IntSights
統合バージョン: 20.0
Google Security Operations で IntSights の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
メモを追加
説明
IntSights のアラートにメモを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | メモを追加するアラートの ID を指定します。 |
| 注 | 文字列 | なし | はい | アラートのメモを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success=true): 「Intsights で ID '{0}' のアラートにメモが正常に追加されました」.format(アラート ID) アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「メモを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「メモを追加」の実行エラー。理由: ID {アラート ID} のアラートが IntSights に見つかりませんでした。 |
全般 |
アナリストに相談
説明
IntSights のアラートについてアナリストに問い合わせます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | アナリストに質問するアラートの ID を指定します。 |
| コメント | 文字列 | なし | はい | アナリストへのコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「Intsights で ID 「{0}」のアラートのアナリストに正常に問い合わせました」.format(alert id) 400 または 500 のステータス コードが報告された場合: 「アクションは、Intsights の ID {0} のアラートでアナリストに問い合わせることができませんでした。理由: {1}。".format(alert_id, response string) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アナリストに質問する」アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) |
全般 |
アラートを割り当てる
説明
IntSights でアラートをアナリストに割り当てます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 割り当てを変更するアラートの ID を指定します。 |
| 割り当て先 ID | 文字列 | なし | いいえ | アラートに割り当てるアナリストの ID を指定します。 |
| 割り当て先のメールアドレス | 文字列 | なし | いいえ | アラートに割り当てるアナリストのメールアドレスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 割り当て先 ID がある場合: 「Intsights で ID 「{0}」のアナリストを ID {1} のアラートに正常に割り当てました」.format(assignee id, alert id) 割り当て先のメールアドレスが指定されていて、割り当てが成功した場合: 「Intsights で ID {1} のアラートにメールアドレス「{0}」のアナリストを正常に割り当てました」.format(割り当て先のメールアドレス, アラート ID) 割り当て先が見つからず、ステータス コードが 400 で、割り当て先 ID を使用して作業した場合: 「Action was not able to change the assignment on the alert with ID {0}. 理由: ID {1} の割り当て先が見つかりませんでした。」.format(alert_id, assignee id)
400 または 500 のステータス コードが報告された場合: 「アクションで ID {0} のアラートの割り当てを変更できませんでした。理由: {1}。」.format(alert_id, response) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「アラートの割り当て」の実行エラー。理由: {0}''.format(error.Stacktrace) 「Assignee ID」パラメータと「Assignee Email address」パラメータが指定されていない場合: 「Assignee ID or Email Address should be specified.」(割り当て先の ID またはメールアドレスを指定する必要があります)。 |
全般 |
アラートを閉じる
説明
IntSights でアラートを閉じます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | クローズするアラートの ID を指定します。 |
| 理由 | DDL | 問題解決 有効な値:
|
はい | アラートをクローズする必要がある理由を指定します。 |
| その他の情報 | 文字列 | なし | いいえ | アラートをクローズする必要がある理由を説明する追加情報を指定します。 |
| レート | Integer | 5 | いいえ | アラートの評価を指定します。最大値は 5 です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「Intsights で ID 「{0}」のアラートが正常に閉じられました」.format(alert id) 400 ステータス コードが報告された場合:「アクションは、Intsights で ID {0} のアラートをクローズできませんでした。理由: {1}。".format(alert_id, response string) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「アラートを閉じる」の実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) 「レート」パラメータが 1 ~ 5 の範囲にない場合: 「レート値は 1 ~ 5 の範囲にする必要があります。」 |
全般 |
アラートの CSV をダウンロードする
説明
IntSights のアラートに関連する情報を含む CSV ファイルをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | CSV をダウンロードするアラートの ID を指定します。 |
| ダウンロード フォルダ パス | 文字列 | なし | はい | CSV ファイルを保存するフォルダのパスを指定します。 |
| 上書き | チェックボックス | なし | いいえ | 有効の場合、アクションは同じ名前のファイルを上書きします。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"absolute_paths": ["/opt/file_1"]
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つの CSV で成功した場合(is_success=true): 「Intsights で ID {0} のアラートの CSV が正常にダウンロードされました。」.format(alert_id) 400 ステータス コードが報告された場合(is_success=true): 「Intsights で ID {alert_id} のアラートの CSV 情報が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「アラート CSV をダウンロード」の実行エラー。理由: {0}」.format(error.Stacktrace) 同じ名前のファイルがすでに存在するが、「上書き」が false に設定されている場合: 「"アラート CSV をダウンロード" アクションの実行中にエラーが発生しました。理由: パス {0} のファイルはすでに存在します。ファイルを削除するか、「上書き」を true に設定してください。 404 ステータス コードが報告された場合: 「アクション「アラート CSV をダウンロード」の実行エラー。理由: ID {ID} のアラートが見つかりません |
全般 |
アラート画像を取得する
説明
IntSights のアラート画像に関する情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート画像 ID | CSV | なし | はい | アラート画像 ID のカンマ区切りリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つの画像で成功した場合: 「Intsights の次の ID から画像を正常に取得しました:」.format(ID のリスト) 少なくとも 1 つの画像で成功しなかった場合: 「アクションでは、Intsights の次の ID から画像を正常に取得できませんでした:\n」.format(ID のリスト) すべての画像で成功しなかった場合: 「画像が取得されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アラート画像の取得操作のエラー」。理由: {0}」.format(error.Stacktrace) |
全般 |
Ping
説明
接続を確認します。
パラメータ
なし
ユースケース
なし
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
アラートを再開する
説明
IntSights でアラートを再度開きます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | 正しい | 再度開くアラートの ID を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「Intsights で ID 「{0}」のアラートが正常に再度開かれました」.format(alert id) 400 ステータス コードが報告された場合:「Intsights で ID {0} のアラートを再度開くことができませんでした。理由: {1}。".format(alert_id, response string) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他の情報が報告されます: 「アクション「アラートを再度開く」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
IOC を検索する
説明
すべての IOC を 1 つの使いやすいダッシュボードで整理して検索できます。一元化された TIP ダッシュボードには、重大度と信頼度別に IOC がまとめられているため、組織に最も大きなリスクをもたらす悪意のある IOC を簡単に把握できます。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ステータス | JSON の結果に存在する場合に返す |
| ドメイン | JSON の結果に存在する場合に返す |
| 重大度 | JSON の結果に存在する場合に返す |
| SourceID | JSON の結果に存在する場合に返す |
| 値 | JSON の結果に存在する場合に返す |
| フラグ | JSON の結果に存在する場合に返す |
| 最後の確認 | JSON の結果に存在する場合に返す |
| _id | JSON の結果に存在する場合に返す |
| 種類 | JSON の結果に存在する場合に返す |
| 拡充 | JSON の結果に存在する場合に返す |
| 最初の確認 | JSON の結果に存在する場合に返す |
| AccountID | JSON の結果に存在する場合に返す |
分析情報
はい
コネクタ
Intsights コネクタ
説明
Intsights から Google SecOps に問題を取得します。
Google SecOps で Insights Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| DeviceProductField | 文字列 | Details_Source_NetworkType | デバイス プロダクトを識別するために使用されるフィールド名。 |
| EventClassId | 文字列 | Details_Title | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| PythonProcessTimeout | 文字列 | 60 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| API ルート | 文字列 | https://api.intsights.com | Intsights サーバーの API ルート。 |
| アカウント ID | 文字列 | なし | ログインに使用するアカウント ID。 |
| API キー | パスワード | なし | ログインに使用する API キー。 |
| SSL を確認する | チェックボックス | オフ | サーバーの SSL 証明書を検証するかどうか。 |
| 遡る最大日数 | 整数 | 3 | アラートを取得するために遡る最大日数。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | 1 回のコネクタ サイクルで取得するアラートの最大数。 |
| プロキシ サーバーのアドレス | 文字列 | なし | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
ホワイトリスト / ブラックリスト
コネクタは、ホワイトリスト / ブラックリスト ルールをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。