Cette page a été traduite par l'API Cloud Translation.

Talos ThreatSource

Version de l'intégration : 17.0

Configurer l'intégration de Talos ThreatSource dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Gagner en réputation

Description

Obtenez la réputation et les détails d'une adresse IP ou d'un domaine.

Paramètres

Cette action ne comporte aucun paramètre d'entrée.

Cas d'utilisation

Cette action n'a pas de cas d'utilisation.

Exécuter sur

Cette action s'applique aux entités suivantes :

Adresse IP
Nom d'hôte
URL

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "EntityResult": {
            "1.1.1.1": {
                "reputation": {
                    "domain": "one.one.one",
                    "daychange": 43.0,
                    "web_score": "",
                    "ip": "1.1.1.1",
                    "dnsmatch": 1,
                    "display_ipv6_volume": "false",
                    "daily_spam_name": "None",
                    "daily_spam_level": 0,
                    "category": {
                        "description": "Infrastructure and Content Delivery Networks",
                        "long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
                    },
                    "daily_mag": 3.8307894844544057,
                    "monthly_spam_level": 0,
                    "hostname": "one.one.one.one",
                    "monthly_spam_name": "None",
                    "talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
                    "blacklists": {
                        "cbl.abuseat.org": {
                            "rules": [],
                            "lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
                        },
                        "pbl.spamhaus.org": {
                            "rules": [],
                            "lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
                        },
                        "sbl.spamhaus.org": {
                            "rules": [],
                            "lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
                        },
                        "bl.spamcop.net": {
                            "rules": [],
                            "lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
                        }},
                    "talos_blacklist": {
                        "entry": {
                            "first_seen": "2013-04-10T10:05:01",
                            "classifications": ["malware"],
                            "expiration": "2014-12-17T19:09:58"
                        }},
                    "cidr": "false",
                    "email_score": "",
                    "email_score_name": "Good",
                    "web_score_name": "Neutral",
                    "organization": "CloudFlare",
                    "monthly_mag": "3.692884173719037"
                },
                "location": {
                    "map": "null",
                    "country": "Australia",
                    "locations": [{
                        "latitude": -33.494,
                        "ips": {
                            "good": [{
                                "ip": "1.1.1.1",
                                "magnitude": 3.692884173719037
                            }]},
                        "longitude": 143.2104
                    }],
                    "country_code": "AU",
                    "country_flag": "/images/flags/AU.png",
                    "cities": [{
                        "country": "Australia",
                        "name": "NULL",
                        "country_code": "AU",
                        "country_flag": "/images/flags/AU.png"
                    }]}}},
        "Entity": "test"
    }
]

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
Talos_reputation	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_domain	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_daychange	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_web_score	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_ip	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_dnsmatch	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_display_ipv6_volume	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_daily_spam_name	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_daily_spam_level	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_category	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_description	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_daily_mag	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_monthly_spam_level	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_hostname	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_monthly_spam_name	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_url	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_blacklists	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_rules	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_lookup_uri	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_idr	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_email_score	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_email_score_name	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_web_score_name	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_organization	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_monthly_mag	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_location	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_magnitude	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_longitude	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_country_code	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_country_flag	Renvoie la valeur si elle existe dans le résultat JSON.
Talos_cities	Renvoie la valeur si elle existe dans le résultat JSON.

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success = true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de Talos ThreatSource : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Talos ThreatSource : {entity.identifier}". Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir la réputation". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom de la table : {entity.identifier} Colonnes de la table : Clé Valeur	Entité

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles pour une entité (is_success = true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de Talos ThreatSource : {entity.identifier}".

Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Talos ThreatSource : {entity.identifier}".

Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir la réputation". Raison : {0}''.format(error.Stacktrace)

Général

Tableau du mur des cas

Nom de la table : {entity.identifier}

Colonnes de la table :

Clé
Valeur

Entité

Ping

Description

Vérifie que l'utilisateur est connecté à Talos ThreatSource via son appareil.

Paramètres

Cette action ne comporte aucun paramètre d'entrée.

Cas d'utilisation

Cette action n'a pas de cas d'utilisation.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

WhoIs

Description

Récupérez des informations Whois sur les entités à l'aide de Talos ThreatSource.

Paramètres

Cette action ne comporte aucun paramètre d'entrée.

Cas d'utilisation

Cette action n'a pas de cas d'utilisation.

Exécuter sur

Cette action s'exécute sur les entités "Adresse IP", "Nom d'hôte" et "URL".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success = true) : "Les informations Whois concernant les entités suivantes ont été renvoyées avec succès à l'aide des informations de Talos ThreatSource : {entity.identifier}". Si la réponse contient le mot "erreur" pour une entité (is_success=true) : "L'action n'a pas pu renvoyer d'informations Whois sur les entités suivantes à l'aide des informations de Talos ThreatSource : {entity.identifier}". Si "error" figure dans la réponse (is_success=false) : "Aucune information Whois n'a été trouvée pour les entités fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Whois". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles pour une entité (is_success = true) : "Les informations Whois concernant les entités suivantes ont été renvoyées avec succès à l'aide des informations de Talos ThreatSource : {entity.identifier}".

Si la réponse contient le mot "erreur" pour une entité (is_success=true) : "L'action n'a pas pu renvoyer d'informations Whois sur les entités suivantes à l'aide des informations de Talos ThreatSource : {entity.identifier}".

Si "error" figure dans la réponse (is_success=false) : "Aucune information Whois n'a été trouvée pour les entités fournies."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Whois". Raison : {0}''.format(error.Stacktrace)

Général

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.