IntSights
整合版本:20.0
在 Google Security Operations 中設定 IntSights 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
新增附註
說明
在 IntSights 中為快訊新增附註。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要新增附註的快訊 ID。 |
| 注意事項 | 字串 | 不適用 | 是 | 指定快訊的附註。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功 (is_success=true):「Successfully add a note to the alert with ID '{0}' in Intsights ".format(alert id) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『新增記事』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「執行『新增附註』動作時發生錯誤。原因:在 IntSights 中找不到 ID 為 {alert id} 的快訊。 |
一般 |
向分析師提問
說明
向 IntSights 的分析師詢問有關快訊的問題。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要向分析師提問的快訊 ID。 |
| 註解 | 字串 | 不適用 | 是 | 為分析師指定註解。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id) 如果系統回報 400 或 500 狀態碼: 「Action was not able to ask the analyst in the alert with ID {0} in Intsights. 原因:{1}。".format(alert_id, response string) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行『諮詢分析師』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
指派快訊
說明
在 IntSights 中將快訊指派給分析師。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要變更指派對象的快訊 ID。 |
| 指派對象 ID | 字串 | 不適用 | 否 | 指定應指派給快訊的分析師 ID。 |
| 指派對象的電子郵件地址 | 字串 | 不適用 | 否 | 指定應指派給快訊的分析師電子郵件地址。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果指派成功 (含指派對象 ID): "Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights ".format(assignee id, alert id) 如果成功指派分析師 (使用指派對象的電子郵件地址):「Successfully assigned analyst with email address '{0}' to the alert with ID {1} in Intsights ".format(assignee email address, alert id) 如果找不到受讓人,狀態碼為 400,且已使用受讓人 ID: 「Action was not able to change the assignment on the alert with ID {0}. Reason: Assignee with ID {1} was not found.".format(alert_id, assignee id)"
如果系統回報 400 或 500 狀態碼: 「Action was not able to change the assignment on the alert with ID {0}. Reason: {1}.".format(alert_id, response) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行『指派快訊』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果未指定「受讓人 ID」和「受讓人電子郵件地址」參數: 「應指定受讓人 ID 或電子郵件地址」。 |
一般 |
關閉快訊
說明
在 IntSights 中關閉快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要關閉的快訊 ID。 |
| 原因 | DDL | 問題已解決 可能的值:
|
是 | 說明為何需要關閉快訊。 |
| 其他資訊 | 字串 | 不適用 | 否 | 請指定其他資訊,說明應關閉快訊的原因。 |
| 費率 | 整數 | 5 | 否 | 指定快訊的評等。最多 5 個。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully closed the alert with ID '{0}' in Intsights ".format(alert id) 如果系統回報 400 狀態碼:「Action was not able to close the alert with ID {0} in Intsights. 原因:{1}。".format(alert_id, response string) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行『關閉快訊』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「費率」參數不在 1 到 5 的範圍內: 「費率值應介於 1 到 5 之間。」 |
一般 |
下載快訊 CSV 檔案
說明
下載包含 IntSights 快訊相關資訊的 CSV 檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要下載 CSV 檔案的快訊 ID。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定要儲存 CSV 檔案的資料夾路徑。 |
| 覆寫 | 核取方塊 | 不適用 | 否 | 如果啟用這項設定,系統會覆寫名稱相同的檔案。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"absolute_paths": ["/opt/file_1"]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個 CSV 檔案成功下載 (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id) 如果系統回報 400 狀態碼 (is_success=true): 「在 Intsights 中,找不到 ID 為 {alert_id} 的快訊所對應的 CSV 資訊。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行動作『下載快訊 CSV』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果已有同名檔案,但「覆寫」設為 false: 「執行動作『下載警報 CSV』時發生錯誤。原因:路徑為「{0}」的檔案已存在。請刪除檔案或將「Overwrite」設為 true。」 如果系統回報 404 狀態碼: 「執行『下載快訊 CSV』動作時發生錯誤。原因:找不到 ID 為 {ID} 的快訊 |
一般 |
取得警報圖片
說明
在 IntSights 中擷取快訊圖片的相關資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊圖片 ID | CSV | 不適用 | 是 | 指定以半形逗號分隔的快訊圖片 ID 清單。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一張圖片成功:「Successfully retrieved images from the following IDs in Intsights:」(已從 Intsights 中成功擷取下列 ID 的圖片:)。format(ID 清單) 如果至少有一張圖片未成功擷取: 「Action wasn't able to successfully retrieve images from the following IDs in Intsights:\n".format(list of ids) 如果並非所有圖片都成功擷取: 「未擷取任何圖片」。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「執行『取得快訊圖片』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
乒乓
說明
檢查連線狀態。
參數
不適用
用途
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
重新開啟警告
說明
在 IntSights 中重新開啟快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要重新開啟的快訊 ID。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully reopened the alert with ID '{0}' in Intsights ".format(alert id) 如果系統回報 400 狀態碼:「Action was not able to reopen the alert with ID {0} in Intsights. 原因:{1}。".format(alert_id, response string) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: 「Error executing action "Reopen Alert". 原因:{0}''.format(error.Stacktrace) |
一般 |
搜尋 IOC
說明
在簡單易用的單一資訊主頁中,整理及搜尋所有 IOC。集中式 TIP 資訊主頁會依嚴重程度和信賴度彙整 IOC,方便您瞭解哪些惡意 IOC 對貴機構構成最大風險。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重性 | 如果 JSON 結果中存在該值,則傳回該值 |
| SourceID | 如果 JSON 結果中存在該值,則傳回該值 |
| 值 | 如果 JSON 結果中存在該值,則傳回該值 |
| 旗標 | 如果 JSON 結果中存在該值,則傳回該值 |
| 上次出現時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| _id | 如果 JSON 結果中存在該值,則傳回該值 |
| 類型 | 如果 JSON 結果中存在該值,則傳回該值 |
| 擴充 | 如果 JSON 結果中存在該值,則傳回該值 |
| 首次出現時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| AccountID | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
是
連接器
Intsights 連接器
說明
從 Intsights 擷取問題至 Google SecOps。
在 Google SecOps 中設定 Insights Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| DeviceProductField | 字串 | Details_Source_NetworkType | 用來判斷裝置產品的欄位名稱。 |
| EventClassId | 字串 | Details_Title | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| PythonProcessTimeout | 字串 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根目錄 | 字串 | https://api.intsights.com | Intsights 伺服器的 API 根層級。 |
| 帳戶 ID | 字串 | 不適用 | 用來登入的帳戶 ID。 |
| API 金鑰 | 密碼 | 不適用 | 用於登入的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是否要驗證伺服器的 SSL 憑證。 |
| 最多可回溯的天數 | 整數 | 3 | 要從過去幾天擷取快訊。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 每個單一連接器週期要擷取的警報數量上限。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
許可清單/黑名單
連接器支援許可清單/黑名單規則。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。