Esta página foi traduzida pela API Cloud Translation.

Integre o Anomali ThreatStream com o Google SecOps

Este documento descreve como integrar o Anomali ThreatStream com o Google Security Operations (Google SecOps).

Versão da integração: 11.0

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da Web	String	https://siemplify.threatstream.com	Sim	Raiz Web da instância do Anomali ThreatStream. Este parâmetro é usado para criar links de relatórios em itens de integração.
Raiz da API	String	https://api.threatstream.com	Sim	Raiz da API da instância do Anomali ThreatStream.
Endereço de email	String	N/A	Sim	Endereço de email da conta do Anomali ThreatStream.
Chave de API	Palavra-passe	N/A	Sim	Chave da API da conta do Anomali ThreatStream.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Anomali ThreatStream é válido.

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.

Adicione etiquetas a entidades

Adicione etiquetas a entidades no Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Etiquetas	CSV	N/A	Sim	Especifique uma lista de etiquetas separadas por vírgulas que têm de ser adicionadas a entidades no Anomali ThreatStream.

Executar em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado pelo menos um hash nas entidades (is_success=true): "Foram adicionadas etiquetas com êxito às seguintes entidades no Anomali ThreatStream:\n{0}".format(entity.identifier list) Se não forem encontradas entidades específicas (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não forem encontradas todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi encontrada." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar etiquetas a entidades". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado pelo menos um hash nas entidades (is_success=true): "Foram adicionadas etiquetas com êxito às seguintes entidades no Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se não forem encontradas entidades específicas (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não forem encontradas todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi encontrada."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar etiquetas a entidades". Motivo: {0}''.format(error.Stacktrace)

Geral

Enriqueça entidades

Recupere informações sobre IPs, URLs, hashes e endereços de email do Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de gravidade	LDD	Baixo Valores possíveis: Muito alto Alto Médio Baixo	Sim	Especifique qual deve ser o limite de gravidade para a entidade, de modo a marcá-la como suspeita. Se forem encontrados vários registos para a mesma entidade, a ação vai ter a gravidade mais elevada de todos os registos disponíveis.
Limite de confiança	Número inteiro	N/A	Sim	Especifique qual deve ser o limiar de confiança para a entidade, de modo a marcá-la como suspeita. Nota: o máximo é 100. Se forem encontrados vários registos para a entidade, a ação vai usar a média. Os registos ativos têm prioridade.
Ignore o estado de falso positivo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação ignora o estado de falso positivo e marca a entidade como suspeita com base no limite de gravidade e no limite de confiança. Se estiver desativada, a ação nunca etiqueta entidades de falsos positivos como suspeitas, independentemente de cumprirem ou não as condições do limite de gravidade e do "Limite de confiança".
Adicionar tipo de ameaça ao registo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação adiciona tipos de ameaças da entidade de todos os registos como etiquetas ao registo. Exemplo: apt
Apenas estatísticas de entidades suspeitas	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a ação cria estatísticas apenas para entidades que excederam o limite de gravidade e o limite de confiança.
Crie estatísticas	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a ação adiciona uma estatística por entidade processada.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Enriquecimento de entidades

Nome do campo de enriquecimento	Lógica: quando aplicar
id	Quando estiver disponível em JSON
estado	Quando estiver disponível em JSON
itype	Quando estiver disponível em JSON
expiration_time	Quando estiver disponível em JSON
ip	Quando estiver disponível em JSON
feed_id	Quando estiver disponível em JSON
confiança	Quando estiver disponível em JSON
uuid	Quando estiver disponível em JSON
retina_confidence	Quando estiver disponível em JSON
trusted_circle_ids	Quando estiver disponível em JSON
fonte	Quando estiver disponível em JSON
latitude	Quando estiver disponível em JSON
escrever	Quando estiver disponível em JSON
descrição	Quando estiver disponível em JSON
etiquetas	Quando estiver disponível em JSON
threat_score	Quando estiver disponível em JSON
source_confidence	Quando estiver disponível em JSON
modification_time	Quando estiver disponível em JSON
org_name	Quando estiver disponível em JSON
asn	Quando estiver disponível em JSON
creation_time	Quando estiver disponível em JSON
tlp	Quando estiver disponível em JSON
country	Quando estiver disponível em JSON
longitude	Quando estiver disponível em JSON
gravidade	Quando estiver disponível em JSON
subtype	Quando estiver disponível em JSON
relatório	Quando estiver disponível em JSON

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list) If failed to enrich specific entities (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral
Tabela de parede da caixa	Nome da tabela: links de análise relacionados: {entity_identifier} Colunas da tabela: Nome Link	Geral
Tabela de parede da caixa	Chaves baseadas na tabela de enriquecimento	Entidade

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida (is_success=true): "Successfully enriched the following entities using Anomali ThreatStream: \n {0}".format(entity.identifier list)

If failed to enrich specific entities (is_success=true): "Action was not able to enrich the following entities using Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enriquecida."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor de "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Tabela de parede da caixa

Nome da tabela: links de análise relacionados: {entity_identifier}

Colunas da tabela:

Nome
Link

Geral

Tabela de parede da caixa

Chaves baseadas na tabela de enriquecimento

Entidade

Obtenha associações relacionadas

Obtenha associações relacionadas com entidades do Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Campanhas de retorno	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter campanhas relacionadas e detalhes sobre as mesmas.
Devolver boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter boletins de ameaças relacionados e detalhes sobre os mesmos.
Return Actors	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter atores relacionados e detalhes sobre os mesmos.
Padrões de ataque de retorno	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter padrões de ataque relacionados e detalhes sobre os mesmos.
Devolva cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter cursos de ação relacionados e detalhes sobre os mesmos.
Identidades de retorno	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter identidades relacionadas e detalhes sobre as mesmas.
Incidentes de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter incidentes relacionados e detalhes sobre os mesmos.
Infraestrutura de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter a infraestrutura relacionada e os respetivos detalhes.
Devolva conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter conjuntos de intrusão relacionados e detalhes sobre os mesmos.
Software malicioso de retorno	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter software malicioso relacionado e detalhes sobre o mesmo.
Assinaturas de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter assinaturas relacionadas e detalhes sobre as mesmas.
Ferramentas de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter ferramentas relacionadas e detalhes sobre as mesmas.
Devolva TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter TTPs relacionados e detalhes sobre os mesmos.
Vulnerabilidades de devolução	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai obter vulnerabilidades relacionadas e detalhes sobre as mesmas.
Criar entidade de campanha	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de campanhas disponíveis.
Crie uma entidade de atores	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de atores disponíveis.
Crie uma entidade de assinatura	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de assinaturas disponíveis.
Crie uma entidade de vulnerabilidade	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria uma entidade a partir das associações de vulnerabilidades disponíveis.
Crie estatísticas	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação cria uma estatística com base nos resultados.
Crie uma etiqueta de registo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação cria etiquetas de registos com base nos resultados.
Número máximo de associações a devolver	Número inteiro	5	Não	Especifique o número de associações a devolver por tipo. Predefinição: 5
Max Statistics To Return	Número inteiro	3	Não	Especifique quantos resultados de estatísticas principais relativos a IOCs devem ser devolvidos. Nota: a ação processa, no máximo, 1000 IOCs relacionados com a associação. Se fornecer `0`, a ação não tenta obter informações de estatísticas.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Resultado JSON

{
    "campaign": [
        {
            "name": "Example 1",
            "id": 1
        },
        {
            "name": "Example 2",
            "id": 2
        }
    ],
    "actor": [
        {
            "name": "Actor 1",
            "id": 1
        },
        {
            "name": "Actor 2",
            "id": 2
        }
    ],
    "attackpattern": [
        {
            "name": "Pattern 1",
            "id": 1
        },
        {
            "name": "Pattern 2",
            "id": 2
        }
    ],
    "courseofaction": [
        {
            "name": "Course of Action 1",
            "id": 1
        },
        {
            "name": "Course Of Action 2",
            "id": 2
        }
    ],
    "identity": [
        {
            "name": "Identity 1",
            "id": 1
        },
        {
            "name": "Identity 2",
            "id": 2
        }
    ],
    "incident": [
        {
            "name": "Incident 1",
            "id": 1
        },
        {
            "name": "Incident 2",
            "id": 2
        }
    ],
    "infrastructure": [
        {
            "name": "Infrustructure 1",
            "id": 1
        },
        {
            "name": "Infrustructure 2",
            "id": 2
        }
    ],
    "intrusionset": [
        {
            "name": "Intrusion set 1",
            "id": 1
        },
        {
            "name": "Intrusion set 2",
            "id": 2
        }
    ],
    "malware": [
        {
            "name": "Malware 1",
            "id": 1
        },
        {
            "name": "Malware 2",
            "id": 2
        }
    ],
    "signature": [
        {
            "name": "Signature 1",
            "id": 1
        },
        {
            "name": "Signature 2",
            "id": 2
        }
    ],
    "tool": [
        {
            "name": "Tool 1",
            "id": 1
        },
        {
            "name": "Tool 2",
            "id": 2
        }
    ],
    "ttp": [
        {
            "name": "TTP 1",
            "id": 1
        },
        {
            "name": "TTP 2",
            "id": 2
        }
    ],
    "vulnerability": [
        {
            "name": "Vulnerability 1",
            "id": 1
        },
        {
            "name": "Vulnerability 2",
            "id": 2
        }
    ],
}

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrada, pelo menos, uma associação entre entidades (is_success=true): "Associações relacionadas obtidas com êxito a partir do Anomali ThreatStream" Se não forem encontradas associações (is_success=false): "Não foram encontradas associações relacionadas." Mensagem assíncrona: "A aguardar a obtenção de todos os detalhes da associação" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela de parede da caixa	Nome da tabela: "Associações relacionadas" Colunas da tabela: ID Nome Tipo Estado

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrada, pelo menos, uma associação entre entidades (is_success=true): "Associações relacionadas obtidas com êxito a partir do Anomali ThreatStream"

Se não forem encontradas associações (is_success=false): "Não foram encontradas associações relacionadas."

Mensagem assíncrona: "A aguardar a obtenção de todos os detalhes da associação"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Association". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela de parede da caixa

Nome da tabela: "Associações relacionadas"

Colunas da tabela:

ID
Nome
Tipo
Estado

Get Related Entities

Obtenha entidades relacionadas com base nas associações no Anomali ThreatStream.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de confiança	Número inteiro	N/A	Sim	Especifique qual deve ser o limiar de confiança. O máximo é 100.
Pesquise boletins de ameaças	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre os boletins de ameaças.
Pesquise atores	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre os atores.
Pesquise padrões de ataque	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre padrões de ataque.
Campanhas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar campanhas de pesquisa.
Pesquise cursos de ação	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre as linhas de ação.
Pesquise identidades	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre identidades.
Pesquisar incidentes	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre incidentes.
Infraestruturas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre infraestruturas.
Pesquise conjuntos de intrusão	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre conjuntos de intrusão.
Pesquise software malicioso	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa software malicioso.
Pesquise assinaturas	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre as assinaturas.
Ferramentas de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação pesquisa entre as ferramentas.
Pesquise TTPs	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação vai pesquisar entre os ttps.
Vulnerabilidades de pesquisa	Caixa de verificação	Marcado	Não	Se estiver ativado, a ação vai pesquisar entre vulnerabilidades.
Máximo de entidades a devolver	Número inteiro	50	Não	Especifique quantas entidades devolver por tipo de entidade.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email (entidade de utilizador que corresponde à regex de email)
Interveniente responsável pela ameaça
CVE

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Resultado JSON

{
"{}_hashes.format(subtype)": [""],
"all_hashes": ["md5hash_1"],
"domains": [""]
"urls": []
"emails": []
"ips": []
}

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e for encontrado pelo menos um hash em todas as entidades (is_success=true): "Hashes relacionados obtidos com êxito do Anomali ThreatStream" Se não forem encontradas hashes (is_success=false): "Não foram encontradas hashes relacionadas." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor do "Limite de confiança" deve estar no intervalo de 0 a 100."	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e for encontrado pelo menos um hash em todas as entidades (is_success=true): "Hashes relacionados obtidos com êxito do Anomali ThreatStream"

Se não forem encontradas hashes (is_success=false): "Não foram encontradas hashes relacionadas."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Related Hashes". Motivo: {0}''.format(error.Stacktrace)

Se o parâmetro "Limite de confiança" não estiver no intervalo de 0 a 100: "O valor do "Limite de confiança" deve estar no intervalo de 0 a 100."

Geral

Tchim-tchim

Teste a conetividade ao Anomali ThreatStream.

Parâmetros

N/A

É apresentado em

Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao servidor do Anomali ThreatStream com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido:"Falha ao estabelecer ligação ao servidor do Anomali ThreatStream! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação estabelecida com êxito ao servidor do Anomali ThreatStream com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido:"Falha ao estabelecer ligação ao servidor do Anomali ThreatStream! O erro é {0}".format(exception.stacktrace)

Geral

Remova etiquetas de entidades

Remova etiquetas de entidades no Anomali ThreatStream. Entidades suportadas: hash, URL, endereço IP, endereço de email (entidade de utilizador que corresponde à expressão regular de email).

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Etiquetas	CSV	N/A	Sim	Especifique uma lista de etiquetas separadas por vírgulas que têm de ser removidas das entidades no Anomali ThreatStream.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma etiqueta for removida de uma entidade (is_success=true): "As seguintes etiquetas foram removidas com êxito da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags) Se não for encontrada uma etiqueta para uma entidade (is_success=true): "As seguintes etiquetas já não faziam parte da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags) Se não forem encontradas todas as etiquetas para uma entidade (is_success=true): "Nenhuma das etiquetas fornecidas fazia parte da entidade "{entity.identifier}" no Anomali ThreatStream." Se não for encontrada uma entidade (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não forem encontradas todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi encontrada." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Remover etiquetas de entidades". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido e, pelo menos, uma etiqueta for removida de uma entidade (is_success=true): "As seguintes etiquetas foram removidas com êxito da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags)

Se não for encontrada uma etiqueta para uma entidade (is_success=true): "As seguintes etiquetas já não faziam parte da entidade "{entity.identifier}" no Anomali ThreatStream:\n{0}".format(tags)

Se não forem encontradas todas as etiquetas para uma entidade (is_success=true): "Nenhuma das etiquetas fornecidas fazia parte da entidade "{entity.identifier}" no Anomali ThreatStream."

Se não for encontrada uma entidade (is_success=true): "As seguintes entidades não foram encontradas no Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não forem encontradas todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi encontrada."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Remover etiquetas de entidades". Motivo: {0}''.format(error.Stacktrace)

Geral

Denunciar como falso positivo

Denunciar entidades no Anomali ThreatStream como falsos positivos. Entidades suportadas: hash, URL, endereço IP, endereço de email (entidade de utilizador que corresponde à expressão regular de email).

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Motivo	String	N/A	Sim	Especifique o motivo pelo qual quer marcar as entidades como falsos positivos.
Comentário	String	N/A	Sim	Especifique informações adicionais relacionadas com a sua decisão de marcar a entidade como falso positivo.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Endereço de email (entidade de utilizador que corresponde à regex de email)

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: If successful and at least one hash across entities is found (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list) Se não for possível marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi comunicada como falso positivo." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Comunicar como falso positivo". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

If successful and at least one hash across entities is found (is_success=true): "Successfully reported the following entities as false positive in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se não for possível marcar entidades específicas (is_success=true): "Action was not able to report the following entities as false positive in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não for possível enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi comunicada como falso positivo."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Comunicar como falso positivo". Motivo: {0}''.format(error.Stacktrace)

Geral

Envie observáveis

Envie um elemento observável para o Anomali ThreatStream com base em entidades de IP, URL, hash e email. Entidades suportadas: hash, URL, endereço IP, endereço de email (entidade de utilizador que corresponde à expressão regular de email).

Onde encontrar IDs de círculos fidedignos

Para encontrar o ID de um círculo fidedigno, localize o círculo fidedigno no Anomali ThreatStream e clique no respetivo nome. O URL apresentado na barra de endereço mostra o ID, como https://siemplify.threatstream.com/search?trustedcircles=13.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Classificação	LDD	Privado Valores possíveis: Público Privado	Sim	Especifique a classificação do observável.
Tipo de ameaça	LDD	APT Valores possíveis APT Adware Anómalo Anonimização Bot Brute C2 Comprometido Criptomoedas Fuga de dados DDOS DNS dinâmico Exfil Exploração Fraude Ferramenta de pirataria I2P Informativas Software malicioso P2P Parqueado Phish A digitalizar Dolinas Redes sociais Spam Suprimir Suspeito TOR VPS	Sim	Especifique o tipo de ameaça para os dados observáveis.
Origem	String	Siemplify	Não	Especifique a origem de informações para o observável.
Data de validade	Número inteiro	N/A	Não	Especifique a data de validade em dias para o observável. Se nada for especificado aqui, a ação cria um objeto observável que nunca expira.
IDs do círculo fidedigno	CSV	N/A	Não	Especifique a lista de IDs de círculos fidedignos separados por vírgulas. Os dados observáveis são partilhados com esses círculos fidedignos.
TLP	LDD	Selecione uma opção Valores possíveis: Selecione uma opção Vermelho Verde Âmbar Branco	Não	Especifique o TLP para os seus observáveis.
Confiança	Número inteiro	N/A	Não	Especifique qual deve ser a confiança para o observável. Nota: este parâmetro só funciona se criar observáveis na sua organização e requer que a confiança do sistema de substituição esteja ativada.
Substituir confiança do sistema	Caixa de verificação	Desmarcado	Não	Se estiver ativado, os observáveis criados têm a confiança especificada no parâmetro Confidence. Nota: não pode partilhar observáveis em círculos fidedignos nem publicamente quando este parâmetro está ativado.
Envio anónimo	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação faz um envio anónimo.
Etiquetas	CSV	N/A	Não	Especifique uma lista de etiquetas separadas por vírgulas que quer adicionar ao observável.

É apresentado em

Esta ação é executada nas seguintes entidades:

Hash
Endereço IP
URL
Email

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Resultado JSON

approved_jobs = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]
    jobs_with_excluded_entities = [
    {
        "id":,
        "entity": {entity.identifier}
    }
]

Parede da caixa

Tipo de resultado Descrição Tipo

Mensagem de saída*

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: If successful and at least one hash across entities is found(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list) Se não conseguir enriquecer algumas entidades (entidades rejeitadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier]) Se não conseguir enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada com êxito para o Anomali ThreatStream." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 400: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(message)	Geral
	Link: `https://siemplify.threatstream.com/import/review/{jobid}`	Entidade

A ação não deve falhar nem parar a execução de um guia interativo:

If successful and at least one hash across entities is found(is_success=true): "Successfully submitted and approved the following entities in Anomali ThreatStream:\n{0}".format(entity.identifier list)

Se não conseguir enriquecer algumas entidades (entidades rejeitadas) (is_success=true): "Action was not able to successfully submit and approve the following entities in Anomali ThreatStream\n: {0}".format([entity.identifier])

Se não conseguir enriquecer todas as entidades (is_success=false): "Nenhuma entidade foi enviada com êxito para o Anomali ThreatStream."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(error.Stacktrace)

Se for comunicado o código de estado 400: "Erro ao executar a ação "Enviar observáveis". Motivo: {0}''.format(message)

Geral

Link:

https://siemplify.threatstream.com/import/review/{jobid}

Entidade

Conetores

Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

Anomali ThreatStream - Observables Connector

Extraia observáveis do Anomali ThreatStream.

Os nomes das fontes são usados na lista dinâmica.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é `Product Name`.
Nome do campo de evento	String	escrever	Sim	O nome do campo que determina o nome do evento (subtipo).
Nome do campo do ambiente	String	""	Não	O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido.
`Environment Regex Pattern`	String	.*	Não	Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido.
Limite de tempo do script (segundos)	Número inteiro	300	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://api.threatstream.com	Sim	Raiz da API da instância do Anomali ThreatStream.
Endereço de email	String	N/A	Sim	Endereço de email da conta do Anomali ThreatStream.
Chave de API	Palavra-passe	N/A	Sim	Chave da API da conta do Anomali ThreatStream.
Gravidade mais baixa a obter	String	Alto	Sim	Gravidade mais baixa que vai ser usada para obter observáveis. Valores possíveis: Baixo Médio Alto Muito alta
Nível de confiança mais baixo para obter	Número inteiro	50	Sim	Nível de confiança mais baixo que vai ser usado para obter dados observáveis. O máximo é `100`.
Filtro de feed de origem	CSV	N/A	Não	Lista de IDs de feeds separados por vírgulas que devem ser usados para carregar observáveis, como `515,4129`.
Filtro de tipo observável	CSV	URL, domínio, email, hash, ip, ipv6	Não	Lista separada por vírgulas de tipos observáveis que devem ser carregados, como `URL, domain`. Valores possíveis: `URL`, `domain`, `email`, `hash`, `ip`, `ipv6`
Filtro de estado observável	CSV	ativo	Não	Lista separada por vírgulas do estado observável que deve ser usado para carregar novos dados, como `active,inactive` Valores possíveis: `active`, `inactive`, `falsepos` .
Filtro de tipo de ameaça	CSV	N/A	Não	Lista separada por vírgulas de tipos de ameaças que devem ser usados para carregar observáveis, como `adware,anomalous,anonymization,apt`. Valores possíveis: `adware`, `anomalous`, `anonymization`, `apt`, `bot`, `brute`, `c2`, `compromised`, `crypto`, `data_leakage`, `ddos`, `dyn_dns`, `exfil`, `exploit`, `fraud`, `hack_tool`, `i2p`, `informational`, `malware`, `p2p`, `parked`, `phish`, `scan`, `sinkhole`, `spam`, `suppress`, `suspicious`, `tor`, `vps`
Filtro de círculo fidedigno	CSV	N/A	Não	Lista de IDs de círculos fidedignos separados por vírgulas que devem ser usados para carregar observáveis, como `146,147`.
Filtro de nome da etiqueta	CSV	N/A	Não	Lista separada por vírgulas de nomes de etiquetas associados a observáveis que devem ser usados com o carregamento, como `Microsoft Credentials, Phishing`.
Agrupamento de feeds de origem	Caixa de verificação	Desmarcado	Não	Se estiver ativada, o conector agrupa os dados observáveis da mesma origem no mesmo alerta do Google SecOps.
Fetch Max Days Backwards	Número inteiro	1	Não	O número de dias anteriores à data atual para obter os dados observáveis. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada.
Máximo de observáveis por alerta	Número inteiro	100	Não	O número de observáveis a incluir num alerta do Google SecOps. O máximo permitido é 200.
`Use whitelist as a blacklist`	Caixa de verificação	Desmarcado	Sim	Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios.
Validar SSL	Caixa de verificação	Desmarcado	Sim	Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Anomali ThreatStream.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.

Regras de conector

O conetor suporta proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.