Talos ThreatSource
이 문서에서는 Talos ThreatSource를 Google SecOps와 통합하는 방법을 안내합니다.
Google Security Operations에서 Talos ThreatSource 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
평판 얻기
설명
IP 주소 또는 도메인의 평판과 세부정보를 가져옵니다.
매개변수
이 작업에는 입력 매개변수가 없습니다.
사용 사례
이 작업에는 사용 사례가 없습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- URL
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"1.1.1.1": {
"reputation": {
"domain": "one.one.one",
"daychange": 43.0,
"web_score": "",
"ip": "1.1.1.1",
"dnsmatch": 1,
"display_ipv6_volume": "false",
"daily_spam_name": "None",
"daily_spam_level": 0,
"category": {
"description": "Infrastructure and Content Delivery Networks",
"long_description": "Content delivery infrastructure and dynamically generated content; websites that cannot be classified more specifically because they are secured or otherwise difficult to classify."
},
"daily_mag": 3.8307894844544057,
"monthly_spam_level": 0,
"hostname": "one.one.one.one",
"monthly_spam_name": "None",
"talos_url": "https://www.talosintelligence.com/reputation_center/lookup?search=1.1.1.1",
"blacklists": {
"cbl.abuseat.org": {
"rules": [],
"lookup_uri": "http://cbl.abuseat.org/lookup.cgi?ip=1.1.1.1"
},
"pbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"sbl.spamhaus.org": {
"rules": [],
"lookup_uri": "http://www.spamhaus.org/query/bl?ip=1.1.1.1"
},
"bl.spamcop.net": {
"rules": [],
"lookup_uri": "http://spamcop.net/w3m?action=checkblock&ip=1.1.1.1"
}},
"talos_blacklist": {
"entry": {
"first_seen": "2013-04-10T10:05:01",
"classifications": ["malware"],
"expiration": "2014-12-17T19:09:58"
}},
"cidr": "false",
"email_score": "",
"email_score_name": "Good",
"web_score_name": "Neutral",
"organization": "CloudFlare",
"monthly_mag": "3.692884173719037"
},
"location": {
"map": "null",
"country": "Australia",
"locations": [{
"latitude": -33.494,
"ips": {
"good": [{
"ip": "1.1.1.1",
"magnitude": 3.692884173719037
}]},
"longitude": 143.2104
}],
"country_code": "AU",
"country_flag": "/images/flags/AU.png",
"cities": [{
"country": "Australia",
"name": "NULL",
"country_code": "AU",
"country_flag": "/images/flags/AU.png"
}]}}},
"Entity": "test"
}
]
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Talos_reputation | JSON 결과에 존재하는 경우에 반환 |
| Talos_domain | JSON 결과에 존재하는 경우에 반환 |
| Talos_daychange | JSON 결과에 존재하는 경우에 반환 |
| Talos_web_score | JSON 결과에 존재하는 경우에 반환 |
| Talos_ip | JSON 결과에 존재하는 경우에 반환 |
| Talos_dnsmatch | JSON 결과에 존재하는 경우에 반환 |
| Talos_display_ipv6_volume | JSON 결과에 존재하는 경우에 반환 |
| Talos_daily_spam_name | JSON 결과에 존재하는 경우에 반환 |
| Talos_daily_spam_level | JSON 결과에 존재하는 경우에 반환 |
| Talos_category | JSON 결과에 존재하는 경우에 반환 |
| Talos_description | JSON 결과에 존재하는 경우에 반환 |
| Talos_daily_mag | JSON 결과에 존재하는 경우에 반환 |
| Talos_monthly_spam_level | JSON 결과에 존재하는 경우에 반환 |
| Talos_hostname | JSON 결과에 존재하는 경우에 반환 |
| Talos_monthly_spam_name | JSON 결과에 존재하는 경우에 반환 |
| Talos_url | JSON 결과에 존재하는 경우에 반환 |
| Talos_blacklists | JSON 결과에 존재하는 경우에 반환 |
| Talos_rules | JSON 결과에 존재하는 경우에 반환 |
| Talos_lookup_uri | JSON 결과에 존재하는 경우에 반환 |
| Talos_idr | JSON 결과에 존재하는 경우에 반환 |
| Talos_email_score | JSON 결과에 존재하는 경우에 반환 |
| Talos_email_score_name | JSON 결과에 존재하는 경우에 반환 |
| Talos_web_score_name | JSON 결과에 존재하는 경우에 반환 |
| Talos_organization | JSON 결과에 존재하는 경우에 반환 |
| Talos_monthly_mag | JSON 결과에 존재하는 경우에 반환 |
| Talos_location | JSON 결과에 존재하는 경우에 반환 |
| Talos_magnitude | JSON 결과에 존재하는 경우에 반환 |
| Talos_longitude | JSON 결과에 존재하는 경우에 반환 |
| Talos_country_code | JSON 결과에 존재하는 경우에 반환 |
| Talos_country_flag | JSON 결과에 존재하는 경우에 반환 |
| Talos_cities | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success = true): 'Talos ThreatSource: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Talos ThreatSource: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''평판 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 테이블 이름: {entity.identifier} 표 열:
|
항목 |
핑
설명
사용자의 기기를 통해 사용자가 Talos ThreatSource에 연결되어 있는지 확인합니다.
매개변수
이 작업에는 입력 매개변수가 없습니다.
사용 사례
이 작업에는 사용 사례가 없습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
WhoIs
설명
Talos ThreatSource를 사용하여 항목에 관한 Whois 정보를 가져옵니다.
매개변수
이 작업에는 입력 매개변수가 없습니다.
사용 사례
이 작업에는 사용 사례가 없습니다.
실행
이 작업은 IP 주소, 호스트 이름, URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success = true): 'Talos ThreatSource: {entity.identifier}의 정보를 사용하여 다음 항목에 대한 Whois 정보를 성공적으로 반환했습니다.' 하나의 항목에 대한 응답에 'error'가 있는 경우 (is_success=true): '작업이 Talos ThreatSource: {entity.identifier}의 정보를 사용하여 다음 항목에 대한 Whois 정보를 반환할 수 없습니다.' 응답에 '오류'가 있는 경우 (is_success=false): '제공된 항목에 대한 Whois 정보를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''Whois' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.