Cofense Triage
整合版本:10.0
應用實例
- 擷取 Cofense Triage 報表,並用來建立 Google Security Operations 快訊。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 相關實體和報表詳細資料的強化功能。
- 報告的初步評估。
在 Google SecOps 中設定 Cofense Triage 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://tap.phishmecloud.com | 不適用 | Cofense Triage 執行個體的 API 根目錄。 |
| 用戶端 ID | 字串 | 不適用 | 是 | Cofense Triage 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | Cofense Triage 帳戶的用戶端密鑰。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會驗證連至 Cofense Triage 伺服器的連線 SSL 憑證是否有效。 |
動作
將標記新增至報表
說明
在 Cofense Triage 中為報表新增標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定要新增標記的報表 ID。 |
| 標記 | CSV | 不適用 | 是 | 指定以逗號分隔的標記清單,這些標記會套用至報表。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful(is_success = true): print "Successfully added tags to the the report with ID {0} in Cofense Triage.".format(report_id) 如果失敗(狀態碼為 404,即 is_success = false): 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤):列印「Error executing action "Add Tags To Report"」。原因:{0}''.format(error.Stacktrace) |
一般 |
分類報表
說明
在 Cofense Triage 中將報表分類。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定要新增標記的報表 ID。 |
| 類別名稱 | 字串 | 不適用 | 是 | 指定要套用至報表的類別名稱。您可以在「列出類別」動作中找到可用的類別。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": {
"id": "13507",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507"
},
"attributes": {
"location": "Inbox",
"risk_score": 96,
"from_address": null,
"subject": "Test Phishing domain",
"received_at": "2020-10-12T21:30:54.000Z",
"reported_at": "2020-10-12T21:30:53.000Z",
"raw_headers": "X-Triage-Noise-Reduction: state=0\r\nX-Triage-Noise-Reduction: score=79\r\nX-Triage-Noise-Reduction: vacb1561f9d032089\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"text_body": "Testing<http://dsrihsddk.net/>\r\n\r\nThis is a poor reputation domain\r\n\r\n",
"html_body": "<html xmlns:v=\"urn:schemas-microsoft-com:vml\" xml>\r\n</div>\r\n</body>\r\n</html>\r\n",
"md5": "81fe86fc9c244be978ab8b8392d3c986",
"sha256": "146b857b2a147eeb9091571327452006438294aeb21069e38c6f25a811aa6c03",
"match_priority": 1,
"tags": [
"dsa",
"asd"
],
"categorization_tags": [],
"processed_at": null,
"created_at": "2020-10-12T21:31:36.495Z",
"updated_at": "2020-11-17T15:33:27.567Z"
},
"relationships": {
"assignee": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/assignee",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/assignee"
},
"data": null
},
"category": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/category",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/category"
},
"data": null
},
"cluster": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/cluster",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/cluster"
},
"data": {
"type": "clusters",
"id": "3915"
}
},
"reporter": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/reporter",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/reporter"
},
"data": {
"type": "reporters",
"id": "5331"
}
},
"attachment_payloads": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachment_payloads",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachment_payloads"
}
},
"attachments": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/attachments",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/attachments"
}
},
"headers": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/headers",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers"
}
},
"hostnames": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/hostnames",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/hostnames"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/urls"
}
},
"rules": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/rules",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/rules"
}
},
"threat_indicators": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13507/relationships/threat_indicators",
"related": "https://tap.phishmecloud.com/api/public/v2/reports/13507/threat_indicators"
}
}
},
"meta": {
"risk_score_summary": {
"integrations": 75,
"vip": 5,
"reporter": 15,
"rules": 1
}
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful(is_success = true): print "Successfully updated category on the the report with ID {0} to {1} in Cofense Triage.".format(report_id, category_name) if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to update the category on the report with ID {0} to {1} in Cofense Triage. 原因:\n {2}」。format(report_id, category_name, errors/detail) 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:請列印「Error executing action "Categorize Report"」(執行「Categorize Report」動作時發生錯誤)。原因:{0}''.format(error.Stacktrace) |
一般 |
下載報表電子郵件
說明
從 Cofense Triage 下載與報告相關的原始電子郵件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定報表 ID,其中包含需要下載的原始電子郵件。 |
| 下載資料夾 | 字串 | 不適用 | 是 | 指定下載資料夾的絕對路徑。注意:名稱會以 {報表 ID}.eml 的格式建立。 |
| 覆寫 | 核取方塊 | 已勾選 | 否 | 如果啟用這項動作,系統會覆寫名稱和檔案路徑相同的檔案。 |
| 建立洞察資料 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會建立包含報表原始電子郵件的洞察資料。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"absolute_file_path": "{filepath}"
}
深入分析
| 名稱 | 內文 |
|---|---|
| 報表 {ID}。原始電子郵件 | {content of the response. \n 應替換為 \ } |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful(is_success = true): print "Successfully downloaded raw email related to the report with ID {0} in Cofense Triage.".format(report_id) 如果失敗(狀態碼 400,即 is_success = false):請列印「Action wasn't able to download raw email related to the report with ID {0} in Cofense Triage. Reason: \n {1}".format(report_id, errors/detail) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:請列印「Error executing action "Download Report Email"」。原因:{0}''.format(error.Stacktrace) 如果檔案名稱已存在,且覆寫為 false:「執行『下載報表電子郵件』動作時發生錯誤。原因:已有相同檔案路徑的檔案。請移除或將「Overwrite」設為 true。」 |
一般 |
下載報表預覽畫面
說明
從 Cofense Triage 傳送的報告相關電子郵件中,下載圖片預覽畫面。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定報表 ID,其中包含需要下載的原始電子郵件。 |
| 下載資料夾 | 字串 | 不適用 | 是 | 指定下載資料夾的絕對路徑。注意:名稱會以 {報表 ID}.eml 的格式建立。 |
| 覆寫 | 核取方塊 | 已勾選 | 否 | 如果啟用這項動作,系統會覆寫名稱和檔案路徑相同的檔案。 |
| 圖片格式 | DDL | PNG
可能的值包括:
|
是 | 指定圖片格式。 |
| 建立洞察資料 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會建立包含報表原始電子郵件的洞察資料。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"absolute_file_path": "{filepath}"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功 (is_success=true):「Successfully downloaded preview related to the report with ID {0} in Cofense Triage.」(已成功下載與 Cofense Triage 中 ID 為 {0} 的報表相關的預覽畫面。)。format(report_id) 如果失敗,系統會傳回 400 狀態碼 (is_success=false):「Action wasn't able to download a preview related to the report with ID {0} in Cofense Triage. Reason: \n {1}".format(report_id, errors/detail) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『下載報表預覽』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果檔案名稱已存在,且覆寫為 false:「執行『下載報表電子郵件』動作時發生錯誤。原因:已有相同檔案路徑的檔案。請移除或將「Overwrite」設為 true。」 |
一般 |
充實網址
說明
從 Cofense Triage 傳回網址的相關資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 風險分數門檻 | 整數 | 50 | 是 | 指定 Google SecOps 將網址標示為可疑的風險分數門檻。上限為 100。 |
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| COFENSE_TRG_id | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_risk_score | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_created_at | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_updated_at | 如果 JSON 結果中提供這項資訊。 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": [
{
"id": "1",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1"
},
"attributes": {
"url": "https://www.paypal.com/us",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.008Z",
"updated_at": "2019-04-12T02:58:20.008Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/hostname"
},
"data": {
"type": "hostnames",
"id": "2"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/1/reports"
}
}
}
},
{
"id": "2",
"type": "urls",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2"
},
"attributes": {
"url": "http://cie.org.mx/leather.php?amount=1qw2f60krdrf8c",
"risk_score": null,
"created_at": "2019-04-12T02:58:20.011Z",
"updated_at": "2019-04-12T02:58:20.011Z"
},
"relationships": {
"hostname": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/hostname",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/hostname"
},
"data": {
"type": "hostnames",
"id": "1"
}
},
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/urls/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/urls/2/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/urls?filter%5Burl%5D=https%3A%2F%2Fwww.paypal.com%2Fus%2Chttp%3A%2F%2Fcie.org.mx%2Fleather.php%3Famount%3D1qw2f60krdrf8c&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個網址成功(is_success = true):列印「Successfully enriched the following URLs using Cofense Triage: \n {0}」。format(entity.identifier list) 如果至少有一個網址成功(is_success = true):print "Action wasn't able to enrich the following URLs using Cofense Triage: \n {0}".format(entity.identifier list) 如果所有實體都無法完成擴充 (is_success = false):列印:「沒有任何網址完成擴充。」 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:請列印「Error executing action "Enrich URL"」。原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 「Enrichment table」部分中的欄位,但沒有「COFENSE_TRG_」前置字串 | 實體 |
執行應對手冊
說明
在 Cofense Triage 中啟動 Playbook 執行作業。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定要執行劇本的報表 ID。 |
| 應對手冊名稱 | 字串 | 不適用 | 是 | 指定要執行的劇本名稱。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 204 狀態碼 (is_success=true):「Successfully executed playbook {playbook name} on report {report id} in Cofense Triage.」 動作應會失敗並停止執行應對手冊: 如果為「要傳回的最多記錄數」參數提供無效值:「執行『執行劇本』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "List Playbooks". 原因:{0}''.format(error.Stacktrace) 如果回應中回報錯誤:「Error executing action "Execute Playbook". Reason: {0}''.format(detail)" 如果找不到應對手冊:「執行『執行應對手冊』動作時發生錯誤。Reason: playbook with name {name} is not found." |
一般 |
取得網域詳細資料
說明
從 Cofense Triage 傳回網域相關資訊。
參數
| 參數顯示名稱 |
|---|
| 不適用 |
執行時間
這項動作會對網址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": [
{
"id": "1",
"type": "hostnames",
"attributes": {
"hostname": "cie.org.mx",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.893Z",
"updated_at": "2019-04-12T02:58:19.974Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/1/urls"
}
}
}
},
{
"id": "2",
"type": "hostnames",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2"
},
"attributes": {
"hostname": "www.paypal.com",
"risk_score": null,
"created_at": "2019-04-12T02:58:19.898Z",
"updated_at": "2019-04-12T02:58:19.965Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/reports"
}
},
"urls": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/relationships/urls",
"related": "https://tap.phishmecloud.com/api/public/v2/hostnames/2/urls"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/hostnames?filter%5Bhostname%5D=www.paypal.com%2Ccie.org.mx&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful for at least one URL(is_success = true): print "Successfully returned details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one URL(is_success = true): print "Action wasn't able to get details about the following domains using Cofense Triage: \n {0}".format(entity.identifier list) 如果所有實體都無法完成擴充 (is_success = false):列印:「找不到網域的相關資訊。」 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等):請列印「Error executing action "Get Domain Details"」。原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 表格名稱:網域詳細資料 資料表欄: 名稱 - 主機名稱 風險分數 - risk_score |
一般 |
取得報表標頭
說明
傳回與 Cofense Triage 報表相關的標頭資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定要擷取標頭的報表 ID。 |
| 要傳回的標頭數量上限 | 整數 | 50 | 否 | 指定要傳回的標頭數量。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": [
{
"id": "4",
"type": "headers",
"attributes": {
"key": "Mime-Version",
"value": "1.0",
"created_at": "2020-11-03T16:43:33.767Z",
"updated_at": "2020-11-03T16:43:33.767Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/headers/4/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/headers/4/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/reports/13507/headers?page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful(is_success = true): print "Successfully returned related headers to the report with ID {0} in Cofense Triage.".format(report_id) 如果失敗(狀態碼 404,即 is_success = false):print "Action wasn't able to return related headers to the report with ID {0} in Cofense Triage. Reason: \n {1}".format(report_id, errors/detail) 如果找不到任何規則 (is_success = false):列印:「No related headers were found to the report with ID {0} in Cofense Triage.」(在 Cofense Triage 中,找不到 ID 為 {0} 的報表相關標頭。)。format(report_id) 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:請列印「Error executing action "Get Report Headers"」。原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 表格名稱:報表 {0} 標題 資料表資料欄: 名稱 - 金鑰 值 - 值 |
一般 |
取得檢舉者報告
說明
從 Cofense Triage 傳回與報表相關的檢舉者資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 指定要擷取檢舉者的報表 ID。 |
| 要傳回的檢舉者數量上限 | 整數 | 50 | 否 | 指定要傳回的檢舉者人數。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
"data": {
"id": "5331",
"type": "reporters",
"attributes": {
"email": "user@example.com",
"reports_count": 277,
"last_reported_at": "2020-11-06T18:32:47.000Z",
"reputation_score": 561,
"vip": true,
"created_at": "2019-10-24T01:05:28.649Z",
"updated_at": "2020-11-06T18:33:59.004Z"
},
"relationships": {
"clusters": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/clusters",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/clusters"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/reporters/5331/reports"
}
}
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful(is_success = true): print "Successfully returned related reporters to the report with ID {0} in Cofense Triage.".format(report_id) if unsuccessful aka status code 404(is_success = false): print "Action wasn't able to return related reporters to the report with ID {0} in Cofense Triage. Reason: \n {1}".format(report_id, errors/detail) 如果找不到任何規則 (is_success = false):列印:「No related reporters were found to the report with ID {0} in Cofense Triage.」。format(report_id) 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等):請列印「Error executing action "Get Report Reporters". 原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 資料表名稱:「Report {0} Reporters」(報表 {0} 記者) 資料表資料欄: 電子郵件 - 電子郵件 檢舉次數 - reports_count 信譽分數 - reputation_score VIP - vip |
一般 |
取得威脅指標詳細資料
說明
根據 Cofense Triage 的威脅指標詳細資料,傳回實體相關資訊。
參數
| 參數顯示名稱 |
|---|
| 不適用 |
執行時間
這項動作會對所有實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| COFENSE_TRG_ti_id | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_ti_type | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_ti_threat_level | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_ti_threat_source | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_ti_created_at | 如果 JSON 結果中提供這項資訊。 |
| COFENSE_TRG_id_updated_at | 如果 JSON 結果中提供這項資訊。 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": [
{
"id": "1",
"type": "threat_indicators",
"attributes": {
"threat_level": "Malicious",
"threat_type": "MD5",
"threat_value": "f1364ab115332cb44b5d7bb734d2cbf6",
"threat_source": "Triage-UI",
"created_at": "2019-06-06T18:55:38.107Z",
"updated_at": "2020-11-03T16:41:19.972Z"
},
"relationships": {
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/threat_indicators/1/reports"
}
}
}
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful for at least one entity(is_success = true): print "Successfully returned threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) if successful for at least one entity(is_success = true): print "Action wasn't able to return threat indicator details about the following entities using Cofense Triage: \n {0}".format(entity.identifier list) 如果所有實體都無法完成擴充 (is_success = false):列印:「找不到實體的威脅指標資訊。」 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:請列印「Error executing action "Get Threat Indicator Details"」。原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV | 「Enrichment table」部分中的欄位,但沒有「COFENSE_TRG_」前置字串 | 實體 |
可列出類別
說明
列出 Cofense Triage 中的可用類別。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 名稱 | CSV | 不適用 | 否 | 指定以半形逗號分隔的類別名稱清單。這個參數可用於檢查是否有指定名稱的類別。 |
| 要擷取的最低分數 | 整數 | 不適用 | 否 | 指定類別可接受的最低分數。這個參數可使用負值。 |
| 僅限惡意 | 核取方塊 | 已取消勾選 | 否 | 如果啟用這項設定,動作只會傳回惡意類別。 |
| 僅限已封存 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作只會傳回已封存的類別。 |
| 僅限未封存 | 核取方塊 | 已取消勾選 | 否 | 如果啟用這項設定,動作只會傳回未封存的類別。 |
| Only Non Malicious | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作只會傳回非惡意類別。 |
| 要傳回的類別數量上限 | 整數 | 不適用 | 否 | 指定要傳回的類別數量。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"data": [
{
"id": "1",
"type": "categories",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1"
},
"attributes": {
"name": "Non-Malicious",
"score": -5,
"malicious": false,
"color": "#739d75",
"archived": false,
"created_at": "2019-04-11T08:24:49.787Z",
"updated_at": "2019-11-12T19:15:37.849Z"
},
"relationships": {
"one_clicks": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/one_clicks",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/one_clicks"
}
},
"reports": {
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/categories/1/relationships/reports",
"related": "https://tap.phishmecloud.com/api/public/v2/categories/1/reports"
}
}
}
}
],
"links": {
"first": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20",
"last": "https://tap.phishmecloud.com/api/public/v2/categories?filter%5Barchived%5D=false&filter%5Bmalicious%5D=false&filter%5Bname%5D=Non-Malicious&filter%5Bscore_gteq%5D=-5&page%5Bnumber%5D=1&page%5Bsize%5D=20"
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功 (is_success=true):「Successfully returned available categories from Cofense Triage.」 如果找不到任何類別 (is_success=false),「No categories were found for the criteria.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『列出類別』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:可用類別 資料表欄:
|
一般 |
列出應對手冊
說明
列出 Cofense Triage 中可用的劇本。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 篩選鍵 | DDL | 請選取一項 可能的值:
|
否 | 指定用來篩選劇本的金鑰。 |
| 篩選邏輯 | DDL | 未指定 可能的值包括:
|
否 | 指定要套用的篩選條件邏輯類型。篩選邏輯會根據「篩選鍵」參數中提供的值運作。 注意:「等於」邏輯會區分大小寫,而「包含」邏輯則不區分大小寫。 |
| 篩選條件值 | 字串 | 不適用 | 否 | 指定篩選條件中應使用的值。 如果選取「等於」,動作會嘗試在結果中尋找完全相符的項目。 如果選取「包含」,動作會嘗試尋找包含該子字串的結果。 如果這個參數未提供任何值,系統就不會套用篩選條件。 篩選邏輯會根據「篩選鍵」參數中提供的值運作。 |
| 要傳回的記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的記錄數。如未提供任何內容,這項動作會傳回 50 筆記錄。 上限:200 個 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"id": "1",
"type": "playbooks",
"links": {
"self": "https://reltest6.phishmecloud.com/api/public/v2/playbooks/1"
},
"attributes": {
"name": "SN_Test",
"description": "",
"active": true,
"button_color": "#204d74",
"add_rule_tags_to_report_tags": true,
"remove_existing_report_tags": false,
"remove_existing_cluster_tags": false,
"report_tags": [
"SN_Test"
],
"cluster_tags": [
"SN_Cluster_Test",
"test1"
],
"delete_report": false,
"guid": "b443a844-ffc2-49d2-8903-1a5f7fde7526",
"created_at": "2021-05-28T01:29:22.080Z",
"updated_at": "2022-04-08T06:04:17.016Z"
}
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果資料可用 (is_success=true):「Successfully found playbooks for the provided criteria in Cofense Triage.」(已在 Cofense Triage 中,根據提供的條件成功找到應對手冊)。 如果沒有可用資料 (is_success=false):「Cofense Triage 中沒有符合所提供條件的劇本。」 如果「篩選器值」參數為空 (is_success=true):「篩選器未套用,因為『篩選器值』參數的值為空。」 如果「篩選器邏輯」參數設為「未指定」(is_success=true):「未套用篩選器,因為未指定『篩選器邏輯』參數。」 動作應會失敗並停止執行應對手冊: 如果「篩選鍵」參數設為「選取一項」,而「篩選邏輯」參數設為「等於」或「包含」:「執行動作『{動作名稱}』時發生錯誤。原因:您需要從「篩選鍵」參數中選取欄位。 如果為「要傳回的最多記錄數」參數提供無效值:「執行動作『{動作名稱}』時發生錯誤。原因:為「要傳回的最多記錄數」提供的值無效: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "List Playbooks". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:可用劇本 資料表欄:
|
一般 |
列出與威脅指標相關的報表
說明
列出 Cofense Triage 中與威脅指標相關的報表。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 建立案件牆資料表 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,這項動作會建立案件牆資料表,其中包含報表相關資訊。 |
| 要傳回的報表數量上限 | 整數 | 100 | 否 | 指定要傳回的報表數量。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"reports": [
{
"id": "13219",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13219"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T01:25:07.642Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 01:25:07 +0000\r\nMessage-ID: <5cde0d73994b2_10902aea1885332418512@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cde0d7399130_10902aea18853324184a7\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "3e4c2e6e85695569ae7a11aac8a774c6",
"sha256": "1434d565d7735a841f39cb953cfdbbba1d0793324900d42c25b212b454a77993",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T01:25:07.652Z",
"updated_at": "2019-05-17T01:25:10.032Z"
},
"meta": {
"risk_score_summary": null
}
},
{
"id": "13227",
"type": "reports",
"links": {
"self": "https://tap.phishmecloud.com/api/public/v2/reports/13227"
},
"attributes": {
"location": "Inbox",
"risk_score": null,
"from_address": null,
"subject": "Delivery reports about your e-mail",
"received_at": "2019-05-17T14:53:54.318Z",
"reported_at": "2019-05-16T23:01:50.000Z",
"raw_headers": "Date: Fri, 17 May 2019 14:53:54 +0000\r\nMessage-ID: <5cdecb024a663_107f2b040f2cd3306399@ip-10-132-9-226.ec2.internal.mail>\r\nSubject: Delivery reports about your e-mail\r\nMime-Version: 1.0\r\nContent-Type: multipart/mixed;\r\n boundary=\"--==_mimepart_5cdecb024a2fd_107f2b040f2cd3306387b\";\r\n charset=UTF-8\r\nContent-Transfer-Encoding: 7bit",
"md5": "92bb365c3fe712216610e884621c771a",
"sha256": "da37a508cd47987e9989fc8a2af12352c6652fa5c421f4556ef6a198bf73821e",
"match_priority": 4,
"tags": [],
"categorization_tags": [],
"processed_at": null,
"created_at": "2019-05-17T14:53:54.327Z",
"updated_at": "2019-05-17T14:53:56.453Z"
},
"meta": {
"risk_score_summary": null
}
}
],
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully returned reports related to provided entities from Cofense Triage.」(已成功從 Cofense Triage 傳回與所提供實體相關的報表。) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「Error executing action "List Reports Related To Threat Indicators". 原因:(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:相關報表 資料表欄: ID 主旨 建立時間 位置 |
一般 |
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Cofense Triage 的連線。
參數
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
|
一般 |
連接器
Cofense Triage - Reports Connector
從 Cofense Triage 提取報告。
在 Google SecOps 中設定 Cofense Triage - Reports Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目< | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 位置 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://tap.phishmecloud.com | 是 | Cofense Triage 執行個體的 API 根目錄。 |
| 用戶端 ID | 字串 | 不適用 | 是 | Cofense Triage 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | Cofense Triage 帳戶的用戶端密鑰。 |
| 要擷取的最低風險分數 | 整數 | 0 | 是 | 系統會使用這個最低風險分數擷取電子郵件。上限為 100。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取電子郵件的小時數。 |
| 要擷取的報表數量上限 | 整數 | 10 | 否 | 每個連結器疊代要處理的報表數量。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 Cofense Triage 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。