Cette page a été traduite par l'API Cloud Translation.

Cofense Triage

Version de l'intégration : 10.0

Cas d'utilisation

Ingérez les rapports Cofense Triage et utilisez-les pour créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
Enrichissement des entités associées et détails sur le rapport.
Triage du rapport.

Configurer l'intégration de Cofense Triage dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne	https://tap.phishmecloud.com	N/A	Racine de l'API de l'instance Cofense Triage.
ID client	Chaîne	N/A	Oui	ID client du compte Cofense Triage.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client du compte Cofense Triage.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Cofense Triage est valide.

Actions

Ajouter des tags à un rapport

Description

Ajoutez des tags à un rapport dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport auquel vous souhaitez ajouter des tags.
Tags	CSV	N/A	Oui	Spécifiez une liste de tags séparés par une virgule qui doivent être appliqués au rapport.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": {
        "id": "13507",
        "type": "reports",
        "links": {
            "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
        },
        "attributes": {
            "location": "Inbox",
            "risk_score": 96,
            "from_address": null,
            "subject": "Test Phishing domain",
            "received_at": "2020-10-12T21:30:54.000Z",
            "reported_at": "2020-10-12T21:30:53.000Z",
            "raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
            "text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
            "html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
            "md5": "81fe86fc9c244be978ab8b8392d3c986",
            "sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
            "match_priority": 1,
            "tags": [
                "dsa",
                "asd"
            ],
            "categorization_tags": [],
            "processed_at": null,
            "created_at": "2020-10-12T21:31:36.495Z",
            "updated_at": "2020-11-17T15:33:27.567Z"
        },
        "relationships": {
            "assignee": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
                },
                "data": null
            },
            "category": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
                },
                "data": null
            },
            "cluster": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
                },
                "data": {
                    "type": "clusters",
                    "id": "3915"
                }
            },
            "reporter": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
                },
                "data": {
                    "type": "reporters",
                    "id": "5331"
                }
            },
            "attachment_payloads": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
                }
            },
            "attachments": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
                }
            },
            "headers": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
                }
            },
            "hostnames": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
                }
            },
            "urls": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
                }
            },
            "rules": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
                }
            },
            "threat_indicators": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
                }
            }
        },
        "meta": {
            "risk_score_summary": {
                "integrations": 75,
                "vip": 5,
                "reporter": 15,
                "rules": 1
            }
        }
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully added tags to the the report with ID {0} in Cofense Triage.".format(report_id) if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to add tags to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Add Tags To Report". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully added tags to the the report with ID {0} in Cofense Triage.".format(report_id)

if unsuccessful aka status code 404(is_success = false):
print "Action wasn't able to add tags to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Add Tags To Report". Raison : {0}''.format(error.Stacktrace)

Général

Rapport "Catégoriser"

Description

Catégorisez un rapport dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport auquel vous souhaitez ajouter des tags.
Nom de la catégorie	Chaîne	N/A	Oui	Spécifiez le nom de la catégorie à appliquer au rapport. Les catégories disponibles sont listées dans l'action "List Categories" (Lister les catégories).

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": {
        "id": "13507",
        "type": "reports",
        "links": {
            "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
        },
        "attributes": {
            "location": "Inbox",
            "risk_score": 96,
            "from_address": null,
            "subject": "Test Phishing domain",
            "received_at": "2020-10-12T21:30:54.000Z",
            "reported_at": "2020-10-12T21:30:53.000Z",
            "raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
            "text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
            "html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
            "md5": "81fe86fc9c244be978ab8b8392d3c986",
            "sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
            "match_priority": 1,
            "tags": [
                "dsa",
                "asd"
            ],
            "categorization_tags": [],
            "processed_at": null,
            "created_at": "2020-10-12T21:31:36.495Z",
            "updated_at": "2020-11-17T15:33:27.567Z"
        },
        "relationships": {
            "assignee": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
                },
                "data": null
            },
            "category": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
                },
                "data": null
            },
            "cluster": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
                },
                "data": {
                    "type": "clusters",
                    "id": "3915"
                }
            },
            "reporter": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
                },
                "data": {
                    "type": "reporters",
                    "id": "5331"
                }
            },
            "attachment_payloads": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
                }
            },
            "attachments": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
                }
            },
            "headers": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
                }
            },
            "hostnames": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
                }
            },
            "urls": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
                }
            },
            "rules": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
                }
            },
            "threat_indicators": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
                }
            }
        },
        "meta": {
            "risk_score_summary": {
                "integrations": 75,
                "vip": 5,
                "reporter": 15,
                "rules": 1
            }
        }
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully updated category on the the report with ID {0} to {1} in Cofense Triage.".format(report_id, category_name) if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to update the category on the report with ID {0} to {1} in Cofense Triage. Raison : \n {2}".format(report_id, category_name, errors/detail) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Categorize Report". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully updated category on the the report with ID {0} to {1} in Cofense Triage.".format(report_id, category_name)

if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to update the category on the report with ID {0} to {1} in Cofense Triage. Raison : \n {2}".format(report_id, category_name, errors/detail)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Categorize Report". Raison : {0}''.format(error.Stacktrace)

Général

E-mail de téléchargement du rapport

Description

Téléchargez l'e-mail brut associé au rapport depuis Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport contenant l'e-mail brut à télécharger.
Dossier de téléchargement	Chaîne	N/A	Oui	Spécifiez le chemin absolu du dossier de téléchargement. Remarque : Le nom sera construit de la manière suivante : {report id}.eml.
Remplacer	Case à cocher	Cochée	Non	Si cette option est activée, l'action écrasera le fichier portant le même nom et le même chemin d'accès.
Créer un insight	Case à cocher	Décochée	Non	Si cette option est activée, l'action créera un insight contenant l'e-mail brut du rapport.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "absolute_file_path": "{filepath}"
}

Insight

Nom	Body
Rapport {ID}. E-mail brut	{content of the response. \n doit être remplacé par \ }

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully downloaded raw email related to the report with ID {0} in Cofense Triage.".format(report_id) if unsuccessful aka status code 400(is_success = false): print "Action wasn't able to download raw email related to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Download Report Email". Raison : {0}''.format(error.Stacktrace) Si un fichier portant le même nom existe et que l'option "Écraser" est définie sur "false" : "Erreur lors de l'exécution de l'action "Envoyer un rapport par e-mail". Motif : Un fichier portant ce chemin d'accès existe déjà. Veuillez le supprimer ou définir "Overwrite" sur "true"."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully downloaded raw email related to the report with ID {0} in Cofense Triage.".format(report_id)

if unsuccessful aka status code 400(is_success = false): print "Action wasn't able to download raw email related to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Download Report Email". Raison : {0}''.format(error.Stacktrace)

Si un fichier portant le même nom existe et que l'option "Écraser" est définie sur "false" : "Erreur lors de l'exécution de l'action "Envoyer un rapport par e-mail". Motif : Un fichier portant ce chemin d'accès existe déjà. Veuillez le supprimer ou définir "Overwrite" sur "true"."

Général

Télécharger l'aperçu du rapport

Description

Téléchargez l'aperçu de l'image à partir de l'e-mail lié au rapport de Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport contenant l'e-mail brut à télécharger.
Dossier de téléchargement	Chaîne	N/A	Oui	Spécifiez le chemin absolu du dossier de téléchargement. Remarque : Le nom sera construit de la manière suivante : {report id}.eml.
Remplacer	Case à cocher	Cochée	Non	Si cette option est activée, l'action écrasera le fichier portant le même nom et le même chemin d'accès.
Format de l'image	LDD	PNG Valeurs possibles : PNG JPG	Oui	Spécifiez le format de l'image.
Créer un insight	Case à cocher	Décochée	Non	Si cette option est activée, l'action créera un insight contenant l'e-mail brut du rapport.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "absolute_file_path": "{filepath}"
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success=true) : "Successfully downloaded preview related to the report with ID {0} in Cofense Triage.".format(report_id) Si l'opération échoue (code d'état 400, is_success=false) : "L'action n'a pas pu télécharger un aperçu du rapport portant l'ID {0} dans Cofense Triage. Motif : \n {1}".format(report_id, errors/detail) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Télécharger l'aperçu du rapport". Raison : {0}''.format(error.Stacktrace) Si un fichier portant le même nom existe et que l'option "Écraser" est définie sur "false" : "Erreur lors de l'exécution de l'action "Envoyer un rapport par e-mail". Motif : Un fichier portant ce chemin d'accès existe déjà. Veuillez le supprimer ou définir "Overwrite" sur "true"."	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit (is_success=true) : "Successfully downloaded preview related to the report with ID {0} in Cofense Triage.".format(report_id)

Si l'opération échoue (code d'état 400, is_success=false) : "L'action n'a pas pu télécharger un aperçu du rapport portant l'ID {0} dans Cofense Triage. Motif : \n {1}".format(report_id, errors/detail)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Télécharger l'aperçu du rapport". Raison : {0}''.format(error.Stacktrace)

Général

URL d'enrichissement

Description

Renvoie des informations sur l'URL à partir de Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Seuil du score de risque	Integer	50	Oui	Spécifiez le seuil de score de risque à partir duquel Google SecOps doit marquer l'URL comme suspecte. La valeur maximale est de 100.

Exécuter sur

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
COFENSE_TRG_id	Si disponible dans le résultat JSON.
COFENSE_TRG_risk_score	Si disponible dans le résultat JSON.
COFENSE_TRG_created_at	Si disponible dans le résultat JSON.
COFENSE_TRG_updated_at	Si disponible dans le résultat JSON.

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": [
        {
            "id": "1",
            "type": "urls",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/urls/1"
            },
            "attributes": {
                "url": "https://www.paypal.com/us",
                "risk_score": null,
                "created_at": "2019-04-12T02:58:20.008Z",
                "updated_at": "2019-04-12T02:58:20.008Z"
            },
            "relationships": {
                "hostname": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/hostname",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/1/hostname"
                    },
                    "data": {
                        "type": "hostnames",
                        "id": "2"
                    }
                },
                "clusters": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/clusters",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/1/clusters"
                    }
                },
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/1/reports"
                    }
                }
            }
        },
        {
            "id": "2",
            "type": "urls",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/urls/2"
            },
            "attributes": {
                "url": "http://cie.org.mx/leather.php?amount=1qw2f60krdrf8c",
                "risk_score": null,
                "created_at": "2019-04-12T02:58:20.011Z",
                "updated_at": "2019-04-12T02:58:20.011Z"
            },
            "relationships": {
                "hostname": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/hostname",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/2/hostname"
                    },
                    "data": {
                        "type": "hostnames",
                        "id": "1"
                    }
                },
                "clusters": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/clusters",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/2/clusters"
                    }
                },
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/urls/2/reports"
                    }
                }
            }
        }
    ],
    "links": {
        "first": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20",
        "last": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20"
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful for at least one URL(is_success = true): print "Successfully enriched the following URLs using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one URL(is_success = true): print "Action wasn't able to enrich the following URLs using Cofense Triage: \n {0}".format(entity.identifier list) Si l'enrichissement échoue pour toutes les entités (is_success = false), affichez "Aucune URL n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Enrich URL". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Champs figurant dans la section "Table d'enrichissement", mais sans le préfixe "COFENSE_TRG_"	Entité

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful for at least one URL(is_success = true): print "Successfully enriched the following URLs using Cofense Triage: \n {0}".format(entity.identifier list)

if successful for at least one URL(is_success = true): print "Action wasn't able to enrich the following URLs using Cofense Triage: \n {0}".format(entity.identifier list)

Si l'enrichissement échoue pour toutes les entités (is_success = false), affichez "Aucune URL n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Enrich URL". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Champs figurant dans la section "Table d'enrichissement", mais sans le préfixe "COFENSE_TRG_"

Entité

Exécuter un playbook

Description

Lancez l'exécution d'un playbook dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport sur lequel vous souhaitez exécuter le playbook.
Nom du playbook	Chaîne	N/A	Oui	Spécifiez le nom du playbook à exécuter.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 204 est signalé (is_success=true) : "Le playbook {playbook name} a été exécuté avec succès sur le rapport {report id} dans Cofense Triage." L'action doit échouer et arrêter l'exécution d'un playbook : Si une valeur non valide est fournie pour le paramètre "Nombre maximal d'enregistrements à renvoyer" : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Raison : {0}''.format(error.Stacktrace)" Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Lister les playbooks". Raison : {0}''.format(error.Stacktrace) Si des erreurs sont signalées dans la réponse : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Motif : {0}''.format(detail)" Si le playbook est introuvable : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Motif : le playbook nommé {name} est introuvable."	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état 204 est signalé (is_success=true) : "Le playbook {playbook name} a été exécuté avec succès sur le rapport {report id} dans Cofense Triage."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une valeur non valide est fournie pour le paramètre "Nombre maximal d'enregistrements à renvoyer" : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Raison : {0}''.format(error.Stacktrace)"

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Lister les playbooks". Raison : {0}''.format(error.Stacktrace)

Si des erreurs sont signalées dans la réponse : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Motif : {0}''.format(detail)"

Si le playbook est introuvable : "Erreur lors de l'exécution de l'action "Exécuter le playbook". Motif : le playbook nommé {name} est introuvable."

Général

Obtenir les détails du domaine

Description

Renvoie des informations sur le domaine à partir de Cofense Triage.

Paramètres

Nom du paramètre à afficher
N/A

Exécuter sur

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": [
        {
            "id": "1",
            "type": "hostnames",
            "attributes": {
                "hostname": "cie.org.mx",
                "risk_score": null,
                "created_at": "2019-04-12T02:58:19.893Z",
                "updated_at": "2019-04-12T02:58:19.974Z"
            },
            "relationships": {
                "clusters": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/clusters",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/clusters"
                    }
                },
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/reports"
                    }
                },
                "urls": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/urls",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/urls"
                    }
                }
            }
        },
        {
            "id": "2",
            "type": "hostnames",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2"
            },
            "attributes": {
                "hostname": "www.paypal.com",
                "risk_score": null,
                "created_at": "2019-04-12T02:58:19.898Z",
                "updated_at": "2019-04-12T02:58:19.965Z"
            },
            "relationships": {
                "clusters": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/clusters",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/clusters"
                    }
                },
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/reports"
                    }
                },
                "urls": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/urls",
                        "related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/urls"
                    }
                }
            }
        }
    ],
    "links": {
        "first": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20",
        "last": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20"
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful for at least one URL(is_success = true): print "Successfully returned details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one URL(is_success = true): print "Action wasn't able to get details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) Si l'enrichissement échoue pour toutes les entités (is_success = false) : affichez "Aucune information sur les domaines n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Domain Details". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Nom du tableau : "Détails du domaine" Colonnes du tableau : Nom : nom d'hôte Score de risque : risk_score	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful for at least one URL(is_success = true): print "Successfully returned details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list)

if successful for at least one URL(is_success = true): print "Action wasn't able to get details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list)

Si l'enrichissement échoue pour toutes les entités (is_success = false) : affichez "Aucune information sur les domaines n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Domain Details". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Nom du tableau : "Détails du domaine"

Colonnes du tableau :

Nom : nom d'hôte

Score de risque : risk_score

Général

Obtenir les en-têtes de rapport

Description

Renvoie des informations sur l'en-tête associé au rapport de Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport pour lequel vous souhaitez récupérer les en-têtes.
Nombre maximal d'en-têtes à renvoyer	Integer	50	Non	Spécifiez le nombre d'en-têtes à renvoyer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": [
        {
            "id": "4",
            "type": "headers",
            "attributes": {
                "key": "Mime-Version",
                "value": "1.0",
                "created_at": "2020-11-03T16:43:33.767Z",
                "updated_at": "2020-11-03T16:43:33.767Z"
            },
            "relationships": {
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/headers/4/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/headers/4/reports"
                    }
                }
            }
        }
    ],
    "links": {
        "first": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20",
        "last": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20"
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully returned related headers to the report with ID {0} in Cofense Triage.".format(report_id) if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to return related headers to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail) Si aucune règle n'est trouvée (is_success = false), imprimez : "Aucun en-tête associé n'a été trouvé pour le rapport portant l'ID {0} dans Cofense Triage.".format(report_id) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Report Headers". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Nom du tableau : en-têtes du rapport {0} Colonnes du tableau : Clé Name Valeur : valeur	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully returned related headers to the report with ID {0} in Cofense Triage.".format(report_id)

if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to return related headers to the report with ID {0} in Cofense Triage. Raison : \n {1}".format(report_id, errors/detail)

Si aucune règle n'est trouvée (is_success = false), imprimez : "Aucun en-tête associé n'a été trouvé pour le rapport portant l'ID {0} dans Cofense Triage.".format(report_id)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Report Headers". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Nom du tableau : en-têtes du rapport {0}

Colonnes du tableau :

Clé Name

Valeur : valeur

Général

Obtenir des reporters de signalements

Description

Renvoie des informations sur le signalant en lien avec le signalement de Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Spécifiez l'ID du rapport pour lequel vous souhaitez récupérer les reporters.
Nombre maximal de reporters à renvoyer	Integer	50	Non	Spécifiez le nombre de reporters à renvoyer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

 "data": {
        "id": "5331",
        "type": "reporters",
        "attributes": {
            "email": "user@example.com",
            "reports_count": 277,
            "last_reported_at": "2020-11-06T18:32:47.000Z",
            "reputation_score": 561,
            "vip": true,
            "created_at": "2019-10-24T01:05:28.649Z",
            "updated_at": "2020-11-06T18:33:59.004Z"
        },
        "relationships": {
            "clusters": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/clusters",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/clusters"
                }
            },
            "reports": {
                "links": {
                    "self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/reports",
                    "related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/reports"
                }
            }
        }
    }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully returned related reporters to the report with ID {0} in Cofense Triage.".format(report_id) En cas d'échec(code d'état 404, is_success = false) : print "L'action n'a pas pu renvoyer les reporters associés au rapport portant l'ID {0} dans Cofense Triage. Raison : \n {1}".format(report_id, errors/detail) Si aucune règle n'est trouvée (is_success = false) : imprimer "Aucun journaliste associé n'a été trouvé pour le rapport portant l'ID {0} dans Cofense Triage.".format(report_id) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Report Reporters". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Nom de la table : "Reporters du rapport {0}" Colonnes du tableau : Adresse e-mail : adresse e-mail Nombre de signalements : reports_count Score de réputation : reputation_score VIP : vip	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully returned related reporters to the report with ID {0} in Cofense Triage.".format(report_id)

En cas d'échec(code d'état 404, is_success = false) : print "L'action n'a pas pu renvoyer les reporters associés au rapport portant l'ID {0} dans Cofense Triage. Raison : \n {1}".format(report_id, errors/detail)

Si aucune règle n'est trouvée (is_success = false) : imprimer "Aucun journaliste associé n'a été trouvé pour le rapport portant l'ID {0} dans Cofense Triage.".format(report_id)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Report Reporters". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Nom de la table : "Reporters du rapport {0}"

Colonnes du tableau :

Adresse e-mail : adresse e-mail

Nombre de signalements : reports_count

Score de réputation : reputation_score

VIP : vip

Général

Obtenir les détails des indicateurs de menace

Description

Renvoie des informations sur les entités en fonction des détails de l'indicateur de menace de Cofense Triage.

Paramètres

Nom du paramètre à afficher
N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
COFENSE_TRG_ti_id	Si disponible dans le résultat JSON.
COFENSE_TRG_ti_type	Si disponible dans le résultat JSON.
COFENSE_TRG_ti_threat_level	Si disponible dans le résultat JSON.
COFENSE_TRG_ti_threat_source	Si disponible dans le résultat JSON.
COFENSE_TRG_ti_created_at	Si disponible dans le résultat JSON.
COFENSE_TRG_id_updated_at	Si disponible dans le résultat JSON.

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": [
        {
            "id": "1",
            "type": "threat_indicators",
            "attributes": {
                "threat_level": "Malicious",
                "threat_type": "MD5",
                "threat_value": "f1364ab115332cb44b5d7bb734d2cbf6",
                "threat_source": "Triage-UI",
                "created_at": "2019-06-06T18:55:38.107Z",
                "updated_at": "2020-11-03T16:41:19.972Z"
            },
            "relationships": {
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/reports"
                    }
                }
            }
        }
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful for at least one entity(is_success = true): print "Successfully returned threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one entity(is_success = true): print "Action wasn't able to return threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) Si l'enrichissement échoue pour toutes les entités (is_success = false), affichez le message suivant : "Aucune information sur les indicateurs de menace concernant les entités n'a été trouvée." L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Threat Indicator Details". Raison : {0}''.format(error.Stacktrace)	Général
CSV	Champs figurant dans la section "Table d'enrichissement", mais sans le préfixe "COFENSE_TRG_"	Entité

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful for at least one entity(is_success = true): print "Successfully returned threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list)

if successful for at least one entity(is_success = true): print "Action wasn't able to return threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list)

Si l'enrichissement échoue pour toutes les entités (is_success = false), affichez le message suivant : "Aucune information sur les indicateurs de menace concernant les entités n'a été trouvée."

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Threat Indicator Details". Raison : {0}''.format(error.Stacktrace)

Général

CSV

Champs figurant dans la section "Table d'enrichissement", mais sans le préfixe "COFENSE_TRG_"

Entité

Description

Liste les catégories disponibles dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Noms	CSV	N/A	Non	Spécifiez une liste de noms de catégories séparés par une virgule. Ce paramètre est utile pour vérifier si une catégorie portant le nom spécifié existe.
Score le plus bas à récupérer	Integer	N/A	Non	Spécifiez le score le plus bas accepté pour la catégorie. Ce paramètre peut fonctionner avec des valeurs négatives.
Contenu malveillant uniquement	Case à cocher	Décochée	Non	Si cette option est activée, l'action ne renvoie que les catégories malveillantes.
Uniquement les campagnes archivées	Case à cocher	Décochée	Non	Si cette option est activée, l'action ne renvoie que les catégories archivées.
Uniquement les non archivés	Case à cocher	Décochée	Non	Si cette option est activée, l'action ne renvoie que les catégories non archivées.
Non malveillant uniquement	Case à cocher	Décochée	Non	Si cette option est activée, l'action ne renvoie que les catégories non malveillantes.
Nombre maximal de catégories à renvoyer	Integer	N/A	Non	Spécifiez le nombre de catégories à renvoyer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "data": [
        {
            "id": "1",
            "type": "categories",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/categories/1"
            },
            "attributes": {
                "name": "Non-Malicious",
                "score": -5,
                "malicious": false,
                "color": "#739d75",
                "archived": false,
                "created_at": "2019-04-11T08:24:49.787Z",
                "updated_at": "2019-11-12T19:15:37.849Z"
            },
            "relationships": {
                "one_clicks": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/one_clicks",
                        "related": "https://tap.phishmecloud.com/api/public/v2/categories/1/one_clicks"
                    }
                },
                "reports": {
                    "links": {
                        "self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/reports",
                        "related": "https://tap.phishmecloud.com/api/public/v2/categories/1/reports"
                    }
                }
            }
        }
    ],
    "links": {
        "first": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20",
        "last": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20"
    }
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success=true) : "Successfully returned available categories from Cofense Triage." (Les catégories disponibles ont été renvoyées depuis Cofense Triage.) Si aucune catégorie n'est trouvée (is_success=false) "Aucune catégorie n'a été trouvée pour les critères." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les catégories". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom de la table : "Available Categories" Colonne de tableau : Nom – nom Score : score ID : id Malveillant : malveillant Archivée - archivée	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit (is_success=true) : "Successfully returned available categories from Cofense Triage." (Les catégories disponibles ont été renvoyées depuis Cofense Triage.)

Si aucune catégorie n'est trouvée (is_success=false) "Aucune catégorie n'a été trouvée pour les critères."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les catégories". Raison : {0}''.format(error.Stacktrace)

Général

Tableau du mur des cas

Nom de la table : "Available Categories"

Colonne de tableau :

Nom – nom
Score : score
ID : id
Malveillant : malveillant
Archivée - archivée

Général

Lister les playbooks

Description

Liste les playbooks disponibles dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Clé de filtre	LDD	Sélectionnez une réponse Valeurs possibles : Nom Description	Non	Spécifiez la clé à utiliser pour filtrer les playbooks.
Logique de filtrage	LDD	Non spécifié Valeurs possibles : Non spécifié Égal à Contient	Non	Spécifiez le type de logique de filtrage à appliquer. La logique de filtrage fonctionne en fonction de la valeur fournie dans le paramètre "Clé de filtre". Remarque : La logique "Égal à" est sensible à la casse, tandis que "Contient" ne l'est pas.
Valeur du filtre	Chaîne	N/A	Non	Spécifiez la valeur à utiliser dans le filtre. Si l'option "Égal à" est sélectionnée, l'action tente de trouver la correspondance exacte parmi les résultats. Si l'option "Contient" est sélectionnée, l'action tente de trouver des résultats contenant cette sous-chaîne. Si aucune valeur n'est fournie pour ce paramètre, le filtre n'est pas appliqué. La logique de filtrage fonctionne en fonction de la valeur fournie dans le paramètre "Clé de filtre".
Nombre maximal d'enregistrements à renvoyer	Integer	50	Non	Spécifiez le nombre d'enregistrements à renvoyer. Si aucune valeur n'est fournie, l'action renvoie 50 enregistrements. Maximum : 200

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
        {
            "id": "1",
            "type": "playbooks",
            "links": {
                "self": "https://reltest6.phishmecloud.com/api/public/v2/playbooks/1"
            },
            "attributes": {
                "name": "SN_Test",
                "description": "",
                "active": true,
                "button_color": "#204d74",
                "add_rule_tags_to_report_tags": true,
                "remove_existing_report_tags": false,
                "remove_existing_cluster_tags": false,
                "report_tags": [
                    "SN_Test"
                ],
                "cluster_tags": [
                    "SN_Cluster_Test",
                    "test1"
                ],
                "delete_report": false,
                "guid": "b443a844-ffc2-49d2-8903-1a5f7fde7526",
                "created_at": "2021-05-28T01:29:22.080Z",
                "updated_at": "2022-04-08T06:04:17.016Z"
            }
        }
]

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles (is_success=true) : "Des playbooks correspondant aux critères fournis ont été trouvés dans Cofense Triage." Si les données ne sont pas disponibles (is_success=false) : "Aucun playbook n'a été trouvé pour les critères fournis dans Cofense Triage." Si le paramètre "Valeur du filtre" est vide (is_success=true) : "Le filtre n'a pas été appliqué, car le paramètre "Valeur du filtre" est vide." Si le paramètre "Logique de filtre" est défini sur "Non spécifié" (is_success=true) : "Le filtre n'a pas été appliqué, car le paramètre "Logique de filtre" n'est pas spécifié." L'action doit échouer et arrêter l'exécution d'un playbook : Si le paramètre "Clé de filtre" est défini sur "Sélectionner" et que le paramètre "Logique de filtre" est défini sur "Égal à" ou "Contient" : "Erreur lors de l'exécution de l'action "{nom de l'action}". Raison : vous devez sélectionner un champ dans le paramètre "Clé de filtre"." Si une valeur non valide est fournie pour le paramètre "Nombre maximal d'enregistrements à renvoyer" : "Erreur lors de l'exécution de l'action "{nom de l'action}". Motif : "Une valeur non valide a été fournie pour "Nombre maximal d'enregistrements à renvoyer" : . Veuillez indiquer un nombre positif." Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Lister les playbooks". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom de la table : Playbooks disponibles Colonne de tableau : Nom – nom Actif-Actif ID : id Description : description Tags : fichier CSV contenant report_tags et cluster_tags Créé le : created_at	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles (is_success=true) : "Des playbooks correspondant aux critères fournis ont été trouvés dans Cofense Triage."

Si les données ne sont pas disponibles (is_success=false) : "Aucun playbook n'a été trouvé pour les critères fournis dans Cofense Triage."

Si le paramètre "Valeur du filtre" est vide (is_success=true) : "Le filtre n'a pas été appliqué, car le paramètre "Valeur du filtre" est vide."

Si le paramètre "Logique de filtre" est défini sur "Non spécifié" (is_success=true) : "Le filtre n'a pas été appliqué, car le paramètre "Logique de filtre" n'est pas spécifié."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si le paramètre "Clé de filtre" est défini sur "Sélectionner" et que le paramètre "Logique de filtre" est défini sur "Égal à" ou "Contient" : "Erreur lors de l'exécution de l'action "{nom de l'action}". Raison : vous devez sélectionner un champ dans le paramètre "Clé de filtre"."

Si une valeur non valide est fournie pour le paramètre "Nombre maximal d'enregistrements à renvoyer" : "Erreur lors de l'exécution de l'action "{nom de l'action}". Motif : "Une valeur non valide a été fournie pour "Nombre maximal d'enregistrements à renvoyer" : . Veuillez indiquer un nombre positif."

Général

Tableau du mur des cas

Nom de la table : Playbooks disponibles

Colonne de tableau :

Nom – nom
Actif-Actif
ID : id
Description : description
Tags : fichier CSV contenant report_tags et cluster_tags
Créé le : created_at

Général

Lister les rapports associés aux indicateurs de menace

Description

Lister les rapports liés aux indicateurs de menace dans Cofense Triage.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Créer un tableau de cas	Case à cocher	Décochée	Non	Si cette option est activée, l'action crée un tableau de mur de dossiers contenant des informations sur les rapports.
Nombre maximal de rapports à renvoyer	Integer	100	Non	Indiquez le nombre de rapports à renvoyer.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

 {
    "reports": [
        {
            "id": "13219",
            "type": "reports",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/reports/13219"
            },
            "attributes": {
                "location": "Inbox",
                "risk_score": null,
                "from_address": null,
                "subject": "Delivery reports about your e-mail",
                "received_at": "2019-05-17T01:25:07.642Z",
                "reported_at": "2019-05-16T23:01:50.000Z",
                "raw_headers": "Date: Fri, 17 May 2019 01:25:07 +0000\r\nMessage-ID: <5cde0d73994b2_10902aea1885332418512@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cde0d7399130_10902aea18853324184a7\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
                "md5": "3e4c2e6e85695569ae7a11aac8a774c6",
                "sha256": "1434d565d7735a841f39cb953cfdbbba1d0793324900d42c25b212b454a77993",
                "match_priority": 4,
                "tags": [],
                "categorization_tags": [],
                "processed_at": null,
                "created_at": "2019-05-17T01:25:07.652Z",
                "updated_at": "2019-05-17T01:25:10.032Z"
            },
            "meta": {
                "risk_score_summary": null
            }
        },
        {
            "id": "13227",
            "type": "reports",
            "links": {
                "self": "https://tap.phishmecloud.com/api/public/v2/reports/13227"
            },
            "attributes": {
                "location": "Inbox",
                "risk_score": null,
                "from_address": null,
                "subject": "Delivery reports about your e-mail",
                "received_at": "2019-05-17T14:53:54.318Z",
                "reported_at": "2019-05-16T23:01:50.000Z",
                "raw_headers": "Date: Fri, 17 May 2019 14:53:54 +0000\r\nMessage-ID: <5cdecb024a663_107f2b040f2cd3306399@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cdecb024a2fd_107f2b040f2cd3306387b\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
                "md5": "92bb365c3fe712216610e884621c771a",
                "sha256": "da37a508cd47987e9989fc8a2af12352c6652fa5c421f4556ef6a198bf73821e",
                "match_priority": 4,
                "tags": [],
                "categorization_tags": [],
                "processed_at": null,
                "created_at": "2019-05-17T14:53:54.327Z",
                "updated_at": "2019-05-17T14:53:56.453Z"
            },
            "meta": {
                "risk_score_summary": null
            }
        }
    ],
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Les rapports liés aux entités fournies ont été renvoyés depuis Cofense Triage." Si aucun rapport n'est trouvé : "Aucun rapport associé n'a été trouvé pour les entités fournies." L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: "Error executing action "List Reports Related To Threat Indicators". Motif : (error.Stacktrace)	Général
Tableau du mur des cas	Nom du tableau : "Related Reports" (Rapports associés) Colonne de tableau : ID Objet Création le Emplacement	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Les rapports liés aux entités fournies ont été renvoyés depuis Cofense Triage."
Si aucun rapport n'est trouvé : "Aucun rapport associé n'a été trouvé pour les entités fournies."

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: "Error executing action "List Reports Related To Threat Indicators". Motif : (error.Stacktrace)

Général

Tableau du mur des cas

Nom du tableau : "Related Reports" (Rapports associés)

Colonne de tableau :

Objet

Création le

Emplacement

Général

Ping

Description

Testez la connectivité à Cofense Triage avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exécuter sur

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Cofense Triage établie avec succès à l'aide des paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Cofense Triage. Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Cofense Triage établie avec succès à l'aide des paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Cofense Triage. Error is {0}".format(exception.stacktrace)

Général

Connecteur

Cofense Triage – Connecteur de rapports

Extrayez des rapports de Cofense Triage.

Configurer le connecteur de rapports Cofense Triage dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire<	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	emplacement	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://tap.phishmecloud.com	Oui	Racine de l'API de l'instance Cofense Triage.
ID client	Chaîne	N/A	Oui	ID client du compte Cofense Triage.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client du compte Cofense Triage.
Score de risque le plus faible à récupérer	Integer	0	Oui	Score de risque le plus faible qui sera utilisé pour récupérer les e-mails. La valeur maximale est de 100.
Récupérer les heures Max en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les e-mails.
Nombre maximal de rapports à récupérer	Integer	10	Non	Nombre de rapports à traiter par itération de connecteur.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Cofense Triage est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.