TruSTAR

이 문서에서는 TruSTAR를 Google SecOps와 통합하는 방법을 안내합니다.

사용 사례

보강 작업을 수행합니다.

Google Security Operations에서 TruSTAR 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
API 루트 문자열 https://api.trustar.co TruSTAR API 루트
API 키 문자열 해당 사항 없음 TruSTAR API 키
API 비밀번호 비밀번호 TruSTAR API 보안 비밀
SSL 확인 체크박스 선택 사용 설정하면 TruSTAR 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

API 토큰 및 API 보안 비밀을 찾을 수 있는 위치

  1. https://station.trustar.co/settings/api로 이동합니다.
  2. '클라이언트 ID'와 '클라이언트 보안 비밀번호'를 복사하여 통합 구성에 넣습니다.
  3. 테스트 실행을 실행합니다.

작업

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 TruSTAR에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다.
성공한 경우: '제공된 연결 매개변수로 TruSTAR 서버에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행이 중지되어야 합니다.
실패한 경우: 'TruSTAR 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

 일반

항목 보강

설명

TruSTAR의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 모두

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
보안 수준 기준 DDL

낮음

기본값:

양성

낮음

중간

높음

 엔티티가 의심스러운 것으로 표시되기 위한 최저 보안 수준을 지정합니다.
엔클레이브 필터 CSV 아니요 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "indicatorType": "URL",
    "value": "http://esmne052.top/downfiles/lv.exe",
    "correlationCount": 0,
    "priorityLevel": "NOT_FOUND",
    "noteCount": 0,
    "sightings": 3,
    "firstSeen": 1617901588427,
    "lastSeen": 1617923344643,
    "enclaveIds": [
        "b850e851-27e3-4cc2-9269-69ac0aad63b1",
        "85313bc9-deb4-4022-ac03-923adcee9298",
        "cf777992-5dde-4d08-aef2-5e7c13951f54"
    ],
    "tags": [
        {
            "guid": "385a631d-fe0a-4657-ab4b-b201d48bf58c",
            "name": "api-tag",
            "enclaveId": "85313bc9-deb4-4022-ac03-923adcee9298"
        }
    ],
    "source": "",
    "notes": [],
    "guid": "URL|http://esmne052.top/downfiles/lv.exe",
    "summaries": [
        {
            "reportId": "970da023-e974-4223-80be-4b83c85583d9",
            "updated": 1617900133000,
            "enclaveId": "cf777992-5dde-4d08-aef2-5e7c13951f54",
            "source": {
                "key": "virustotal",
                "name": "VirusTotal"
            },
            "type": "URL",
            "value": "http://esmne052.top/downfiles/lv.exe",
            "score": {
                "name": "Positives/Total Scans",
                "value": "12/85"
            },
            "attributes": [
                {
                    "name": "Scan Date",
                    "value": 1617900133000
                },
                {
                    "name": "Websites with Positive Detections",
                    "value": [
                        "AegisLab WebGuard",
                        "AlienVault",
                        "CRDF",
                        "ESET",
                        "Emsisoft",
                        "Fortinet",
                        "G-Data",
                        "Kaspersky",
                        "Spamhaus",
                        "URLhaus",
                        "VX Vault",
                        "benkow.cc"
                    ]
                }
            ],
            "severityLevel": 1
        },
    ]
}
항목 보강
보강 필드 이름 로직 - 적용 시기
목격 JSON으로 제공되는 경우
first_seen JSON으로 제공되는 경우
last_seen JSON으로 제공되는 경우
tags JSON으로 제공되는 경우
source JSON으로 제공되는 경우
security_level JSON으로 제공되는 경우
report_link JSON으로 제공되는 경우
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다.
일부 보강된 경우(is_success = true): "TruSTAR를 사용하여 다음 항목을 성공적으로 보강했습니다.\n".format(entity.identifier)

일부 항목을 보강하지 않은 경우 (is_success = true): '작업이 TruSTAR를 사용하여 다음 항목을 보강할 수 없었습니다.\n'.format(entity.identifier)

모두 보강하지 않은 경우(is_success = false): '보강된 항목이 없습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.
잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: '항목 보강 작업 실행 오류'. 이유: {0}''.format(error.Stacktrace)

하나 이상의 인클레이브를 찾을 수 없는 경우: ''항목 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names)

 일반
항목 테이블 보강 테이블과 동일하지만 프리픽스가 없는 열입니다. 항목

설명

제공된 항목과 관련된 IOC에 관한 정보를 가져옵니다. 지원되는 항목: 모두

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
반환할 최대 IOC 수 정수 50 아니요 반환할 IOC 수를 지정합니다. 기본값: 50 최대: 1,000
엔클레이브 필터 CSV 아니요 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "{indicatorType_1}": ["{value_1}"],
    "{indicatorType_2}": ["{value_2}"]
}
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
하나 이상의 IOC가 발견된 경우(is_success = true): 'TruSTAR에서 제공된 항목의 관련 IOC를 반환했습니다.'

IOC를 찾을 수 없는 경우(is_success=false) 'TruSTAR에서 제공된 항목과 관련된 IOC를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.
잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: '관련 IOC 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)

응답이 200이 아닌 경우: ''관련 IOC 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message)

엔클레이브 중 하나를 찾을 수 없는 경우: "Error executing action "Get Related IOCs". 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names)

 일반

케이스 월 테이블

이름: 통계

열:

유형

개수

일반

설명

항목과 관련된 신고에 관한 정보를 가져옵니다. 지원되는 항목: 모두

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
통계 만들기 체크박스 아니요 사용 설정하면 작업에서 항목과 관련된 신고에 대한 정보가 포함된 통계를 만듭니다.
통계에 신고 본문 포함 체크박스 아니요 아니요 사용 설정하면 통계에 보고서 본문에 관한 정보가 포함됩니다. 참고: 보고서 본문의 크기가 매우 클 수 있습니다.
엔클레이브 필터 CSV 아니요 강화 중에 사용해야 하는 엔클레이브 이름을 쉼표로 구분하여 지정합니다.
반환할 최대 보고서 수 정수 아니요 반환할 보고서 수를 지정합니다. 기본값은 10입니다. 최대: 25

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
{
    "id": "b8decde8-a68e-4961-aa0b-e07474e394b0",
    "created": 1615928416710,
    "updated": 1615928416710,
    "title": "35201",
    "distributionType": "ENCLAVE",
    "submissionStatus": "PROCESSED",
    "timeBegan": 1615928416187,
    "reportBody": "Event # 1\n   Source IP: 4.2.2.2\n   Destination IP: 10.250.250.25\n   Raw Event: <114>Mar 16 22:04:21 SyslogAlertForwarder: |6863274412612564368|Signature|2021-03-16 22:04:20 GMT+02:00|\"DNS: Microsoft SMTP Service DNS resolver overflow\"|0x40302f00|High|ms-smtp-dns-resolver-overflow|Medium|My Company|BDCFailover|3A-3B|4.2.2.2|53|10.250.250.25|1027|Inbound|buffer-overflow",
    "externalTrackingId": "qradar-offence-35201",
    "enclaveIds": [
        "28177710-9cb8-aa2f-29e8-135c14365e80"
    ],
    "tags": [
        {
            "guid": "sense offense",
            "name": "sense offense",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "host logout",
            "name": "host logout",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "service stopped",
            "name": "service stopped",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "object access success",
            "name": "object access success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "process creation success",
            "name": "process creation success",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "information",
            "name": "information",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user privilege",
            "name": "user privilege",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        },
        {
            "guid": "user login failure",
            "name": "user login failure",
            "enclaveId": "28177710-9cb8-aa2f-29e8-135c14365e80"
        }
    ]
}
항목 통계

관련 보고서 통계 가져오기 예

케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
보고서가 하나 발견된 경우 (is_success = true): 'TruSTAR에서 제공된 항목의 관련 보고서를 반환했습니다.'

보고서를 찾을 수 없는 경우 (is_success=false) 'TruSTAR에서 관련 보고서를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.
잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: '관련 보고서 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

200 응답이 아닌 경우: ''관련 보고서 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message)

엔클레이브 중 하나를 찾을 수 없는 경우: "Error executing action "Get Related Reports". 이유: 다음 엔클레이브를 찾을 수 없습니다. {0} 맞춤법을 확인하거나 '엔클레이브 나열' 작업을 사용하여 유효한 엔클레이브를 찾으세요.''.format(enclave names)

 일반
케이스 월

제목: 관련 보고서

열:

제목

태그

일반

엔클레이브 나열

설명

TruSTAR에서 사용 가능한 엔클레이브를 나열합니다.

매개변수

매개변수 표시 이름 유형 기본값 필수 항목 설명
필터 로직 DDL

같음

DDL

같음

포함

 아니요 적용할 필터 로직을 지정합니다.
필터 값 문자열 아니요 필터에 사용할 값을 지정합니다.
반환할 최대 엔클레이브 수 정수 50 아니요 반환할 엔클레이브 수를 지정합니다. 기본값: 50

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_success is_success=False
is_success is_success=True
JSON 결과
[
    {
        "name": "COVID-19 OSINT Community Enclave",
        "templateName": "COVID-19",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "b0a7be7b-a847-4597-9e1d-20ae18c344ea",
        "type": "OPEN"
    },
    {
        "name": "Hybrid Analysis Public Feed",
        "templateName": "Open Source",
        "workflowSupported": false,
        "read": true,
        "create": false,
        "update": false,
        "id": "2eeccced-c740-4ad9-aa5c-82744cd1f6aa",
        "type": "OPEN"
    }
]
케이스 월
결과 유형 값/설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
하나의 인클레이브가 발견된 경우 (is_success = true): 'TruSTAR에서 사용 가능한 인클레이브를 반환했습니다.'

엔클레이브가 없는 경우 (is_success=false): 'TruSTAR에서 관련 엔클레이브를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.
잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: '엔클레이브 목록' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

 일반
케이스 월

제목: 관련 보고서

열:

이름

읽기

만들기

업데이트

ID

유형

 일반

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.