ThreatQ
Versão da integração: 12.0
Notas de lançamento
Os clientes que tenham uma versão PS da integração do ThreatQ têm de atualizar os respetivos manuais de procedimentos para se alinharem com a nova versão de integração. "Get incident details" não enriquece as entidades. Em alternativa, temos outras ações para este fim.
Configure a integração do ThreatQ no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | Desmarcado | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | Desmarcado | Não | Descrição da instância. |
| ServerAddress | String | xx.xx.xx.xx | Sim | Endereço da instância do ThreatQ. |
| ClientId | String | N/A | Sim | ClientId para a API ThreatQ |
| Nome de utilizador | String | N/A | Sim | Email do utilizador. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
EnrichCVE
Descrição
Enriqueça uma CVE com informações do ThreatQ.
Parâmetros
| Nome | Tipo | Predefinição | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade é marcada como suspeita. |
| Mostrar origens | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com origens relacionadas. |
| Mostrar comentários | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com comentários relacionados. |
| Mostrar atributos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com atributos relacionados. |
| Marque entidades na lista de autorizações como suspeitas | Caixa de verificação | Marcado | Sim | Se esta opção estiver ativada, a ação marca as entidades como suspeitas se tiverem ultrapassado o limite permitido, mesmo que a entidade esteja na lista de autorizações no ThreatQ. |
Executar em
Esta ação é executada na entidade CVE.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichEmail
Descrição
Enriqueça um endereço de email com informações do ThreatQ.
Parâmetros
| Nome | Tipo | Predefinição | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade é marcada como suspeita. |
| Mostrar origens | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com origens relacionadas. |
| Mostrar comentários | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com comentários relacionados. |
| Mostrar atributos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com atributos relacionados. |
| Marque entidades na lista de autorizações como suspeitas | Caixa de verificação | Marcado | Sim | Se esta opção estiver ativada, a ação marca as entidades como suspeitas se tiverem ultrapassado o limite permitido, mesmo que a entidade esteja na lista de autorizações no ThreatQ. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "f74ee458b6e12452a04c6595bb3cd2d9",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-15 13:37:43",
"type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"value": "star@star.star",
"id": 36,
"touched_at": "2020-04-15 13:37:43",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-04-15 13:37:43",
"indicator_type_id": 5,
"updated_at": "2020-04-15 13:37:43",
"indicator_status_id": 2,
"indicator_id": 36,
"published_at": "2020-04-15 13:37:43",
"reference_id": 1,
"source_id": 5,
"id": 44
}],
"published_at": "2020-04-15 13:37:43",
"score": 0,
"type": {
"class": "network",
"name": "Email Address",
"id": 5
},
"class": "network",
"expired_at": "2020-04-15 13:37:43"
}]},
"Entity": "email@example.com"
}
]
EnrichHash
Descrição
Enriqueça um hash com informações do ThreatQ.
Parâmetros
| Nome | Tipo | Predefinição | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade é marcada como suspeita. |
| Mostrar origens | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com origens relacionadas. |
| Mostrar comentários | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com comentários relacionados. |
| Mostrar atributos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com atributos relacionados. |
| Marque entidades na lista de autorizações como suspeitas | Caixa de verificação | Marcado | Sim | Se esta opção estiver ativada, a ação marca as entidades como suspeitas se tiverem ultrapassado o limite permitido, mesmo que a entidade esteja na lista de autorizações no ThreatQ. |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "8b168f614b40150266d304dbd5c78036",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-11 11:26:32",
"tags": ["malware", "trojan"],
"updated_at": "2020-04-07 13:08:42",
"value": "d41d8cd98f00b204e9800998ecf8427e",
"id": 2,
"touched_at": "2020-04-07 13:08:42",
"sources": [{
"name": "Domain Tools",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:04:31",
"indicator_type_id": 18,
"updated_at": "2020-03-15 15:04:31",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-15 15:04:31",
"reference_id": 1,
"source_id": 5,
"id": 7
}, {
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-03-11 11:26:32",
"indicator_type_id": 18,
"updated_at": "2020-03-11 12:25:17",
"indicator_status_id": 1,
"indicator_id": 2,
"published_at": "2020-03-11 11:26:32",
"reference_id": 1,
"source_id": 8,
"id": 2
}],
"published_at": "2020-03-11 11:26:32",
"score": 10,
"comments": [{
"source_name": "tip.labops@siemplify.co",
"creator_source_id": 8,
"created_at": "2020-03-11 12:32:22",
"updated_at": "2020-03-11 12:32:22",
"value": "Comment",
"indicator_id": 2,
"id": 1
}],
"type_id": 18,
"attributes": [{
"name": "Category",
"created_at": "2020-03-11 11:28:58",
"updated_at": "2020-03-11 11:28:58",
"value": "Malware",
"touched_at": "2020-03-11 11:28:58",
"indicator_id": 2,
"attribute_id": 1,
"id": 1
}, {
"name": "VirusTotal: Permalink",
"created_at": "2020-03-11 12:34:47",
"updated_at": "2020-03-11 12:34:47",
"value": "https:\/\/www.virustotal.com\/file\/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\/analysis\/1583929494\/",
"touched_at": "2020-03-11 12:34:47",
"indicator_id": 2,
"attribute_id": 3,
"id": 2
}],
"type": {
"class": "host",
"name": "MD5",
"id": 18
},
"class": "host"
}]},
"Entity": "d41d8cd98f00b204e9800998ecf8427e"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "4ca64ed42f6f4e49f1775e5c63d371cd",
"description": "<p>Test \u05D3 \u05DE\u05D5\u05E0\u05D7\u05D9\u05DD \u05DE\u05D5\u05E2\u05DE\u05D3\u05D9\u05DD \u05E9\u05DC, \u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4\u05D4 \u05D6\u05D0<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 12:47:35",
"type_id": 23,
"updated_at": "2020-04-09 08:00:35",
"value": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd",
"id": 25,
"touched_at": "2020-04-09 08:01:42",
"sources": [{
"name": "Investigation1",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 12:47:35",
"indicator_type_id": 23,
"updated_at": "2020-04-08 12:47:35",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-08 12:47:35",
"reference_id": 1,
"source_id": 9,
"id": 27
}, {
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8, "created_at": "2020-04-09 08:01:42",
"indicator_type_id": 23,
"updated_at": "2020-04-09 08:01:42",
"indicator_status_id": 2,
"indicator_id": 25,
"published_at": "2020-04-09 08:01:42",
"reference_id": 2,
"source_id": 10,
"id": 32
}],
"published_at": "2020-04-08 12:47:35",
"score": 0,
"type": {
"class": "host",
"name": "SHA-1",
"id": 23
},
"class": "host",
"expired_at": "2020-04-08 12:47:35"
}]},
"Entity": "8e545e1c31f91f777c894b3bd2c2e7d7044cc9dd"
}
]
Enriquecer IP
Descrição
Enriqueça um IP com informações do ThreatQ.
Parâmetros
| Nome | Tipo | Predefinição | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade é marcada como suspeita. |
| Mostrar origens | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com origens relacionadas. |
| Mostrar comentários | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com comentários relacionados. |
| Mostrar atributos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com atributos relacionados. |
| Marque entidades na lista de autorizações como suspeitas | Caixa de verificação | Marcado | Sim | Se esta opção estiver ativada, a ação marca as entidades como suspeitas se tiverem ultrapassado o limite permitido, mesmo que a entidade esteja na lista de autorizações no ThreatQ. |
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "No longer poses a serious threat.",
"name": "Expired",
"id": 2
},
"hash": "cb8036b0a7a0ebeeff97a5fe620c4b2c",
"description": "<p>\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4<\/p>",
"adversaries": [],
"status_id": 2,
"created_at": "2020-04-08 13:09:02",
"type_id": 15,
"updated_at": "2020-04-09 08:46:43",
"value": "8.8.8.8",
"id": 27,
"touched_at": "2020-04-09 08:46:50",
"sources": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"source_type": "other_sources",
"creator_source_id": 8,
"created_at": "2020-04-08 13:09:02",
"indicator_type_id": 15,
"updated_at": "2020-04-08 13:10:11",
"indicator_status_id": 2,
"indicator_id": 27,
"published_at": "2020-04-08 13:09:02",
"reference_id": 2,
"source_id": 10,
"id": 30
}],
"published_at": "2020-04-08 13:09:02",
"score": 0,
"comments": [{
"source_name": "example@mail.com",
"creator_source_id": 8,
"created_at": "2020-04-09 08:46:50",
"updated_at": "2020-04-09 08:46:50",
"value": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4awdwqwq",
"indicator_id": 27,
"id": 5
}],
"attributes": [{
"name": "\u05D3\u05EA \u05D3\u05E4\u05D9\u05DD \u05DE\u05D0\u05DE\u05E8\u05E9\u05D9\u05D7\u05D4\u05E6\u05E4",
"created_at": "2020-04-09 08:46:26",
"updated_at": "2020-04-09 08:46:26",
"value": "hvvhv",
"touched_at": "2020-04-09 08:46:26",
"indicator_id": 27,
"attribute_id": 4,
"id": 6
}],
"type": {
"class": "network",
"name": "IP Address",
"id": 15
},
"class": "network",
"expired_at": "2020-04-08 13:10:11"
}]},
"Entity": "8.8.8.8"
}
]
URL de enriquecimento
Descrição
Enriqueça um URL com informações do ThreatQ.
Parâmetros
| Nome | Tipo | Predefinição | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação | Número inteiro | 5 | Não | Defina o limite de pontuação aceitável para a entidade. Se a pontuação exceder o limite especificado, a entidade é marcada como suspeita. |
| Mostrar origens | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com origens relacionadas. |
| Mostrar comentários | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com comentários relacionados. |
| Mostrar atributos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve uma tabela adicional com atributos relacionados. |
| Marque entidades na lista de autorizações como suspeitas | Caixa de verificação | Marcado | Sim | Se esta opção estiver ativada, a ação marca as entidades como suspeitas se tiverem ultrapassado o limite permitido, mesmo que a entidade esteja na lista de autorizações no ThreatQ. |
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "e216253c1198b44c99c6841899c68418",
"adversaries": [],
"status_id": 1,
"created_at": "2020-04-08 08:59:59",
"type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"value": "example2.sk",
"id": 19,
"touched_at": "2020-04-08 08:59:59",
"sources": [{
"name": "tip.labops@siemplify.co",
"source_type": "users",
"creator_source_id": 8,
"created_at": "2020-04-08 08:59:59",
"indicator_type_id": 30,
"updated_at": "2020-04-08 08:59:59",
"indicator_status_id": 1,
"indicator_id": 19,
"published_at": "2020-04-08 08:59:59",
"reference_id": 1,
"source_id": 8,
"id": 21
}],
"published_at": "2020-04-08 08:59:59",
"score": 0,
"expires_calculated_at": "2020-04-08 09:00:01",
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "example2.sk"
}, {
"EntityResult": {
"total": 1,
"data": [{
"status": {
"description": "Poses a threat and is being exported to detection tools.",
"name": "Active",
"id": 1
},
"hash": "69d4269b838ce143e6f0656384c58ff8",
"description": "<p>URL<\/p>",
"adversaries": [],
"status_id": 1,
"created_at": "2020-03-15 15:49:04",
"tags": ["URL"],
"updated_at": "2020-03-15 15:51:13",
"value": "www.example.com",
"id": 7,
"touched_at": "2020-03-15 15:51:13",
"sources": [{
"name": "Emerging Threats",
"source_type": "plugins",
"creator_source_id": 8,
"created_at": "2020-03-15 15:49:04",
"indicator_type_id": 30,
"updated_at": "2020-03-15 15:49:04",
"indicator_status_id": 1,
"indicator_id": 7,
"published_at": "2020-03-15 15:49:04",
"reference_id": 2,
"source_id": 6,
"id": 9
}],
"published_at": "2020-03-15 15:49:04",
"score": 0,
"expires_calculated_at": "2020-03-15 15:50:02",
"type_id": 30,
"attributes": [{
"name": "Category",
"created_at": "2020-03-15 15:51:03",
"updated_at": "2020-03-15 15:51:03",
"value": "Malware",
"touched_at": "2020-03-15 15:51:03",
"indicator_id": 7,
"attribute_id": 1,
"id": 5
}],
"type": {
"class": "network",
"name": "URL",
"id": 30
},
"class": "network"
}]},
"Entity": "www.example.com"
}
]
Get Indicator Details
Descrição
Obtenha os detalhes de um endereço IP num formato CSV.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Tchim-tchim
Descrição
Verifica se o utilizador tem uma ligação ao ThreatQ através do respetivo dispositivo.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connect | Verdadeiro/Falso | is_connect:False |
Crie um indicador
Descrição
Crie um indicador no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de indicador | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço Hash do ficheiro SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo do novo indicador. |
| Estado | LDD | Ativo Valores possíveis: Ativo Expirado Indireto Reveja Na lista de autorizações |
Sim | Especifique o estado do novo indicador. |
| Descrição | String | N/A | Não | Especifique a descrição do novo indicador. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 1,
"data": [
{
"id": 24,
"type_id": 7,
"status_id": 1,
"class": "network",
"hash": "ee8c2ae6818a9bb8c3b644ab1d3b2777",
"value": "115.47.67.161",
"description": "Kek",
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "Y",
"expires_calculated_at": null,
"created_at": "2020-07-20 07:26:52",
"updated_at": "2020-07-20 07:35:06",
"touched_at": "2020-07-20 07:35:06",
"existing": "Y",
"type": {
"id": 7,
"name": "Email Subject",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
}
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: se tiver êxito e, pelo menos, uma das entidades fornecidas tiver criado um indicador com êxito (is_success = true): print "Successfully created indicators in ThreatQ based on the following entities: \n {0}".format(entity.identifier list) Se não conseguir criar indicadores com base nas entidades específicas(is_success = true): print "Action was not able to create indicators in ThreatQ based on the following entities: \n{0}".format([entity.identifier]) If fail to enrich for all entities (is_success = false): print: "No indicators were created." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Create Indicator". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Crie um adversário
Descrição
Crie um adversário no ThreatQ.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"name": "Adversary Nameaa",
"updated_at": "2020-07-20 08:21:34",
"created_at": "2020-07-20 08:21:34",
"id": 11
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful and at least one of the provided entities successfully created an adversary (is_success = true): If fail to create adversaries based on the specific entities(is_success = true): If fail to enrich for all entities (is_success = false): Imprimir: "Nenhum adversário foi enriquecido." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Create Adversary". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Criar evento
Descrição
Crie um evento no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Título | String | N/A | Sim | Especifique o título do evento. |
| Tipo de evento | LDD | Spearphish Valores possíveis: Spearphish Watering hole Ataque de injeção SQL Ataque DoS Software malicioso Lista de visualização Comando e controlo Anonimização Exfiltração Caraterísticas do anfitrião Certificado PKI comprometido Início de sessão comprometido Incidente Avistamento |
Sim | Especifique o tipo de evento. |
| Ocorrido às | String | N/A | Sim | Especifique quando o evento ocorreu. Se não for introduzido nada neste campo, a ação usa a hora atual. Formato: AAAA-MM-DD hh:mm:ss |
Executar em
Esta ação não é executada em tipos de entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"title": "Event Name",
"type_id": 3,
"happened_at": "2017-03-20 01:43:05",
"hash": "e59c3274f3156b10aca1c8962a5880cb",
"updated_at": "2020-07-20 08:40:53",
"created_at": "2020-07-20 08:40:53",
"touched_at": "2020-07-20 08:40:53",
"id": 3,
"type": {
"id": 3,
"name": "SQL Injection Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
}
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido (is_success = true): If fail to create event (is_success = false): Print: "O evento "{0}" não foi criado no ThreatQ. Motivo: {1}".format(title, errors/[0].value) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Create Event". Motivo: {0}''.format(error.Stacktrace) Se for usado um formato de hora incorreto: print "Error executing action "Create Event". Motivo: foi transmitido um formato de hora incorreto ao parâmetro de ação "Ocorreu em". Deve ser AAAA-MM-DD hh:mm:ss.'' |
Geral |
Adicionar atributo
Descrição
A ação adiciona um atributo ao objeto.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura TTP Vulnerabilidade |
Sim | Especifique a que tipo de objeto deve ser adicionado o atributo. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo de indicador. Este parâmetro só é usado se o tipo de objeto for "Indicador" |
| Nome do atributo | String | N/A | Sim | Especifique o nome do atributo. |
| Valor de atributo | String | N/A | Sim | Especifique o valor do atributo |
| Origem do atributo | String | N/A | Não | Especifique a origem do atributo. |
Executar em
Esta ação não é executada em tipos de entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
{
"attribute_id": 4,
"value": "4012",
"incident_id": 1,
"id": 1,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"touched_at": "2020-07-20 13:29:29",
"name": "321",
"attribute": {
"id": 4,
"name": "321",
"created_at": "2020-07-20 13:21:09",
"updated_at": "2020-07-20 13:21:09"
},
"sources": [
{
"id": 10,
"type": "other_sources",
"reference_id": 2,
"name": "123 User",
"tlp_id": null,
"created_at": "2020-07-20 13:29:29",
"updated_at": "2020-07-20 13:29:29",
"published_at": null,
"pivot": {
"incident_attribute_id": 1,
"source_id": 10,
"id": 1,
"creator_source_id": 8
}
}
]
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: se for bem-sucedido (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object identifier) If general error (is_success = false): Imprimir "Não foi possível adicionar o atributo {0} ao objeto ThreatQ.".format(nome do atributo) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Add Attribute". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicione uma fonte
Descrição
A ação adiciona uma origem ao objeto.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura TTP Vulnerabilidade |
Sim | Especifique a que tipo de objeto deve ser adicionada a origem. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Sim | Especifique o tipo de indicador. Este parâmetro só é usado se o tipo de objeto for "Indicador". |
| Nome da Origem | String | N/A | Sim | Especifique o nome da origem. |
Executar em
Esta ação não é executada em tipos de entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 1,
"data": [
{
"id": 3,
"incident_id": 1,
"source_id": 11,
"creator_source_id": 8,
"tlp_id": null,
"created_at": "2020-07-20 14:12:52",
"updated_at": "2020-07-20 14:12:52",
"published_at": null,
"deleted_at": null,
"existing": 0,
"name": "321"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) If general error (is_success = false): Imprimir "Não foi possível adicionar a origem {0} ao objeto ThreatQ.".format(Source Name) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Add Source". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Associar entidades
Descrição
Os links de ações incluem todas as entidades no ThreatQ.
Executar em
Esta ação é executada nas seguintes entidades:
- CVE
- Endereço IP
- URL
- Filehash
- Utilizador
- Todas as entidades que correspondem à regex de email
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for associada com êxito (is_success = true): Se não for possível listar objetos relacionados para entidades específicas(is_success = true): print "Action was not able to link the following entities in ThreatQ: \n{0}".format([entity.identifier]) If fail to enrich for all entities (is_success = false): Impressão: "Não foram associadas entidades." Se for fornecida apenas uma entidade: A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Link Entities". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Associe entidades ao objeto
Descrição
Os links de ações incluem todas as entidades no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto ao qual quer associar entidades. |
| Identificador de objeto | String | N/A | Sim | Especifique o identificador do objeto ao qual quer associar entidades. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador ao qual quer associar entidades. Este parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
Executar em
Esta ação é executada nas seguintes entidades:
- CVE
- Endereço IP
- URL
- Filehash
- Utilizador
- Todas as entidades que correspondem à regex de email
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o objeto não foi encontrado (is_success = false): Print: "No entities were linked to object '{0}' with value '{1}'. Motivo: o objeto "{0}" com o valor "{1}" não foi encontrado no ThreatQ.".format(Object Type, Object Value) Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for associada com êxito (is_success = true): Se não for possível listar objetos relacionados para entidades específicas(is_success = true): print "Action was not able to link the following entities to object '{0}' with value '{1}' in ThreatQ: \n{2}".format(Object Type, Object Identifier, [entity.identifier]) If fail to enrich for all entities (is_success = false): Print: "No entities were linked to object '{0}' with value '{1}'.".format(Object Type, Object Identifier) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Link Entities To Object". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Objetos de links
Descrição
Os links de ações associam dois objetos no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto de origem | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de origem. |
| Identificador do objeto de origem | String | N/A | Sim | Especifique o identificador do objeto de origem. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador de origem | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de origem. Este parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
| Tipo de objeto de destino | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de destino. |
| Identificador do objeto de destino | String | N/A | Sim | Especifique o identificador do objeto de destino. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador de destino | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de destino. Este parâmetro só é usado se o tipo de objeto de destino for "Indicador". |
Executar em
Esta ação não é executada em tipos de entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-20 14:50:14",
"object_id": 4,
"object_code": "incident",
"object_name": "Incident",
"object_name_plural": "Incidents",
"pivot": {
"id": 18,
"created_at": "2020-07-20 14:50:14",
"updated_at": "2020-07-20 14:50:14"
}
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful (is_success = true): Se o objeto não foi encontrado (is_success = false): Print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) If general error (is_success = false): print "Action was not able to link objects in ThreatQ." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Link Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Listar objetos relacionados
Descrição
As listas de ações mostram os objetos relacionados no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto de origem | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo do objeto de origem. |
| Identificador do objeto de origem | String | N/A | Sim | Especifique o identificador do objeto de origem. Por exemplo, pode ser um hash MD5, o título do evento, o nome do adversário, etc. |
| Tipo de indicador de origem | LDD | ASN Valores possíveis: ASN String binária Bloco CIDR CVE Endereço de email Anexo de email Assunto do email Mapeamento de ficheiros Caminho do ficheiro Nome do ficheiro FQDN Hash semelhante Hash GOST Hash ION Endereço IPv4 Endereço IPv6 Endereço MAC MD5 Mutex Palavra-passe Chave de registo Nome do serviço SHA-1 SHA-256 SHA-384 SHA-512 String URL Caminho de URL Agente do utilizador Nome de utilizador X-Mailer x509 Serial Assunto x509 |
Não | Especifique o tipo de indicador de origem. Este parâmetro só é usado se o tipo de objeto de origem for "Indicador". |
| Tipo de objeto relacionado | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto relacionado que tem de ser devolvido. |
| Max Related Objects To Return | Número inteiro | 50 | Não | Especifique quantos objetos relacionados devem ser devolvidos. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful (is_success = true): If Source object was not found (is_success = false): print: "'{0}' object with value '{1}' was not found in ThreatQ.".format(Object Type, Object Value) Se não existirem objetos relacionados para o tipo de objeto relacionado : (is_success=false): Imprima "Não foram encontrados objetos {0} relacionados.".format(Related Object Type) If general error (is_success = false): Imprima "Action was not able to list related objects in ThreatQ." A ação deve falhar e parar a execução de um guia interativo: Se for um erro fatal, como credenciais incorretas, sem ligação ao servidor , outro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tabela de parede da caixa (Tipo de objeto=Evento) |
Nome da tabela: objetos "Evento" relacionados Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Object type=File) |
Nome da tabela: objetos "File" relacionados Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Object type=Adversary) |
Nome da tabela: objetos "Adversary" relacionados Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Todos os outros tipos de objetos) |
Nome da tabela: "Objetos '{0}' relacionados".format(Destination Object Type) Colunas da tabela:
|
Geral |
Listar objetos relacionados com entidades
Descrição
As listas de ações relacionam objetos para entidades no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto relacionado | LDD | Adversário Valores possíveis: Adversário Padrão de ataque Campanha Linha de conduta Evento Alvo de exploração Ficheiro Identidade Incidente Indicador Conjunto de intrusões Software malicioso Relatório Assinatura Tarefa Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto relacionado que tem de ser devolvido. |
| Max Related Objects To Return | Número inteiro | 50 | Não | Especifique quantos objetos relacionados devem ser devolvidos. O máximo é 1000. Esta é uma limitação do ThreatQ. |
Executar em
Esta ação é executada em todos os tipos de entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Se estiver disponível no resultado JSON. |
| TQ_related_{0}_value.format(Related object type) | valor. Se o tipo de objeto relacionado for = evento e ficheiro: título Se o tipo de objeto relacionado for = adversário: nome |
Se estiver disponível no resultado JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 2,
"data": [
{
"id": 1,
"value": "Incident 1",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-09 06:15:00",
"ended_at": "2020-07-09 06:15:00",
"created_at": "2020-07-09 06:16:10",
"updated_at": "2020-07-09 06:16:10",
"touched_at": "2020-07-21 06:53:33",
"deleted_at": null,
"pivot": {
"id": 20,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 1,
"created_at": "2020-07-21 06:53:33",
"updated_at": "2020-07-21 06:53:33"
}
},
{
"id": 2,
"value": "123123",
"status_id": null,
"type_id": null,
"description": null,
"started_at": "2020-07-20 12:27:00",
"ended_at": "2020-07-20 12:27:00",
"created_at": "2020-07-20 12:27:10",
"updated_at": "2020-07-20 12:27:10",
"touched_at": "2020-07-21 06:53:49",
"deleted_at": null,
"pivot": {
"id": 21,
"src_type": "indicator",
"src_object_id": 1,
"dest_type": "incident",
"dest_object_id": 2,
"created_at": "2020-07-21 06:53:49",
"updated_at": "2020-07-21 06:53:49"
}
}
],
"limit": 2,
"offset": 0
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful and at least one of the provided entities successfully created an indicator (is_success = true): If fail to list related objects for specific entities(is_success = true): If fail to enrich for all entities (is_success = false): Impressão: "Não foram apresentados objetos relacionados." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "List Related Objects". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tabela de parede da caixa (Tipo de objeto=Evento) |
Nome da tabela: objetos "Event" relacionados para {entity identifier} Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Object type=File) |
Nome da tabela: objetos "File" relacionados para {entity identifier} Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Object type=Adversary) |
Nome da tabela: objetos "Adversary" relacionados para {entity identifier} Colunas da tabela:
|
Geral |
Tabela de parede da caixa (Todos os outros tipos de objetos) |
Nome da tabela: "Objetos '{0}' relacionados para {entity identifier}".format(Destination Object Type) Colunas da tabela:
|
Geral |
Criar objeto
Descrição
Crie um objeto no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de objeto | LDD | Padrão de ataque Valores possíveis: Padrão de ataque Campanha Linha de conduta Alvo de exploração Identidade Incidente Conjunto de intrusões Software malicioso Relatório Ferramenta TTP Vulnerabilidade |
Sim | Especifique o tipo de objeto. |
| Valor | String | N/A | Sim | Especifique o valor do novo objeto. |
| Descrição | String | N/A | Não | Especifique a descrição do novo objeto. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_related_{0}_id.format(Related object type) | id | Se estiver disponível no resultado JSON. |
| TQ_related_{0}_value.format(Related object type) | valor. Se o tipo de objeto relacionado for = evento e ficheiro: título Se o tipo de objeto relacionado for = adversário: nome |
Se estiver disponível no resultado JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"value": "Adversary Nameaaa",
"description": "Koko",
"updated_at": "2020-07-21 08:46:55",
"created_at": "2020-07-21 08:46:55",
"id": 2,
"object_id": 1,
"object_code": "campaign",
"object_name": "Campaign",
"object_name_plural": "Campaigns"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful (is_success = true): If fail to create new action (is_success = false): Print: "Action was not able to create new {0} object in ThreatQ.".format(object_type) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Create Object". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Obtenha detalhes do software malicioso
Descrição
A ação devolve informações sobre software malicioso com base em entidades do ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Informações adicionais | String | N/A | Não | Especifique que campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attackPattern, campaign, courseOfAction, attachments, attributes, comments, events, indicators, signatures, sources, status, tags, type, watchlist, exploitTarget, identity, incident, intrusionSet, malware, report, tool, ttp, vulnerability, tasks |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| TQ_malware_id | id | Se estiver disponível no resultado JSON. |
| TQ_malware_status_id | status_id | Se estiver disponível no resultado JSON. |
| TQ_malware_type_id | type_id | Se estiver disponível no resultado JSON. |
| TQ_malware_description | descrição | Se estiver disponível no resultado JSON. |
| TQ_malware_created_at | created_at | Se estiver disponível no resultado JSON. |
| TQ_malware_updated_at | updated_at | Se estiver disponível no resultado JSON. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 1,
"data": [
{
"id": 1,
"value": "Investigation1",
"status_id": null,
"type_id": null,
"description": "<p>Investigation1</p>\n",
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"touched_at": "2020-07-20 14:46:42",
"object_id": 9,
"object_code": "malware",
"object_name": "Malware",
"object_name_plural": "Malware",
"adversaries": [],
"attack_pattern": [],
"campaign": [],
"course_of_action": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [],
"signatures": [],
"sources": [
{
"id": 5,
"type": "plugins",
"reference_id": 1,
"name": "Domain Tools",
"tlp_id": null,
"created_at": "2020-07-08 15:59:20",
"updated_at": "2020-07-08 15:59:20",
"published_at": null,
"pivot": {
"malware_id": 1,
"source_id": 5,
"id": 1,
"creator_source_id": 8
}
}
],
"status": null,
"tags": [],
"type": null,
"watchlist": [],
"exploit_target": [],
"identity": [],
"incident": [],
"intrusion_set": [],
"malware": [],
"report": [],
"tool": [],
"ttp": [],
"vulnerability": [],
"tasks": [
{
"id": 5,
"name": "Task2",
"description": "<p>Task2</p>\n",
"status_id": 1,
"priority": "Low",
"assignee_source_id": 8,
"creator_source_id": 8,
"due_at": null,
"completed_at": null,
"assigned_at": "2020-07-09 06:25:54",
"created_at": "2020-07-09 06:25:54",
"updated_at": "2020-07-09 06:25:54",
"pivot": {
"id": 9,
"created_at": "2020-07-09 06:25:55",
"updated_at": "2020-07-09 06:25:55"
}
}
]
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e pelo menos uma das entidades fornecidas tiver sido enriquecida com êxito (is_success = true): If fail to list related objects for specific entities(is_success = true): If fail to enrich for all entities (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Get Malware Details". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Link | Nome: detalhes de {entity} Link:https://{server_ip}malware/{id}/details |
Apresentar eventos
Descrição
Liste eventos do ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, origens, spearphish, etiquetas, tipo, lista de vigilância. | Não | Especifique que campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, signatures, sources, spearphish, tags, type, watchlist. |
| Campo de ordenação | LDD | ID Valores possíveis: ID Título Criada em Atualizado a Ocorrido às |
Não | Especifique que campo deve ser usado para ordenar eventos. |
| Direção de ordenação | LDD | Ascendente Valores possíveis: ascendente Descendente |
Não | Especifique a direção da ordenação. |
| Máximo de eventos a devolver | Número inteiro | 50 | Não | Especifique quantos eventos devem ser devolvidos. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 1,
"data": [
{
"id": 1,
"type_id": 4,
"title": "Test",
"description": null,
"happened_at": "2020-07-19 09:19:00",
"hash": "78f58dacd9c215003911a09d5b3e810d",
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"touched_at": "2020-07-19 09:20:22",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 11,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39"
}
},
{
"id": 2,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "65b9aa337a73fa71b88bd613c1f4d06d",
"value": "7815696ecbf1c96e6894b779456d3301",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 09:25:02",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-19 09:17:43",
"touched_at": "2020-07-19 09:20:22",
"pivot": {
"id": 12,
"created_at": "2020-07-19 09:20:22",
"updated_at": "2020-07-19 09:20:22"
}
}
],
"signatures": [],
"sources": [
{
"id": 6,
"type": "plugins",
"reference_id": 2,
"name": "Emerging Threats",
"tlp_id": null,
"created_at": "2020-07-19 09:19:39",
"updated_at": "2020-07-19 09:19:39",
"published_at": null,
"pivot": {
"event_id": 1,
"source_id": 6,
"id": 1,
"creator_source_id": 8
}
}
],
"spearphish": null,
"tags": [],
"type": {
"id": 4,
"name": "DoS Attack",
"user_editable": "N",
"created_at": "2020-06-29 17:13:28",
"updated_at": "2020-06-29 17:13:28"
},
"watchlist": []
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: se for bem-sucedido e os dados estiverem disponíveis (is_success=true): print "Successfully listed ThreatQ events." If fail no events (is_success=false): print "No events were found in ThreatQ." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "List Events". Motivo: {0}''.format(error.Stacktrace) Se for especificado um campo inválido no parâmetro "Campos adicionais": print "Error executing action "List Events". Motivo: foi especificado um campo inválido no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela: ThreatQ Events Coluna da tabela:
|
Geral |
Indicadores de listas
Descrição
Indicadores de listas do ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, origens, spearphish, etiquetas, tipo, lista de vigilância. | Não | Especifique que campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de ordenação | LDD | ID Valores possíveis: ID Título Criada em Atualizado a Ocorrido às |
Não | Especifique o campo que deve ser usado para ordenar os indicadores. |
| Direção de ordenação | LDD | Ascendente Valores possíveis: ascendente Descendente |
Não | Especifique a direção da ordenação. |
| Máximo de eventos a devolver | Número inteiro | 50 | Não | Especifique o número de indicadores a devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 8,
"data": [
{
"id": 1,
"name": "Abra Cadabra",
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"touched_at": "2020-07-19 09:33:29",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"description": null,
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 13,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29"
}
}
],
"plugins": [],
"plugin_actions": [],
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 09:33:29",
"updated_at": "2020-07-19 09:33:29",
"published_at": null,
"pivot": {
"adversary_id": 1,
"source_id": 8,
"id": 1,
"creator_source_id": 8
}
}
],
"tags": [],
"value_weight": null,
"watchlist": []
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: se for bem-sucedido e os dados estiverem disponíveis (is_success=true): imprimir "Successfully listed ThreatQ adversaries." (A listagem de adversários do ThreatQ foi bem-sucedida.) Se não existirem dados disponíveis (is_success=false): imprimir "No adversaries were found in ThreatQ." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "List Adversaries". Motivo: {0}''.format(error.Stacktrace) Se for especificado um campo inválido no parâmetro "Campos adicionais": print "Error executing action "List Adversaries". Motivo: foi especificado um campo inválido no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela: ThreatQ Indicators Coluna da tabela:
|
Geral |
Liste os adversários
Descrição
Liste os adversários do ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos adicionais | CSV | adversários, anexos, atributos, comentários, eventos, indicadores, assinaturas, origens, spearphish, etiquetas, tipo, lista de vigilância. | Não | Especifique que campos adicionais devem ser incluídos na resposta. Valores possíveis: adversaries, attachments, attributes, comments, events, indicators, score, signatures, sources, status, tags, type, watchlist. |
| Campo de ordenação | LDD | ID Valores possíveis: ID Título Criada em Atualizado a Ocorrido às |
Não | Especifique o campo que deve ser usado para ordenar os adversários. |
| Direção de ordenação | LDD | Ascendente Valores possíveis: ascendente Descendente |
Não | Especifique a direção da ordenação. |
| Máximo de eventos a devolver | Número inteiro | 50 | Não | Especifique o número de indicadores a devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 3,
"data": [
{
"id": 3,
"type_id": 27,
"status_id": 1,
"class": "network",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"touched_at": "2020-07-19 11:08:48",
"adversaries": [],
"attachments": [],
"attributes": [],
"comments": [],
"events": [],
"indicators": [
{
"id": 1,
"type_id": 18,
"status_id": 1,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": null,
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-19 11:10:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-19 09:17:20",
"touched_at": "2020-07-19 11:08:48",
"pivot": {
"id": 15,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
}
}
],
"score": {
"indicator_id": 3,
"generated_score": "0.00",
"manual_score": null,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48"
},
"signatures": [],
"sources": [
{
"id": 8,
"type": "users",
"reference_id": 1,
"name": "tip.labops@siemplify.co",
"tlp_id": null,
"created_at": "2020-07-19 11:08:48",
"updated_at": "2020-07-19 11:08:48",
"published_at": null,
"pivot": {
"indicator_id": 3,
"source_id": 8,
"id": 3,
"creator_source_id": 8
}
}
],
"status": {
"id": 1,
"name": "Active",
"description": "Poses a threat and is being exported to detection tools.",
"user_editable": "N",
"visible": "Y",
"include_in_export": "Y",
"protected": "Y",
"created_at": "2020-06-29 17:14:34",
"updated_at": "2020-06-29 17:14:34"
},
"tags": [],
"type": {
"id": 27,
"name": "String",
"class": "network",
"score": null,
"wildcard_matching": "Y",
"created_at": "2020-06-29 17:13:29",
"updated_at": "2020-06-29 17:13:29"
},
"watchlist": []
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: se for bem-sucedido e os dados estiverem disponíveis (is_success=true): print "Successfully listed ThreatQ indicators." If no data available (is_success=false): imprimir "Não foram encontrados indicadores no ThreatQ." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "List Indicators". Motivo: {0}''.format(error.Stacktrace) Se for especificado um campo inválido no parâmetro "Campos adicionais": print "Error executing action "List Indicators". Motivo: foi especificado um campo inválido no parâmetro "Campos adicionais". '''.format(error.Stacktrace)" |
Geral |
| Tabela de parede CSV | Nome da tabela: ThreatQ Indicators Coluna da tabela:
|
Geral |
Atualize o estado do indicador
Descrição
A ação atualiza o estado do indicador no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Estado | LDD | Ativo Valores possíveis: Ativo Expirado Indireto Reveja Na lista de autorizações |
True | Especifique o novo estado do indicador. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"id": 1,
"type_id": 18,
"status_id": 2,
"class": "host",
"hash": "6677d693422fbeb541397fb8554f4664",
"value": "7815696ecbf1c96e6894b779456d330e",
"description": null,
"last_detected_at": null,
"expires_at": null,
"expired_at": "2020-07-21 09:05:56",
"expires_needs_calc": "N",
"expires_calculated_at": "2020-07-21 07:35:02",
"created_at": "2020-07-19 09:17:20",
"updated_at": "2020-07-21 09:05:56",
"touched_at": "2020-07-21 09:05:56"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido (is_success = true): Se o indicador não foi encontrado (is_success = false): If fail general error(is_success = false): Print: "Action was not able to update status for the indicator with value '{0}' in ThreatQ.".format(indicator value) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Update Indicator Status". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualize a pontuação do indicador
Descrição
A ação atualiza a classificação do indicador no ThreatQ.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Pontuação | LDD | "7 - Médio" Valores possíveis: "0 – Muito baixo" "1 – Muito baixo" "2 - Muito baixo" "3 – Muito baixo" "4 - Muito baixo" "5 - Baixo" "6 - Baixo" "7 - Médio" "8 - Medium" "9 - Elevado" "10 – Muito elevado" |
Sim | Especifique a nova classificação do indicador. |
| Validação de pontuações | LDD | Pontuação mais alta Valores possíveis: Pontuação mais alta Forçar atualização |
Sim | Especifique que tipo de validação de pontuação deve ser usado. Se for especificado "Pontuação mais elevada", a ação compara os valores atuais e atualiza apenas a pontuação do indicador se a pontuação especificada for superior à pontuação gerada e manual atual. Se "Force Update" (Forçar atualização) for especificado, a ação atualiza a classificação do indicador sem comparar os valores atuais. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"indicator_id": 2,
"generated_score": "5.00",
"manual_score": 1,
"score_config_hash": "7f8b888a2d2b462310d5227aa75e8c4a78973a96",
"created_at": "2020-07-19 09:17:43",
"updated_at": "2020-07-21 09:25:27"
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido (is_success = true): Se Score Validation == "Highest Score" e a pontuação especificada no parâmetro de ação for inferior à atual: (is_success = false): print "Action didn't update score for the indicator with value '{0}' in ThreatQ. Motivo: a pontuação atual é superior.".format(valor do indicador) Se o indicador não foi encontrado (is_success = false): print "Action was not able to update score for the indicator with value '{0}' in ThreatQ. Motivo: não foi encontrado o indicador com o valor "{0}" e o tipo "{1}" no ThreatQ.".format(indicator value, indicator type) If fail general error(is_success = false): Print: "Action was not able to update score for the indicator with value '{0}' in ThreatQ.".format(indicator value) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Update Indicator Score". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.