ThreatQ
統合バージョン: 12.0
リリースノート
ThreatQ 統合の PS バージョンを使用しているお客様は、新しい統合バージョンに合わせてプレイブックを更新する必要があります。「インシデントの詳細を取得」では、エンティティは拡充されません。代わりに、この目的のための他のアクションがあります。
Google Security Operations で ThreatQ の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | オフ | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | オフ | いいえ | インスタンスの説明。 |
| ServerAddress | 文字列 | xx.xx.xx.xx | はい | ThreatQ インスタンスのアドレス。 |
| ClientId | 文字列 | なし | はい | ThreatQ API の ClientId |
| ユーザー名 | 文字列 | なし | はい | ユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
EnrichCVE
説明
ThreatQ の情報を使用して CVE を拡充します。
パラメータ
| 名前 | 型 | デフォルト | 必須 | 説明 |
|---|---|---|---|---|
| スコアのしきい値 | Integer | 5 | いいえ | エンティティの許容可能なスコアのしきい値を設定します。スコアが指定されたしきい値を超えると、エンティティは不審としてマークされます。 |
| ソースを表示 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するソースを含む追加のテーブルが返されます。 |
| コメントを表示する | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するコメントを含む追加のテーブルが返されます。 |
| 属性を表示 | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する属性を含む追加のテーブルを返します。 |
| ホワイトリストに登録済みのエンティティを不審としてマークする | チェックボックス | オン | はい | 有効にすると、エンティティが ThreatQ の許可リストに登録されていても、許可されたしきい値を超えた場合、アクションはエンティティを不審としてマークします。 |
実行
このアクションは CVE エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
説明
ThreatQ の情報を使用してメールアドレスを拡充します。
パラメータ
| 名前 | 型 | デフォルト | 必須 | 説明 |
|---|---|---|---|---|
| スコアのしきい値 | Integer | 5 | いいえ | エンティティの許容可能なスコアのしきい値を設定します。スコアが指定されたしきい値を超えると、エンティティは不審としてマークされます。 |
| ソースを表示 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するソースを含む追加のテーブルが返されます。 |
| コメントを表示する | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するコメントを含む追加のテーブルが返されます。 |
| 属性を表示 | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する属性を含む追加のテーブルを返します。 |
| ホワイトリストに登録済みのエンティティを不審としてマークする | チェックボックス | オン | はい | 有効にすると、エンティティが ThreatQ の許可リストに登録されていても、許可されたしきい値を超えた場合、アクションはエンティティを不審としてマークします。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
説明
ThreatQ の情報を使用してハッシュを拡充します。
パラメータ
| 名前 | 型 | デフォルト | 必須 | 説明 |
|---|---|---|---|---|
| スコアのしきい値 | Integer | 5 | いいえ | エンティティの許容可能なスコアのしきい値を設定します。スコアが指定されたしきい値を超えると、エンティティは不審としてマークされます。 |
| ソースを表示 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するソースを含む追加のテーブルが返されます。 |
| コメントを表示する | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するコメントを含む追加のテーブルが返されます。 |
| 属性を表示 | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する属性を含む追加のテーブルを返します。 |
| ホワイトリストに登録済みのエンティティを不審としてマークする | チェックボックス | オン | はい | 有効にすると、エンティティが ThreatQ の許可リストに登録されていても、許可されたしきい値を超えた場合、アクションはエンティティを不審としてマークします。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
IP を拡充する
説明
ThreatQ の情報を使用して IP を拡充します。
パラメータ
| 名前 | 型 | デフォルト | 必須 | 説明 |
|---|---|---|---|---|
| スコアのしきい値 | Integer | 5 | いいえ | エンティティの許容可能なスコアのしきい値を設定します。スコアが指定されたしきい値を超えると、エンティティは不審としてマークされます。 |
| ソースを表示 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するソースを含む追加のテーブルが返されます。 |
| コメントを表示する | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するコメントを含む追加のテーブルが返されます。 |
| 属性を表示 | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する属性を含む追加のテーブルを返します。 |
| ホワイトリストに登録済みのエンティティを不審としてマークする | チェックボックス | オン | はい | 有効にすると、エンティティが ThreatQ の許可リストに登録されていても、許可されたしきい値を超えた場合、アクションはエンティティを不審としてマークします。 |
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL を拡充する
説明
ThreatQ の情報を使用して URL を拡充します。
パラメータ
| 名前 | 型 | デフォルト | 必須 | 説明 |
|---|---|---|---|---|
| スコアのしきい値 | Integer | 5 | いいえ | エンティティの許容可能なスコアのしきい値を設定します。スコアが指定されたしきい値を超えると、エンティティは不審としてマークされます。 |
| ソースを表示 | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するソースを含む追加のテーブルが返されます。 |
| コメントを表示する | チェックボックス | オン | いいえ | 有効にすると、アクションによって関連するコメントを含む追加のテーブルが返されます。 |
| 属性を表示 | チェックボックス | オン | いいえ | 有効にすると、アクションは関連する属性を含む追加のテーブルを返します。 |
| ホワイトリストに登録済みのエンティティを不審としてマークする | チェックボックス | オン | はい | 有効にすると、エンティティが ThreatQ の許可リストに登録されていても、許可されたしきい値を超えた場合、アクションはエンティティを不審としてマークします。 |
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
指標の詳細を取得する
説明
IP アドレスの詳細を CSV 形式で取得します。
パラメータ
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
Ping
説明
ユーザーのデバイス経由で ThreatQ に接続されていることを確認します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_connect | True/False | is_connect:False |
指標を作成する
説明
ThreatQ でインジケーターを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 ファイル ハッシュ SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
はい | 新しい指標のタイプを指定します。 |
| ステータス | DDL | 有効 値は次のいずれかです。 有効 期限切れ 間接 確認 ホワイトリスト登録済み |
はい | 新しいインジケーターのステータスを指定します。 |
| 説明 | 文字列 | なし | いいえ | 新しい指標の説明を指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つでインジケーターが正常に作成された場合(is_success = true): 「Successfully created indicators in ThreatQ based on the following entities: \n {0}」と出力します。format(entity.identifier リスト) 特定のエンティティに基づいてインジケーターを作成できなかった場合(is_success = true): 「アクションは、次のエンティティに基づいて ThreatQ にインジケーターを作成できませんでした: \n{0}」を出力します。format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): print: "No indicators were created." アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「アクション「インジケーターを作成」の実行中にエラーが発生しました」と出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
Create Adversary
説明
ThreatQ で敵対者を作成します。
パラメータ
なし
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つで敵対者が正常に作成された場合(is_success = true): 特定のエンティティに基づいて敵対者を作成できない場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): 「No adversaries were enriched.」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「敵対者の作成」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
予定を作成
説明
ThreatQ でイベントを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タイトル | 文字列 | なし | はい | イベントのタイトルを指定します。 |
| イベントタイプ | DDL | スピアフィッシング 有効な値: スピアフィッシング 水飲み場型攻撃 SQL インジェクション攻撃 DoS 攻撃 マルウェア ウォッチリスト コマンド&コントロール 匿名化 データの引き出し ホストの特性 漏洩した PKI 証明書 ログインの不正使用 インシデント 目撃情報 |
はい | イベントのタイプを指定します。 |
| 発生日時 | 文字列 | なし | はい | イベントが発生した日時を指定します。このフィールドに何も入力しないと、アクションは現在の時刻を使用します。形式: YYYY-MM-DD hh:mm:ss |
実行
このアクションはエンティティ タイプに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): イベントの作成に失敗した場合(is_success = false): 「Event '{0}' was not created in ThreatQ. 理由: {1}".format(title, errors/[0].value) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「イベントの作成」を印刷します。理由: {0}''.format(error.Stacktrace) 時間の形式が正しくない場合: 「エラー実行アクション 「イベントの作成」を印刷します。理由: 正しくない時間形式が [Happened At] アクション パラメータに渡されました。YYYY-MM-DD hh:mm:ss にする必要があります。'' |
全般 |
属性を追加
説明
アクションはオブジェクトに属性を追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| オブジェクトタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 TTP 脆弱性 |
はい | 属性を追加するオブジェクト タイプを指定します。 |
| オブジェクト識別子 | 文字列 | なし | はい | オブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
はい | インジケーターのタイプを指定します。このパラメータは、オブジェクト タイプが「Indicator」の場合にのみ使用されます。 |
| 属性名 | 文字列 | なし | はい | 属性の名前を指定します。 |
| 属性値 | 文字列 | なし | はい | 属性の値を指定する |
| 属性のソース | 文字列 | なし | いいえ | 属性のソースを指定します。 |
実行
このアクションはエンティティ タイプに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): オブジェクトが見つからなかった場合(is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) 一般的なエラー(is_success = false)の場合: 「Action was not able to add attribute {0} to the ThreatQ object.」と出力します。format(Attribute Name) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「アクション「属性の追加」の実行エラー」を出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
ソースを追加
説明
アクションはオブジェクトにソースを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| オブジェクトタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 TTP 脆弱性 |
はい | ソースを追加するオブジェクト タイプを指定します。 |
| オブジェクト識別子 | 文字列 | なし | はい | オブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
はい | インジケーターのタイプを指定します。このパラメータは、オブジェクト タイプが「Indicator」の場合にのみ使用されます。 |
| ソース名 | 文字列 | なし | はい | 移行元の名前を指定します。 |
実行
このアクションはエンティティ タイプに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): オブジェクトが見つからなかった場合(is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 一般的なエラー(is_success = false)の場合: 「Action was not able to add source {0} to the ThreatQ object.」と出力します。format(Source Name) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「アクション「ソースの追加」の実行エラー」と出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
エンティティをリンクする
説明
アクションは ThreatQ のすべてのエンティティをリンクします。
実行
このアクションは次のエンティティに対して実行されます。
- CVE
- IP アドレス
- URL
- Filehash
- ユーザー
- メールの正規表現に一致するすべてのエンティティ
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが正常にリンクされた場合(is_success = true): 特定のエンティティの関連オブジェクトを一覧表示できなかった場合(is_success = true): 「Action was not able to link the following entities in ThreatQ: \n{0}」を出力します。format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): 「エンティティはリンクされていません。」と出力します。 エンティティが 1 つだけ指定されている場合: アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「エラー実行アクション 「エンティティをリンク」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
エンティティをオブジェクトにリンクする
説明
アクションは ThreatQ のすべてのエンティティをリンクします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| オブジェクトタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | エンティティをリンクするオブジェクトのタイプを指定します。 |
| オブジェクト識別子 | 文字列 | なし | はい | エンティティをリンクするオブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
いいえ | エンティティをリンクするインジケーターのタイプを指定します。このパラメータは、ソース オブジェクト タイプが「Indicator」の場合にのみ使用されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- CVE
- IP アドレス
- URL
- Filehash
- ユーザー
- メールの正規表現に一致するすべてのエンティティ
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 オブジェクトが見つからなかった場合(is_success = false): 「値「{1}」を持つオブジェクト「{0}」にリンクされたエンティティはありませんでした。理由: 値「{1}」のオブジェクト「{0}」が ThreatQ に見つかりませんでした。」.format(オブジェクト タイプ, オブジェクト値) 成功し、指定されたエンティティの少なくとも 1 つが正常にリンクされた場合(is_success = true): 特定のエンティティの関連オブジェクトを一覧表示できなかった場合(is_success = true): 「Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}」と出力します。format(Object Type, Object Identifier, [entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): 「No entities were linked to object '{0}' with value '{1}'.」と出力します(Object Type、Object Identifier)。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「アクション「エンティティをオブジェクトにリンク」の実行エラー」を出力します。理由: {0}''.format(error.Stacktrace) |
全般 |
オブジェクトをリンクする
説明
アクションは ThreatQ の 2 つのオブジェクトをリンクします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ソース オブジェクトのタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | ソース オブジェクトのタイプを指定します。 |
| ソース オブジェクト識別子 | 文字列 | なし | はい | 移行元オブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| ソース インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
いいえ | ソース インジケーターのタイプを指定します。このパラメータは、ソース オブジェクト タイプが「指標」の場合にのみ使用されます。 |
| 宛先オブジェクトのタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | 宛先オブジェクトのタイプを指定します。 |
| 宛先オブジェクト識別子 | 文字列 | なし | はい | 宛先オブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| 宛先インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
いいえ | 宛先インジケーターのタイプを指定します。このパラメータは、[Destination Object Type] が [Indicator] の場合にのみ使用されます。 |
実行
このアクションはエンティティ タイプに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): オブジェクトが見つからなかった場合(is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 一般的なエラー(is_success = false)の場合: 「Action was not able to link objects in ThreatQ.」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「オブジェクトをリンク」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
関連オブジェクトのリスト
説明
ThreatQ でアクション リストに関連するオブジェクトを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ソース オブジェクトのタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | ソース オブジェクトのタイプを指定します。 |
| ソース オブジェクト識別子 | 文字列 | なし | はい | 移行元オブジェクトの識別子を指定します。たとえば、MD5 ハッシュ、イベントのタイトル、攻撃者の名前などを指定できます。 |
| ソース インジケーターのタイプ | DDL | ASN 有効な値: ASN バイナリ文字列 CIDR ブロック CVE メールアドレス メールの添付ファイル メールの件名 ファイル マッピング ファイルパス ファイル名 FQDN ファジー ハッシュ GOST ハッシュ Hash ION IPv4 アドレス IPv6 アドレス MAC アドレス MD5 Mutex パスワード レジストリ キー サービス名 SHA-1 SHA-256 SHA-384 SHA-512 文字列 URL URL パス User-agent ユーザー名 X-Mailer x509 シリアル x509 Subject |
いいえ | ソース インジケーターのタイプを指定します。このパラメータは、ソース オブジェクト タイプが「指標」の場合にのみ使用されます。 |
| 関連オブジェクトのタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | 返される関連オブジェクトのタイプを指定します。 |
| 返す関連オブジェクトの最大数 | Integer | 50 | いいえ | 返される関連オブジェクトの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): ソース オブジェクトが見つからなかった場合(is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) 関連オブジェクト タイプに関連オブジェクトがない場合(is_success=false): "No related {0} object were found.".format(関連オブジェクト タイプ) を出力します。 一般的なエラー(is_success = false)の場合: 「Action was not able to list related objects in ThreatQ」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「関連オブジェクトの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
ケースウォール テーブル (Object type=Event) |
テーブル名: 関連する「Event」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (Object type=File) |
テーブル名: 関連する「ファイル」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (オブジェクト タイプ=攻撃者) |
テーブル名: 関連する「Adversary」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (その他のすべてのオブジェクト タイプ) |
テーブル名: "Related '{0}' objects".format(Destination Object Type) テーブル列:
|
全般 |
エンティティ関連オブジェクトを一覧表示する
説明
ThreatQ のエンティティに関連するオブジェクトのアクション リスト。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 関連オブジェクトのタイプ | DDL | 攻撃者 有効な値: 攻撃者 攻撃パターン キャンペーン 対応策 イベント エクスプロイトのターゲット ファイル ID インシデント インジケーター 侵入セット マルウェア レポート 署名 タスク ツール TTP 脆弱性 |
はい | 返す必要がある関連オブジェクトのタイプを指定します。 |
| 返す関連オブジェクトの最大数 | Integer | 50 | いいえ | 返される関連オブジェクトの数を指定します。最大値は 1,000 です。これは ThreatQ の制限です。 |
実行
このアクションはすべてのエンティティ タイプに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| TQ_related_{0}_id.format(関連オブジェクト タイプ) | id | JSON の結果で利用可能な場合。 |
| TQ_related_{0}_value.format(関連オブジェクト タイプ) | ノードプールの名前です 関連オブジェクト タイプがイベントとファイルの場合: title 関連オブジェクト タイプ = 攻撃者の場合: name |
JSON の結果で利用可能な場合。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つでインジケーターが正常に作成された場合(is_success = true): 特定のエンティティの関連オブジェクトを一覧表示できなかった場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): 「関連オブジェクトはリストにありません。」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「関連オブジェクトの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
ケースウォール テーブル (Object type=Event) |
テーブル名: {エンティティ ID} の関連する「イベント」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (Object type=File) |
テーブル名: {エンティティ ID} に関連する「ファイル」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (オブジェクト タイプ=攻撃者) |
テーブル名: {エンティティ ID} に関連する「攻撃者」オブジェクト テーブル列:
|
全般 |
ケースウォール テーブル (その他のすべてのオブジェクト タイプ) |
テーブル名: "Related '{0}' objects for {entity identifier}".format(Destination Object Type) テーブル列:
|
全般 |
オブジェクトの作成
説明
ThreatQ でオブジェクトを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| オブジェクトタイプ | DDL | 攻撃パターン 有効な値: 攻撃パターン キャンペーン 対応策 エクスプロイトのターゲット ID インシデント 侵入セット マルウェア レポート ツール TTP 脆弱性 |
はい | オブジェクトのタイプを指定します。 |
| 値 | 文字列 | なし | はい | 新しいオブジェクトの値を指定します。 |
| 説明 | 文字列 | なし | いいえ | 新しいオブジェクトの説明を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| TQ_related_{0}_id.format(関連オブジェクト タイプ) | id | JSON の結果で利用可能な場合。 |
| TQ_related_{0}_value.format(関連オブジェクト タイプ) | ノードプールの名前です 関連オブジェクト タイプがイベントとファイルの場合: title 関連オブジェクト タイプ = 攻撃者の場合: name |
JSON の結果で利用可能な場合。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): 新しいアクションの作成に失敗した場合(is_success = false): 「Action was not able to create new {0} object in ThreatQ.」と出力します。format(object_type) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「オブジェクトの作成」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
マルウェアの詳細を取得する
説明
アクションは、ThreatQ のエンティティに基づいてマルウェアに関する情報を返します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| その他の情報 | 文字列 | なし | いいえ | レスポンスに含める追加フィールドを指定します。有効な値: adversaries、attackPattern、campaign、courseOfAction、attachments、attributes、comments、events、indicators、signatures、sources、status、tags、type、watchlist、exploitTarget、identity、incident、intrusionSet、malware、report、tool、ttp、vulnerability、tasks |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| TQ_malware_id | id | JSON の結果で利用可能な場合。 |
| TQ_malware_status_id | status_id | JSON の結果で利用可能な場合。 |
| TQ_malware_type_id | type_id | JSON の結果で利用可能な場合。 |
| TQ_malware_description | 説明 | JSON の結果で利用可能な場合。 |
| TQ_malware_created_at | created_at | JSON の結果で利用可能な場合。 |
| TQ_malware_updated_at | updated_at | JSON の結果で利用可能な場合。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが正常に拡充された場合(is_success = true): 特定のエンティティの関連オブジェクトを一覧表示できない場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): 「拡充されたエンティティはありません。」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「アクション「マルウェアの詳細を取得」の実行エラー」を出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
| リンク | 名前: {entity} の詳細 Link:https://{server_ip}malware/{id}/details |
イベントのリストを取得する
説明
ThreatQ のイベントを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 追加フィールド | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | いいえ | レスポンスに含める追加フィールドを指定します。有効な値: adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 |
| フィールドの並べ替え | DDL | ID 値は次のいずれかです。 ID タイトル 作成日 最終更新日時 発生日時 |
いいえ | イベントの並べ替えに使用するフィールドを指定します。 |
| 並べ替えの方向 | DDL | 昇順 可能な値: 昇順 降順 |
いいえ | 並べ替えの方向を指定します。 |
| 返されるイベントの最大数 | Integer | 50 | いいえ | 返すイベントの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、データが利用可能な場合(is_success=true): 「ThreatQ イベントを正常に一覧表示しました。」と出力します。 イベントが失敗した場合(is_success=false): 「ThreatQ にイベントが見つかりませんでした」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「イベントの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) 「Additional Fields」パラメータに無効なフィールドが指定されている場合: 「エラー実行アクション 「イベントの一覧表示」を印刷します。理由: 「追加フィールド」パラメータで無効なフィールドが指定されました。'''.format(error.Stacktrace)" |
全般 |
| CSV Wall テーブル | テーブル名: ThreatQ イベント テーブル列:
|
全般 |
指標の一覧表示
説明
ThreatQ のインジケーターを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 追加フィールド | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | いいえ | レスポンスに含める追加フィールドを指定します。有効な値: adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。 |
| フィールドの並べ替え | DDL | ID 値は次のいずれかです。 ID タイトル 作成日 最終更新日時 発生日時 |
いいえ | 指標の並べ替えに使用するフィールドを指定します。 |
| 並べ替えの方向 | DDL | 昇順 可能な値: 昇順 降順 |
いいえ | 並べ替えの方向を指定します。 |
| 返されるイベントの最大数 | Integer | 50 | いいえ | 返されるインジケーターの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、データが利用可能な場合(is_success=true): 「ThreatQ の敵対者を一覧表示しました。」と出力されます。 データが利用できない場合(is_success=false): 「ThreatQ で敵対者は見つかりませんでした」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「敵対者のリスト」を印刷します。理由: {0}」.format(error.Stacktrace) 「Additional Fields」パラメータに無効なフィールドが指定されている場合: 「エラー実行アクション 「敵対者のリスト」を印刷します。理由: 「追加フィールド」パラメータで無効なフィールドが指定されました。'''.format(error.Stacktrace)" |
全般 |
| CSV Wall テーブル | テーブル名: ThreatQ Indicators テーブル列:
|
全般 |
実行グループの一覧を取得する
説明
ThreatQ の敵対者を一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 追加フィールド | CSV | adversaries、attachments、attributes、comments、events、indicators、signatures、sources、spearphish、tags、type、watchlist。 | いいえ | レスポンスに含める追加フィールドを指定します。有効な値: adversaries、attachments、attributes、comments、events、indicators、score、signatures、sources、status、tags、type、watchlist。 |
| フィールドの並べ替え | DDL | ID 値は次のいずれかです。 ID タイトル 作成日 最終更新日時 発生日時 |
いいえ | 敵対者を並べ替えるために使用するフィールドを指定します。 |
| 並べ替えの方向 | DDL | 昇順 可能な値: 昇順 降順 |
いいえ | 並べ替えの方向を指定します。 |
| 返されるイベントの最大数 | Integer | 50 | いいえ | 返されるインジケーターの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、データが利用可能な場合(is_success=true): 「ThreatQ インジケーターを一覧表示しました。」と出力します。 データが利用できない場合(is_success=false): 「ThreatQ でインジケーターが見つかりませんでした。」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「インジケーターの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) 「Additional Fields」パラメータに無効なフィールドが指定されている場合: 「エラー実行アクション 「インジケーターの一覧表示」を印刷します。理由: 「追加フィールド」パラメータで無効なフィールドが指定されました。'''.format(error.Stacktrace)" |
全般 |
| CSV Wall テーブル | テーブル名: ThreatQ Indicators テーブル列:
|
全般 |
インジケーターのステータスを更新する
説明
アクションにより、ThreatQ のインジケーターのステータスが更新されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ステータス | DDL | 有効 値は次のいずれかです。 有効 期限切れ 間接 確認 ホワイトリスト登録済み |
正しい | インジケーターの新しいステータスを指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): インジケーターが見つからなかった場合(is_success = false): 一般的なエラーが発生した場合(is_success = false): 「Action was not able to update status for the indicator with value '{0}' in ThreatQ.」と出力します。format(indicator value) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「アクション「インジケーターのステータスを更新」の実行エラー」を出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
指標スコアを更新する
説明
アクションにより、ThreatQ のインジケーター スコアが更新されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| スコア | DDL | "7 - Medium" 有効な値: 「0 - 非常に低い」 「1 - 非常に低い」 「2 - 非常に低い」 「3 - 非常に低い」 「4 - 非常に低い」 「5 - 低」 「6 - 低」 「7 - 中」 「8 - 中」 「9 - 高」 「10 - 非常に高い」 |
はい | 指標の新しいスコアを指定します。 |
| スコアの検証 | DDL | スコアの高い順 有効な値: スコアの高い順 更新を強制実行 |
はい | 使用するスコア検証の種類を指定します。[Highest Score](最高スコア)が指定されている場合、アクションは現在の値を比較し、指定されたスコアが現在生成されているスコアと手動スコアよりも高い場合にのみ、指標のスコアを更新します。[Force Update] が指定されている場合、アクションは現在の値を比較せずに指標のスコアを更新します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success = true): スコア検証 == 「最高スコア」で、アクション パラメータで指定されたスコアが現在のスコアより小さい場合(is_success = false): 「アクションは ThreatQ の値「{0}」を持つインジケータのスコアを更新しませんでした。理由: 現在のスコアの方が高い。」.format(指標値) インジケーターが見つからなかった場合(is_success = false): 「Action was not able to update score for the indicator with value '{0}' in ThreatQ. 理由: 値「{0}」とタイプ「{1}」のインジケーターが ThreatQ に見つかりませんでした。」.format(インジケーター値, インジケーター タイプ) 一般的なエラーが発生した場合(is_success = false): 「Action was not able to update score for the indicator with value '{0}' in ThreatQ.」と出力します。format(indicator value) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「アクション「インジケーター スコアを更新」の実行エラー」を出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。