名のカンマ区切りのリスト(Microsoft Credentials, Phishing など)。 |
| ソースフィードのグループ化 | チェックボックス | オフ | いいえ | 有効にすると、コネクタは同じソースのオブザーバブルを同じ Google SecOps アラートにグループ化します。 |
| 遡る取得の最大日数 | Integer | 1 | いいえ | 今日より前の何日間のオブザーバブルを取得するか。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 |
| アラートあたりの最大オブザーバブル数 | Integer | 100 | いいえ | Google SecOps アラートに含めるオブザーバブルの数。許容最大値は 200 です。 |
Use whitelist as a blacklist |
チェックボックス | オフ | はい | 選択すると、コネクタは動的リストを拒否リストとして使用します。 |
| SSL を確認する | チェックボックス | オフ | はい | 選択すると、統合によって Anomali ThreatStream サーバーへの接続時に SSL 証明書が検証されます。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。