IntSights
集成版本:20.0
在 Google Security Operations 中配置 IntSights 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
添加备注
说明
在 IntSights 中向提醒添加备注。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定要向哪个提醒添加注释。 |
| 注意 | 字符串 | 不适用 | 是 | 指定提醒的备注。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success=true):“已成功向 Intsights 中 ID 为 '{0}' 的提醒添加备注”。format(提醒 ID) 操作应失败并停止 playbook 执行: 如果系统报告了致命错误(例如凭据错误、未连接到服务器或其他错误):“Error executing action "Add Note". 原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“执行操作‘添加备注’时出错。原因:在 IntSights 中找不到 ID 为 {alert id} 的提醒。 |
常规 |
向分析师提问
说明
向分析师咨询 IntSights 中的提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定要向分析师提问的提醒的 ID。 |
| 评论 | 字符串 | 不适用 | 是 | 指定分析师的注释。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id) 如果报告了 400 或 500 状态代码: “无法在 Intsights 中向 ID 为 {0} 的提醒中的分析师提出问题。原因:{1}。".format(alert_id, response string) 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘向分析师提问’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
分配提醒
说明
在 IntSights 中将提醒分配给分析师。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定要更改分配的提醒的 ID。 |
| 受让人 ID | 字符串 | 不适用 | 否 | 指定应分配给相应提醒的分析师的 ID。 |
| 受让人电子邮件地址 | 字符串 | 不适用 | 否 | 指定应分配给相应提醒的分析师的电子邮件地址。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功分配了受让人 ID: “Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights ".format(assignee id, alert id) 如果成功分配了电子邮件地址:“Successfully assigned analyst with email address '{0}' to the alert with ID {1} in Intsights ".format(assignee email address, alert id) 如果找不到受让人,状态代码为 400,并显示“worked with assignee ID”: “操作无法更改 ID 为 {0} 的提醒的分配。原因:找不到 ID 为 {1} 的受让人。".format(alert_id, assignee id)"
如果报告了 400 或 500 状态代码: “无法更改 ID 为 {0} 的提醒的分配。原因:{1}。".format(alert_id, response) 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘分配提醒’时出错。原因:{0}''.format(error.Stacktrace) 如果未指定“指派对象 ID”和“指派对象电子邮件地址”参数: “应指定指派对象 ID 或电子邮件地址。” |
常规 |
关闭提醒
说明
关闭 IntSights 中的提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定要关闭的提醒的 ID。 |
| 原因 | DDL | 问题已解决 可能的值:
|
是 | 指定需要关闭相应提醒的原因。 |
| 附加信息 | 字符串 | 不适用 | 否 | 指定其他信息,说明为何应关闭相应提醒。 |
| 费率 | 整数 | 5 | 否 | 指定提醒的评级。最大值为 5。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已成功关闭 Intsights 中 ID 为 '{0}' 的提醒”。format(提醒 ID) 如果报告了 400 状态代码:“操作无法关闭 Intsights 中 ID 为 {0} 的提醒。原因:{1}。".format(alert_id, response string) 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘关闭提醒’时出错。原因:{0}''.format(error.Stacktrace) 如果“Rate”参数不在 1-5 范围内: “Rate value should be in range from 1 to 5.”(评分值应介于 1 到 5 之间)。 |
常规 |
下载提醒 CSV 文件
说明
下载包含 IntSights 中与提醒相关的信息的 CSV 文件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定要下载 CSV 文件的提醒的 ID。 |
| 下载文件夹路径 | 字符串 | 不适用 | 是 | 指定要存储 CSV 文件的文件夹的路径。 |
| 覆盖 | 复选框 | 不适用 | 否 | 如果启用,该操作将覆盖同名文件。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"absolute_paths": ["/opt/file_1"]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个 CSV 文件成功下载 (is_success=true): “已成功下载 Intsights 中 ID 为 {0} 的提醒对应的 CSV 文件:”.format(alert_id) 如果报告了 400 状态代码 (is_success=true): “在 Intsights 中未找到 ID 为 {alert_id} 的提醒的 CSV 信息。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等): “执行操作‘下载提醒 CSV’时出错。原因:{0}''.format(error.Stacktrace) 如果已存在同名文件,但“Overwrite”设置为 false: “执行操作‘下载提醒 CSV’时出错。原因:路径为 {0} 的文件已存在。请删除该文件或将“Overwrite”设置为 true。” 如果报告了 404 状态代码: “执行操作‘下载提醒 CSV’时出错。原因:找不到 ID 为 {ID} 的提醒 |
常规 |
获取提醒图片
说明
检索有关 IntSights 中提醒映像的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒图片 ID | CSV | 不适用 | 是 | 指定以英文逗号分隔的提醒图片 ID 列表。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一张图片成功检索:“Successfully retrieved images from the following IDs in Intsights:”(已成功从 Intsights 中检索到以下 ID 对应的图片:)。format(list of ids) 如果至少有一张图片未成功检索: “无法成功从 Intsights 中的以下 ID 检索图片:\n”.format(ID 列表) 如果并非所有图片都成功检索: “未检索到任何图片”。 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘获取提醒图片’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
Ping
说明
检查连接。
参数
不适用
使用场景
不适用
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
重开提醒
说明
在 IntSights 中重开提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 正确 | 指定要重新打开的提醒的 ID。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已在 Intsights 中成功重新打开 ID 为 '{0}' 的提醒”。format(提醒 ID) 如果报告了 400 状态代码:“无法在 Intsights 中重新打开 ID 为 {0} 的提醒。原因:{1}。".format(alert_id, response string) 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误): “执行操作‘重新打开提醒’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
搜索 IOC
说明
在一个简单易用的信息中心内整理和搜索所有 IOC。集中式 TIP 信息中心会按严重程度和可信度总结 IOC,以便您轻松了解哪些恶意 IOC 对贵组织构成最大风险。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 状态 | 返回 JSON 结果中是否存在相应值 |
| 网域 | 返回 JSON 结果中是否存在相应值 |
| 严重程度 | 返回 JSON 结果中是否存在相应值 |
| SourceID | 返回 JSON 结果中是否存在相应值 |
| 值 | 返回 JSON 结果中是否存在相应值 |
| 标志 | 返回 JSON 结果中是否存在相应值 |
| 上次出现 | 返回 JSON 结果中是否存在相应值 |
| _id | 返回 JSON 结果中是否存在相应值 |
| 类型 | 返回 JSON 结果中是否存在相应值 |
| 丰富 | 返回 JSON 结果中是否存在相应值 |
| 首次出现 | 返回 JSON 结果中是否存在相应值 |
| AccountID | 返回 JSON 结果中是否存在相应值 |
数据分析
是
连接器
Intsights 连接器
说明
从 Intsights 提取问题到 Google SecOps。
在 Google SecOps 中配置 Insights 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 字符串 | Details_Source_NetworkType | 用于确定设备产品的字段名称。 |
| EventClassId | 字符串 | Details_Title | 用于确定事件名称(子类型)的字段名称。 |
| PythonProcessTimeout | 字符串 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| API 根 | 字符串 | https://api.intsights.com | Intsights 服务器的 API 根目录。 |
| 账号 ID | 字符串 | 不适用 | 用于登录的账号 ID。 |
| API 密钥 | 密码 | 不适用 | 用于登录的 API 密钥。 |
| 验证 SSL | 复选框 | 尚未核查 | 是否验证服务器的 SSL 证书。 |
| 回溯的天数上限 | 整数 | 3 | 向后拉取提醒的天数上限。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 每个连接器周期要提取的提醒数量上限。 |
| 代理服务器地址 | 字符串 | 不适用 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
白名单/黑名单
连接器支持白名单/黑名单规则。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。