ThreatQ
Version de l'intégration : 12.0
Notes de version
Les clients qui disposent d'une version PS de l'intégration ThreatQ devront mettre à jour leurs playbooks pour qu'ils soient compatibles avec la nouvelle version de l'intégration. "Obtenir les détails de l'incident" n'enrichira pas les entités. Nous avons d'autres actions à cet effet.
Configurer l'intégration de ThreatQ dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | Décochée | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | Décochée | Non | Description de l'instance. |
| ServerAddress | Chaîne | xx.xx.xx.xx | Oui | Adresse de l'instance ThreatQ. |
| ClientId | Chaîne | N/A | Oui | ClientID pour l'API ThreatQ |
| Nom d'utilisateur | Chaîne | N/A | Oui | Adresse e-mail de l'utilisateur. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe de l'utilisateur correspondant. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
EnrichCVE
Description
Enrichissez une CVE à l'aide des informations ThreatQ.
Paramètres
| Nom | Type | Par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score | Integer | 5 | Non | Définissez le seuil de score acceptable pour l'entité. Si le score dépasse le seuil spécifié, l'entité est marquée comme suspecte. |
| Afficher les sources | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les sources associées. |
| Afficher les commentaires | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire contenant les commentaires associés. |
| Afficher les attributs | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les attributs associés. |
| Marquer les entités autorisées comme suspectes | Case à cocher | Cochée | Oui | Si cette option est activée, l'action marquera les entités comme suspectes si elles ont dépassé le seuil autorisé, même si l'entité est ajoutée à la liste blanche dans ThreatQ. |
Exécuter sur
Cette action s'exécute sur l'entité CVE.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Description
Enrichissez une adresse e-mail à l'aide des informations ThreatQ.
Paramètres
| Nom | Type | Par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score | Integer | 5 | Non | Définissez le seuil de score acceptable pour l'entité. Si le score dépasse le seuil spécifié, l'entité est marquée comme suspecte. |
| Afficher les sources | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les sources associées. |
| Afficher les commentaires | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire contenant les commentaires associés. |
| Afficher les attributs | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les attributs associés. |
| Marquer les entités autorisées comme suspectes | Case à cocher | Cochée | Oui | Si cette option est activée, l'action marquera les entités comme suspectes si elles ont dépassé le seuil autorisé, même si l'entité est ajoutée à la liste blanche dans ThreatQ. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Description
Enrichissez un hachage à l'aide des informations ThreatQ.
Paramètres
| Nom | Type | Par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score | Integer | 5 | Non | Définissez le seuil de score acceptable pour l'entité. Si le score dépasse le seuil spécifié, l'entité est marquée comme suspecte. |
| Afficher les sources | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les sources associées. |
| Afficher les commentaires | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire contenant les commentaires associés. |
| Afficher les attributs | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les attributs associés. |
| Marquer les entités autorisées comme suspectes | Case à cocher | Cochée | Oui | Si cette option est activée, l'action marquera les entités comme suspectes si elles ont dépassé le seuil autorisé, même si l'entité est ajoutée à la liste blanche dans ThreatQ. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Enrichir l'adresse IP
Description
Enrichissez une adresse IP à l'aide des informations ThreatQ.
Paramètres
| Nom | Type | Par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score | Integer | 5 | Non | Définissez le seuil de score acceptable pour l'entité. Si le score dépasse le seuil spécifié, l'entité est marquée comme suspecte. |
| Afficher les sources | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les sources associées. |
| Afficher les commentaires | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire contenant les commentaires associés. |
| Afficher les attributs | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les attributs associés. |
| Marquer les entités autorisées comme suspectes | Case à cocher | Cochée | Oui | Si cette option est activée, l'action marquera les entités comme suspectes si elles ont dépassé le seuil autorisé, même si l'entité est ajoutée à la liste blanche dans ThreatQ. |
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL d'enrichissement
Description
Enrichissez une URL à l'aide des informations ThreatQ.
Paramètres
| Nom | Type | Par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil de score | Integer | 5 | Non | Définissez le seuil de score acceptable pour l'entité. Si le score dépasse le seuil spécifié, l'entité est marquée comme suspecte. |
| Afficher les sources | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les sources associées. |
| Afficher les commentaires | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire contenant les commentaires associés. |
| Afficher les attributs | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie un tableau supplémentaire avec les attributs associés. |
| Marquer les entités autorisées comme suspectes | Case à cocher | Cochée | Oui | Si cette option est activée, l'action marquera les entités comme suspectes si elles ont dépassé le seuil autorisé, même si l'entité est ajoutée à la liste blanche dans ThreatQ. |
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Obtenir les détails d'un indicateur
Description
Obtenez les détails d'une adresse IP au format CSV.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Ping
Description
Vérifie que l'utilisateur est connecté à ThreatQ via son appareil.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_connect | Vrai/Faux | is_connect:False |
Créer un indicateur
Description
Créez un indicateur dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'indicateur | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service Hachage de fichier SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Oui | Spécifiez le type du nouvel indicateur. |
| État | LDD | Actif Valeurs possibles : Actif Expiré Indirecte Récapitulatif Sur liste blanche |
Oui | Spécifiez l'état du nouvel indicateur. |
| Description | Chaîne | N/A | Non | Spécifiez la description du nouvel indicateur. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins l'une des entités fournies a créé un indicateur (is_success = true) : print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Si la création d'indicateurs basés sur des entités spécifiques échoue(is_success = true) : print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success = false) : print: "No indicators were created." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "Create Indicator". Raison : {0}''.format(error.Stacktrace) |
Général |
Créer un adversaire
Description
Créez un adversaire dans ThreatQ.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une des entités fournies a permis de créer un adversaire (is_success = true) : Si la création d'adversaires basés sur des entités spécifiques échoue(is_success = true) : Si l'enrichissement échoue pour toutes les entités (is_success = false) : Impression : "Aucun adversaire n'a été enrichi." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "Create Adversary". Raison : {0}''.format(error.Stacktrace) |
Général |
Créer un événement
Description
Créez un événement dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Title | Chaîne | N/A | Oui | Indiquez le titre de l'événement. |
| Type d'événement | LDD | Hameçonnage ciblé Valeurs possibles : Hameçonnage ciblé Point d'eau Attaque par injection SQL Attaque par déni de service (DoS) Logiciels malveillants Liste de surveillance Commande et contrôle Anonymisation Exfiltration Caractéristiques de l'hôte Certificat PKI compromis Compromission de la connexion Incident Observation |
Oui | Indiquez le type d'événement. |
| Date de l'événement | Chaîne | N/A | Oui | Indiquez quand l'événement s'est produit. Si rien n'est saisi dans ce champ, l'action utilisera l'heure actuelle. Format : AAAA-MM-JJ hh:mm:ss |
Exécuter sur
Cette action ne s'applique pas aux types d'entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success = true) : Si la création de l'événement échoue (is_success = false) : Impression : "L'événement '{0}' n'a pas été créé dans ThreatQ. Reason: {1}".format(title, errors/[0].value) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "Create Event". Raison : {0}''.format(error.Stacktrace) Si le format de l'heure est incorrect : print "Error executing action "Create Event". Motif : Un format d'heure incorrect a été transmis au paramètre d'action "S'est produit le". Doit être au format AAAA-MM-JJ hh:mm:ss. |
Général |
Ajouter un attribut
Description
L'action ajoute un attribut à l'objet.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'objet | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature TTP Faille |
Oui | Spécifiez le type d'objet auquel l'attribut doit être ajouté. |
| Identifiant d'objet | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Oui | Spécifiez le type d'indicateur. Ce paramètre n'est utilisé que si le type d'objet est "Indicateur". |
| Nom de l'attribut | Chaîne | N/A | Oui | Spécifiez le nom de l'attribut. |
| Valeur d'attribut | Chaîne | N/A | Oui | Spécifiez la valeur de l'attribut. |
| Source de l'attribut | Chaîne | N/A | Non | Spécifiez la source de l'attribut. |
Exécuter sur
Cette action ne s'applique pas aux types d'entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful (is_success = true): Si l'objet n'a pas été trouvé (is_success = false) : Impression : "L'objet '{0}' avec la valeur '{1}' n'a pas été trouvé dans ThreatQ.".format(Object Type, Object identifier) En cas d'erreur générale (is_success = false) : Imprimez "L'action n'a pas pu ajouter l'attribut {0} à l'objet ThreatQ.".format(Attribute Name) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Add Attribute". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter une source
Description
L'action ajoute une source à l'objet.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'objet | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature TTP Faille |
Oui | Spécifiez le type d'objet auquel la source doit être ajoutée. |
| Identifiant d'objet | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Oui | Spécifiez le type d'indicateur. Ce paramètre n'est utilisé que si le type d'objet est "Indicateur". |
| Nom de la source | Chaîne | N/A | Oui | Spécifiez le nom de la source. |
Exécuter sur
Cette action ne s'applique pas aux types d'entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success = true) : Si l'objet n'a pas été trouvé (is_success = false) : Impression : "L'objet '{0}' avec la valeur '{1}' n'a pas été trouvé dans ThreatQ.".format(Object Type, Object Value) En cas d'erreur générale (is_success = false) : Imprimez "L'action n'a pas pu ajouter la source {0} à l'objet ThreatQ.".format(Source Name) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Add Source". Raison : {0}''.format(error.Stacktrace) |
Général |
Associer des entités
Description
Les liens d'action relient toutes les entités dans ThreatQ.
Exécuter sur
Cette action s'applique aux entités suivantes :
- CVE
- Adresse IP
- URL
- Filehash
- Utilisateur
- Toutes les entités correspondant à l'expression régulière d'adresse e-mail
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une des entités fournies a été associée (is_success = true) : Si l'échec de la liste des objets associés pour des entités spécifiques(is_success = true) : print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success = false) : Impression : "Aucune entité n'a été associée." Si une seule entité est fournie : L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Link Entities". Raison : {0}''.format(error.Stacktrace) |
Général |
Associer des entités à un objet
Description
Les liens d'action relient toutes les entités dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'objet | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type d'objet auquel vous souhaitez associer des entités. |
| Identifiant d'objet | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet auquel vous souhaitez associer des entités. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Non | Spécifiez le type d'indicateur auquel vous souhaitez associer des entités. Ce paramètre n'est utilisé que si le type d'objet source est "Indicateur". |
Exécuter sur
Cette action s'applique aux entités suivantes :
- CVE
- Adresse IP
- URL
- Filehash
- Utilisateur
- Toutes les entités correspondant à l'expression régulière d'adresse e-mail
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'objet n'a pas été trouvé (is_success = false) : Imprimer : "Aucune entité n'a été associée à l'objet '{0}' avec la valeur '{1}'. Motif : l'objet "{0}" avec la valeur "{1}" n'a pas été trouvé dans ThreatQ.".format(Object Type, Object Value) Si l'opération réussit et qu'au moins une des entités fournies a été associée (is_success = true) : Si l'échec de la liste des objets associés pour des entités spécifiques(is_success = true) : print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success = false) : Imprimer : "Aucune entité n'a été associée à l'objet '{0}' avec la valeur '{1}'.".format(Object Type, Object Identifier) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Link Entities To Object". Raison : {0}''.format(error.Stacktrace) |
Général |
Associer des objets
Description
Les liens d'action associent deux objets dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'objet source | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type de l'objet source. |
| Identifiant de l'objet source | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet source. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur source | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Non | Spécifiez le type de l'indicateur de source. Ce paramètre n'est utilisé que si le type d'objet source est "Indicateur". |
| Type d'objet de destination | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type d'objet de destination. |
| Identifiant de l'objet de destination | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet de destination. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur de destination | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Non | Spécifiez le type de l'indicateur de destination. Ce paramètre n'est utilisé que si le type d'objet de destination est "Indicateur". |
Exécuter sur
Cette action ne s'applique pas aux types d'entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful (is_success = true): Si l'objet n'a pas été trouvé (is_success = false) : Impression : "L'objet '{0}' avec la valeur '{1}' n'a pas été trouvé dans ThreatQ.".format(Object Type, Object Value) En cas d'erreur générale (is_success = false) : print "Action was not able to link objects in ThreatQ." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Link Objects". Raison : {0}''.format(error.Stacktrace) |
Général |
Lister les objets associés
Description
Les listes d'actions répertorient les objets associés dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| Type d'objet source | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type de l'objet source. |
| Identifiant de l'objet source | Chaîne | N/A | Oui | Spécifiez l'identifiant de l'objet source. Par exemple, il peut s'agir d'un hachage MD5, du titre de l'événement, du nom de l'adversaire, etc. |
| Type d'indicateur source | LDD | Numéro de système autonome (ASN) Valeurs possibles : Numéro de système autonome (ASN) Chaîne binaire Bloc CIDR CVE Adresse e-mail Pièce jointe à un e-mail Objet de l'e-mail Mappage des fichiers Chemin d'accès au fichier Nom du fichier Nom de domaine complet Hachage flou Hachage GOST Hacher ION Adresse IPv4 Adresse IPv6 Adresse MAC MD5 Mutex Mot de passe Clé de registre Nom du service SHA-1 SHA-256 SHA-384 SHA-512 Chaîne URL Chemin de l'URL User-agent Nom d'utilisateur X-Mailer Numéro de série x509 Sujet x509 |
Non | Spécifiez le type de l'indicateur de source. Ce paramètre n'est utilisé que si le type d'objet source est "Indicateur". |
| Type d'objet associé | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type d'objet associé à renvoyer. |
| Nombre maximal d'objets associés à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets associés à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful (is_success = true): Si l'objet source est introuvable (is_success = false) : print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Si aucun objet associé n'est disponible pour le type d'objet associé (is_success=false) : Imprime "Aucun objet {0} associé n'a été trouvé.".format(Related Object Type) En cas d'erreur générale (is_success = false) : Imprimez "L'action n'a pas pu lister les objets associés dans ThreatQ." L'action doit échouer et arrêter l'exécution d'un playbook : En cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur ou autre : print "Error executing action "List Related Objects". Raison : {0}''.format(error.Stacktrace) |
Général |
Tableau du mur des cas (Type d'objet=Événement) |
Nom de la table : objets "Événement" associés Colonnes du tableau :
|
Général |
Tableau du mur des cas (Type d'objet=Fichier) |
Nom de la table : objets "Fichier" associés Colonnes du tableau :
|
Général |
Tableau du mur des cas (Object type=Adversary) |
Nom de la table : objets "Adversaire" associés Colonnes du tableau :
|
Général |
Tableau du mur des cas (Tous les autres types d'objets) |
Nom de la table : "Objets '{0}' associés".format(Destination Object Type) Colonnes du tableau :
|
Général |
Lister les objets associés à une entité
Description
Les listes d'actions associent des objets pour les entités dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| Type d'objet associé | LDD | Attaquant Valeurs possibles : Attaquant Schéma d'attaque Campagne Mesures à prendre Événement Cible d'exploitation Fichier Identité Incident Indicateur Ensemble d'intrusion Logiciels malveillants Rapport Signature Tâche Outil TTP Faille |
Oui | Spécifiez le type d'objet associé à renvoyer. |
| Nombre maximal d'objets associés à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets associés à renvoyer. La valeur maximale est de 1 000. Il s'agit d'une limitation de ThreatQ. |
Exécuter sur
Cette action s'exécute sur tous les types d'entités.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si disponible dans le résultat JSON. |
| TQ_related_{0}_value.format(Related object type) | dont la valeur est le nom du pool. Si le type d'objet associé est "événement" et "fichier" : titre Si le type d'objet associé est "adversaire" : nom |
Si disponible dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une des entités fournies a créé un indicateur (is_success = true) : Si l'action ne parvient pas à lister les objets associés pour des entités spécifiques(is_success = true) : Si l'enrichissement échoue pour toutes les entités (is_success = false) : Impression : "Aucun objet associé n'a été listé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "List Related Objects". Raison : {0}''.format(error.Stacktrace) |
Général |
Tableau du mur des cas (Type d'objet=Événement) |
Nom de la table : objets "Event" associés pour {identifiant de l'entité} Colonnes du tableau :
|
Général |
Tableau du mur des cas (Type d'objet=Fichier) |
Nom de la table : objets "Fichier" associés pour {identifiant de l'entité} Colonnes du tableau :
|
Général |
Tableau du mur des cas (Object type=Adversary) |
Nom de la table : objets "Adversaire" associés pour {identifiant de l'entité} Colonnes du tableau :
|
Général |
Tableau du mur des cas (Tous les autres types d'objets) |
Nom de la table : "Objets '{0}' associés pour {identifiant de l'entité}".format(Destination Object Type) Colonnes du tableau :
|
Général |
Créer un objet
Description
Créez un objet dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'objet | LDD | Schéma d'attaque Valeurs possibles : Schéma d'attaque Campagne Mesures à prendre Cible d'exploitation Identité Incident Ensemble d'intrusion Logiciels malveillants Rapport Outil TTP Faille |
Oui | Spécifiez le type d'objet. |
| Valeur | Chaîne | N/A | Oui | Spécifiez la valeur du nouvel objet. |
| Description | Chaîne | N/A | Non | Spécifiez la description du nouvel objet. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Si disponible dans le résultat JSON. |
| TQ_related_{0}_value.format(Related object type) | dont la valeur est le nom du pool. Si le type d'objet associé est "événement" et "fichier" : titre Si le type d'objet associé est "adversaire" : nom |
Si disponible dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful (is_success = true): Si la création d'une action échoue (is_success = false) : Impression : "L'action n'a pas pu créer d'objet {0} dans ThreatQ.".format(object_type) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Create Object". Raison : {0}''.format(error.Stacktrace) |
Général |
Obtenir des informations sur les logiciels malveillants
Description
L'action renvoie des informations sur les logiciels malveillants en fonction des entités de ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Informations supplémentaires | Chaîne | N/A | Non | Spécifiez les champs supplémentaires à inclure dans la réponse. Valeurs possibles : adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| TQ_malware_id | id | Si disponible dans le résultat JSON. |
| TQ_malware_status_id | status_id | Si disponible dans le résultat JSON. |
| TQ_malware_type_id | type_id | Si disponible dans le résultat JSON. |
| TQ_malware_description | description | Si disponible dans le résultat JSON. |
| TQ_malware_created_at | created_at | Si disponible dans le résultat JSON. |
| TQ_malware_updated_at | updated_at | Si disponible dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins une des entités fournies a été enrichie (is_success = true) : Si l'action ne parvient pas à lister les objets associés pour des entités spécifiques(is_success = true) : Si l'enrichissement échoue pour toutes les entités (is_success = false) : Impression : "Aucune entité n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Get Malware Details". Raison : {0}''.format(error.Stacktrace) |
Général |
| Lien | Nom : détails pour {entity} Link:https://{server_ip}malware/{id}/details |
Lister les événements
Description
Lister les événements de ThreatQ
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Champs supplémentaires | CSV | adversaires, pièces jointes, attributs, commentaires, événements, indicateurs, signatures, sources, spearphishing, tags, type, liste de surveillance. | Non | Spécifiez les champs supplémentaires à inclure dans la réponse. Valeurs possibles : adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Champ de tri | LDD | ID Valeurs possibles : ID Titre Création le Mise à jour : Date de l'événement |
Non | Spécifiez le champ à utiliser pour trier les événements. |
| Sens du tri | LDD | Croissant Valeurs possibles : croissant Décroissant |
Non | Spécifiez le sens de tri. |
| Nombre maximal d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'événements à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération a réussi et que des données sont disponibles (is_success=true) : print "Successfully listed ThreatQ events." Si l'opération échoue (is_success=false) : print "No events were found in ThreatQ." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "List Events". Raison : {0}''.format(error.Stacktrace) Si un champ non valide est spécifié dans le paramètre "Champs supplémentaires" : print "Error executing action "List Events". Motif : Un champ non valide a été spécifié dans le paramètre "Champs supplémentaires". '''.format(error.Stacktrace)" |
Général |
| Tableau mural CSV | Nom de la table : ThreatQ Events Colonne du tableau :
|
Général |
Indicateurs de liste
Description
Lister les indicateurs de ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Champs supplémentaires | CSV | adversaires, pièces jointes, attributs, commentaires, événements, indicateurs, signatures, sources, spearphishing, tags, type, liste de surveillance. | Non | Spécifiez les champs supplémentaires à inclure dans la réponse. Valeurs possibles : adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Champ de tri | LDD | ID Valeurs possibles : ID Titre Création le Mise à jour : Date de l'événement |
Non | Spécifiez le champ à utiliser pour trier les indicateurs. |
| Sens du tri | LDD | Croissant Valeurs possibles : croissant Décroissant |
Non | Spécifiez le sens de tri. |
| Nombre maximal d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'indicateurs à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération a réussi et que des données sont disponibles (is_success=true) : print "Successfully listed ThreatQ adversaries." Si aucune donnée n'est disponible (is_success=false) : print "No adversaries were found in ThreatQ." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "List Adversaries". Raison : {0}''.format(error.Stacktrace) Si un champ non valide est spécifié dans le paramètre "Champs supplémentaires" : print "Error executing action "List Adversaries". Motif : Un champ non valide a été spécifié dans le paramètre "Champs supplémentaires". '''.format(error.Stacktrace)" |
Général |
| Tableau mural CSV | Nom de la table : Indicateurs ThreatQ Colonne du tableau :
|
Général |
Lister les adversaires
Description
Lister les adversaires de ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Champs supplémentaires | CSV | adversaires, pièces jointes, attributs, commentaires, événements, indicateurs, signatures, sources, spearphishing, tags, type, liste de surveillance. | Non | Spécifiez les champs supplémentaires à inclure dans la réponse. Valeurs possibles : adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Champ de tri | LDD | ID Valeurs possibles : ID Titre Création le Mise à jour : Date de l'événement |
Non | Spécifiez le champ à utiliser pour trier les adversaires. |
| Sens du tri | LDD | Croissant Valeurs possibles : croissant Décroissant |
Non | Spécifiez le sens de tri. |
| Nombre maximal d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'indicateurs à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération a réussi et que des données sont disponibles (is_success=true) : print "Successfully listed ThreatQ indicators." Si aucune donnée n'est disponible (is_success=false) : print "Aucun indicateur n'a été trouvé dans ThreatQ." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "List Indicators". Raison : {0}''.format(error.Stacktrace) Si un champ non valide est spécifié dans le paramètre "Champs supplémentaires" : print "Error executing action "List Indicators". Motif : Un champ non valide a été spécifié dans le paramètre "Champs supplémentaires". '''.format(error.Stacktrace)" |
Général |
| Tableau mural CSV | Nom de la table : Indicateurs ThreatQ Colonne du tableau :
|
Général |
Mettre à jour l'état de l'indicateur
Description
L'état de l'indicateur d'action est mis à jour dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| État | LDD | Actif Valeurs possibles : Actif Expiré Indirecte Récapitulatif Sur liste blanche |
Vrai | Spécifiez le nouvel état de l'indicateur. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success = true) : Si l'indicateur n'a pas été trouvé (is_success = false) : Si l'erreur générale est "Échec" (is_success = false) : Impression : "L'action n'a pas pu mettre à jour l'état de l'indicateur avec la valeur '{0}' dans ThreatQ.".format(valeur de l'indicateur) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Update Indicator Status". Raison : {0}''.format(error.Stacktrace) |
Général |
Mettre à jour le score de l'indicateur
Description
L'action met à jour le score de l'indicateur dans ThreatQ.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Score | LDD | "7 – Moyen" Valeurs possibles : "0 – Très faible" "1 – Très faible" "2 – Très faible" "3 – Très faible" "4 – Très faible" "5 – Faible" "6 – Faible" "7 – Moyen" "8 – Moyen" "9 – Élevé" "10 – Très élevé" |
Oui | Spécifiez le nouveau score de l'indicateur. |
| Validation des scores | LDD | Meilleur score Valeurs possibles : Meilleur score Forcer la mise à jour |
Oui | Spécifiez le type de validation du score à utiliser. Si "Score le plus élevé" est spécifié, l'action comparera les valeurs actuelles et ne mettra à jour le score de l'indicateur que si le score spécifié est supérieur au score actuel généré et manuel. Si "Forcer la mise à jour" est spécifié, l'action met à jour le score de l'indicateur sans comparer les valeurs actuelles. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit (is_success = true) : Si la validation du score est définie sur "Score le plus élevé" et que le score spécifié dans le paramètre d'action est inférieur à celui actuel : (is_success = false) print "Action didn't update score for the indicator with value '{0}' in ThreatQ. Raison : le score actuel est plus élevé.".format(valeur de l'indicateur) Si l'indicateur n'a pas été trouvé (is_success = false) : print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Motif : L'indicateur avec la valeur "{0}" et le type "{1}" est introuvable dans ThreatQ.".format(valeur de l'indicateur, type d'indicateur) Si l'erreur générale est "Échec" (is_success = false) : Impression : "L'action n'a pas pu mettre à jour le score de l'indicateur avec la valeur '{0}' dans ThreatQ.".format(valeur de l'indicateur) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "Update Indicator Score". Raison : {0}''.format(error.Stacktrace) |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.