插件
Anomali ThreatStream
Anomali ThreatStream 自动化收集和集成威胁情报,使安全团队能够分析并响应威胁
概述
帮助
具体内容
下载
chariot plugin download chariot/c_anomali_threatstream:3.1.3
描述
Anomali ThreatStream 自动化收集和集成威胁情报,使安全团队能够分析并响应威胁
动作
- 在Anomali ThreatStream中查找一个IP地址
- 在Anomali ThreatStream中查找一个URL
- 在Anomali ThreatStream中查找文件哈希
- 通过批准将可观察对象导入到Anomali ThreatStream
- 获取可观察对象
- 提交文件到ThreatStream沙箱
- 提交一个URL到ThreatStream沙箱
- 获取一个沙盒报告
Anomali ThreatStream
关于
Anomali ThreatStream 自动化收集和集成威胁情报,使安全团队能够分析并响应威胁动作
查找IP地址
在Anomali ThreatStream中查找一个IP地址.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| ip_address | string | None | False | IP地址 | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| results | []result | False | 返回的结果 |
查找URL
在Anomali ThreatStream中查找一个URL.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| url | string | None | False | URL | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| results | []result | False | 返回的结果 |
查找哈希
在Anomali ThreatStream中查找文件哈希.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| hash | string | None | False | Hash | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| results | []result | False | 返回的结果 |
导入可观察到的
通过批准将可观察对象导入到Anomali ThreatStream.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| file | file | None | True | 要导入Anomali ThreatStream 的数据文件 | None |
| observable_settings | observable_settings | None | False | 导入需要批准的可观察对象所需的设置 | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| results | import_observable_response | False | 导入可观察结果 |
获取可观察对象
获取可观察对象.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| value | string | None | False | 值 | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| results | []result | False | 返回的结果 |
提交文件
提交文件到ThreatStream沙箱.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| platform | string | None | True | 将在其上运行提交的URL或文件的平台 | ["ALL", "ANDROID4.4", "ANDROID5.1", "ANDROID6.0", "MACOSX", "WINDOWSXP", "WINDOWSXPNATIVE", "WINDOWS7", "WINDOWS7NATIVE", "WINDOWS7OFFICE2010", "WINDOWS7OFFICE2013", "WINDOWS10", "WINDOWS10x64"] |
| classification | string | private | False | 沙盒提交的分类,公共或私有 | ["private", "public"] |
| use_premium_sandbox | boolean | None | True | 指定是否应使用高级沙箱进行引爆 | None |
| file | file | None | True | 引爆的文件 | None |
| detail | string | None | False | 以逗号分隔的列表,提供指标的其他详细信息。此信息显示在ThreatStream用户界面的标记列中。例如,“Credential-Exposure,compromised_email” | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| success | boolean | False | 操作状态 |
| reports | []report | False | 包含提交详细信息的报告 |
提交URL
提交一个URL到ThreatStream沙箱.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| platform | string | None | True | 将在其上运行提交的URL或文件的平台 | ["ALL", "ANDROID4.4", "ANDROID5.1", "ANDROID6.0", "MACOSX", "WINDOWSXP", "WINDOWSXPNATIVE", "WINDOWS7", "WINDOWS7NATIVE", "WINDOWS7OFFICE2010", "WINDOWS7OFFICE2013", "WINDOWS10", "WINDOWS10x64"] |
| classification | string | private | False | 沙盒提交的分类,公共或私有 | ["private", "public"] |
| use_premium_sandbox | boolean | None | True | 指定是否应使用高级沙箱进行引爆 | None |
| url | string | None | True | 引爆的URL | None |
| detail | string | None | False | 以逗号分隔的列表,提供指标的其他详细信息。此信息显示在ThreatStream用户界面的标记列中。例如,“Credential-Exposure,compromised_email” | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| success | boolean | False | 操作状态 |
| reports | []report | False | 包含提交详细信息的报告 |
得到沙箱报告
获取一个沙盒报告.
输入
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| report_id | string | None | True | 报告ID | None |
输出
| Name | Type | Required | Description |
|---|---|---|---|
| sandbox_report | sandbox_report | True | 沙盒报告 |
触发器
该插件不包含任何触发器。
连接
连接配置接受如下参数:
| Name | Type | Default | Required | Description | Enum |
|---|---|---|---|---|---|
| username | string | None | True | Anomali ThreatStream 用户名 | None |
| url | string | None | True | ThreatStream实例的URL,例如 https://ts.example.com | None |
| api_key | credential_secret_key | None | True | Anomali ThreatStream API密钥 | None |
| ssl_verify | boolean | true | True | 验证服务器的SSL/TLS证书 | None |
故障排除
该插件不包含任何故障排除信息。
版本
- 3.1.3 -
- 3.1.2 -
- 3.1.1 -
- 3.1.0 -
索引
该插件不包含任何索引。
plugin_spec_version: v2
extension: plugin
products: []
name: c_anomali_threatstream
title: Anomali ThreatStream
description: Anomali ThreatStream 自动化收集和集成威胁情报,使安全团队能够分析并响应威胁
version: 3.1.3
vendor: chariot
support: community
status: []
resources:
vendor_url: https://www.anomali.com
tags:
- anomali
- threatstream
hub_tags:
use_cases:
- threat_detection_and_response
keywords:
- anomali
- threatstream
features: []
types:
meta:
limit:
title:
en: Limit
zh-CN: 限制条数
description:
en: Limit
zh-CN: 限制
type: integer
offset:
title:
en: Offset
zh-CN: 偏移
description:
en: Offset
zh-CN: 偏移
type: integer
total_count:
title:
en: Total Count
zh-CN: 总数量
description:
en: Total Count
zh-CN: 总计数
type: integer
result:
asn:
title:
en: ASN
zh-CN: ASN
description:
en: Autonomous system number
zh-CN: 自治系统编号
type: string
classification:
title:
en: Classification
zh-CN: 分类
description:
en: Classification
zh-CN: 分类
type: string
confidence:
title:
en: Confidence
zh-CN: 可信度
description:
en: Confidence level
zh-CN: 可信度
type: string
country:
title:
en: Country
zh-CN: 国家
description:
en: Country
zh-CN: 国家
type: string
date_first:
title:
en: Date First
zh-CN: 第一个日期
description:
en: Date first
zh-CN: 第一个日期
type: string
date_last:
title:
en: Date Last
zh-CN: 最后的日期
description:
en: Date last
zh-CN: 最后日期
type: string
details2:
title:
en: Details
zh-CN: 详情
description:
en: Details
zh-CN: 细节
type: string
domain:
title:
en: Domain
zh-CN: 域
description:
en: Domain
zh-CN: 域
type: string
email:
title:
en: Email
zh-CN: 电子邮件
description:
en: Email
zh-CN: 电子邮件
type: string
id:
title:
en: ID
zh-CN: ID
description:
en: ID
zh-CN: ID
type: integer
itype:
title:
en: Itype
zh-CN: Itype
description:
en: Itype
zh-CN: 类型
type: string
lat:
title:
en: Latitude
zh-CN: 纬度
description:
en: Latitude
zh-CN: 纬度
type: number
lon:
title:
en: Longitude
zh-CN: 经度
description:
en: Longitude
zh-CN: 经度
type: number
md5:
title:
en: MD5
zh-CN: MD5
description:
en: MD5 Hash
zh-CN: MD5哈希
type: string
org:
title:
en: Organization
zh-CN: 组织
description:
en: Organization
zh-CN: 组织
type: string
resource_uri:
title:
en: Resource URI
zh-CN: 资源URI
description:
en: Resource URI
zh-CN: 资源URI
type: string
severity:
title:
en: Severity
zh-CN: 严重程度
description:
en: Severity
zh-CN: 严重程度
type: string
source:
title:
en: Source
zh-CN: 源
description:
en: Source
zh-CN: 来源
type: string
source_feed_id:
title:
en: Source Feed ID
zh-CN: 源提要ID
description:
en: Source Feed ID
zh-CN: 源ID
type: integer
srcip:
title:
en: Source IP
zh-CN: 源IP
description:
en: Source IP
zh-CN: 源IP
type: string
state:
title:
en: State
zh-CN: 状态
description:
en: State
zh-CN: 状态
type: string
update_id:
title:
en: Update ID
zh-CN: 更新 ID
description:
en: Update ID
zh-CN: 更新ID
type: string
url:
title:
en: URL
zh-CN: URL
description:
en: URL
zh-CN: URL
type: string
observable_settings:
confidence:
title:
en: Confidence
zh-CN: 可信度
description:
en: Confidence value assigned to the observable. Confidence score can range from 0-100, in increasing order of confidence
zh-CN: 指定给可观察对象的置信值。置信度得分范围为0-100,按置信度的递增顺序排列
type: integer
source_confidence_weight:
title:
en: Source Confidence Weight
zh-CN: 源可信度权重
description:
en: Specifies the ratio between the amount of the source confidence of each observable and the ThreatStream confidence
zh-CN: 指定每个可观察的源置信度与 ThreatStream 置信度之间的比率
type: integer
severity:
title:
en: Severity
zh-CN: 严重程度
description:
en: Severity you want to assign to the observable when it is imported
zh-CN: 导入可观察对象时要为其分配的严重性
type: string
default: ''
enum:
- low
- medium
- high
- very-high
- ''
classification:
title:
en: Classification
zh-CN: 分类
description:
en: Classification of the observable
zh-CN: 可观测的分类
type: string
default: private
enum:
- public
- private
required: true
expiration_ts:
title:
en: Expiration Time Stamp
zh-CN: 到期时间戳
description:
en: Time stamp of when intelligence will expire on ThreatStream
zh-CN: ThreatStream 上情报过期的时间戳
type: date
notes:
title:
en: Notes
zh-CN: 标签
description:
en: Additional details for the observable. This information is displayed in the Tags column of the ThreatStream UI e.g ['note1', 'note2', 'note3']
zh-CN: 可观察到的其他细节。此信息显示在ThreatStream用户界面的Tags列中,例如['note1','note2','note3']
type: "[]string"
ip_mapping:
title:
en: IP Mapping
zh-CN: IP映射
description:
en: Indicator type to assign if a specific type is not associated with an observable
zh-CN: 如果特定类型与可观察对象不关联,则要分配的指示符类型
type: string
required: false
domain_mapping:
title:
en: Domain Mapping
zh-CN: 域的映射
description:
en: Indicator type to assign if a specific type is not associated with an observable
zh-CN: 如果特定类型与可观察对象不关联,则要分配的指示符类型
type: string
required: false
url_mapping:
title:
en: URL Mapping
zh-CN: URL映射
description:
en: Indicator type to assign if a specific type is not associated with an observable
zh-CN: 如果特定类型与可观察对象不关联,则要分配的指示符类型
type: string
required: false
email_mapping:
title:
en: Email Mapping
zh-CN: 电子邮件的映射
description:
en: Indicator type to assign if a specific type is not associated with an observable
zh-CN: 如果特定类型与可观察对象不关联,则要分配的指示符类型
type: string
required: false
md5_mapping:
title:
en: MD5 Mapping
zh-CN: MD5映射
description:
en: Indicator type to assign if a specific type is not associated with an observable
zh-CN: 如果特定类型与可观察对象不关联,则要分配的指示符类型
type: string
required: false
trustedcircles:
title:
en: Trusted Circles
zh-CN: 信任的圈子
description:
en: ID of the trusted circle to which this threat data should be imported. If you want to import the threat data to multiple trusted circles, enter the list of comma-separated IDs e.g [1,2,3]
zh-CN: 应将此威胁数据导入到的受信任圈的ID。如果要将威胁数据导入多个受信任的圆圈,请输入逗号分隔的ID列表,例如[1,2,3]
type: "[]integer"
threat_type:
title:
en: Threat Type
zh-CN: 威胁类型
description:
en: Type of threat associated with the imported observables
zh-CN: 与导入的观测值相关的威胁类型
type: string
required: false
import_observable_response:
job_id:
title:
en: Job ID
zh-CN: 任务ID
description:
en: Job ID
zh-CN: 作业ID
type: string
success:
title:
en: Success
zh-CN: 成功
description:
en: If import was successful
zh-CN: 是否导入成功
type: boolean
import_session_id:
title:
en: Import Session ID
zh-CN: 导入会话ID
description:
en: ID for import session
zh-CN: 导入会话的ID
type: string
report:
status:
title:
en: Status
zh-CN: 状态
decription: Link to submission status
type: string
detail:
title:
en: Details
zh-CN: 细节
decription: Link to submission details
type: string
id:
title:
en: ID
zh-CN: ID
description:
en: Submission ID
zh-CN: 提交ID
type: integer
platform:
title:
en: Platform
zh-CN: 平台
description:
en: Platform on which the submitted URL or file will be run
zh-CN: 将在其上运行提交的URL或文件的平台
type: string
info:
category:
title:
en: Category
zh-CN: 类别
description:
en: Category
zh-CN: 类别
type: string
required: true
confidence:
title:
en: Confidence
zh-CN: 可信度
description:
en: Confidence
zh-CN: 可信度
type: int
required: true
is_unknown:
title:
en: Is Unknown
zh-CN: 是未知的
description:
en: Is unknown
zh-CN: 是未知的
type: boolean
required: true
is_suspicious:
title:
en: Is Suspicious
zh-CN: 是可疑的
description:
en: Is suspicious
zh-CN: 是可疑的
type: boolean
required: true
is_malicious:
title:
en: Is Malicious
zh-CN: 是恶意的
description:
en: Is malicious
zh-CN: 是恶意的
type: boolean
required: true
started:
title:
en: Started
zh-CN: 开始
description:
en: Started
zh-CN: 起动
type: string
required: true
ended:
title:
en: Ended
zh-CN: 结束
description:
en: Ended
zh-CN: 结束了
type: string
required: true
duration:
title:
en: Duration
zh-CN: 周期
description:
en: Duration
zh-CN: 持续时间
type: int
required: true
sandbox_report:
screenshots:
title:
en: Screenshots
zh-CN: 截图
description:
en: Screenshots
zh-CN: 截图
type: "[]string"
required: true
info:
title:
en: Info
zh-CN: 信息
description:
en: Info
zh-CN: 信息
type: info
required: true
signatures:
title:
en: Signatures
zh-CN: 签名
description:
en: Signatures
zh-CN: 签名
type: "[]object"
required: true
domains:
title:
en: Domains
zh-CN: 域
description:
en: Domains
zh-CN: 域
type: "[]string"
required: true
connection:
username:
title:
en: Username
zh-CN: 用户名
description:
en: Anomali ThreatStream username
zh-CN: Anomali ThreatStream 用户名
type: string
required: true
url:
title:
en: URL
zh-CN: URL
description:
en: URL for the ThreatStream instance e.g. https://ts.example.com
zh-CN: ThreatStream实例的URL,例如 https://ts.example.com
type: string
required: true
api_key:
title:
en: API Key
zh-CN: API Key
description:
en: Anomali ThreatStream API key
zh-CN: Anomali ThreatStream API密钥
type: credential_secret_key
required: true
ssl_verify:
type: boolean
title:
en: SSL Verify
zh-CN: SSL验证
description:
en: Verify the server's SSL/TLS certificate
zh-CN: 验证服务器的SSL/TLS证书
default: true
required: true
actions:
lookup_ip:
title: 查找IP地址
description: 在Anomali ThreatStream中查找一个IP地址
input:
ip_address:
title:
en: IP Address
zh-CN: IP地址
description:
en: IP address
zh-CN: IP地址
type: string
required: false
output:
results:
title:
en: Results
zh-CN: 结果
description:
en: Results returned
zh-CN: 返回的结果
type: "[]result"
required: false
lookup_url:
title: 查找URL
description: 在Anomali ThreatStream中查找一个URL
input:
url:
title:
en: URL
zh-CN: URL
description:
en: URL
zh-CN: URL
type: string
required: false
output:
results:
title:
en: Results
zh-CN: 结果
description:
en: Results returned
zh-CN: 返回的结果
type: "[]result"
required: false
lookup_hash:
title: 查找哈希
description: 在Anomali ThreatStream中查找文件哈希
input:
hash:
title:
en: Hash
zh-CN: 哈希
description:
en: Hash
zh-CN: Hash
type: string
required: false
output:
results:
title:
en: Results
zh-CN: 结果
description:
en: Results returned
zh-CN: 返回的结果
type: "[]result"
required: false
import_observable:
title: 导入可观察到的
description: 通过批准将可观察对象导入到Anomali ThreatStream
input:
file:
title:
en: File
zh-CN: 文件
description:
en: File of data to be imported into Anomali ThreatStream
zh-CN: 要导入Anomali ThreatStream 的数据文件
type: file
required: true
observable_settings:
title:
en: Observable Settings
zh-CN: 可观察设置
description:
en: Settings needed for importing an observable that needs approval
zh-CN: 导入需要批准的可观察对象所需的设置
type: observable_settings
required: false
output:
results:
title:
en: Results
zh-CN: 结果
description:
en: Results from importing observable(s)
zh-CN: 导入可观察结果
type: import_observable_response
required: false
get_observables:
title: 获取可观察对象
description: 获取可观察对象
input:
value:
title:
en: Value
zh-CN: 值
description:
en: Value
zh-CN: 值
type: string
required: false
output:
results:
title:
en: Results
zh-CN: 结果
description:
en: Results returned
zh-CN: 返回的结果
type: "[]result"
required: false
submit_file:
title: 提交文件
description: 提交文件到ThreatStream沙箱
input:
platform:
required: true
title:
en: Platform
zh-CN: 平台
description:
en: Platform on which the submitted URL or file will be run
zh-CN: 将在其上运行提交的URL或文件的平台
type: string
enum:
- ALL
- ANDROID4.4
- ANDROID5.1
- ANDROID6.0
- MACOSX
- WINDOWSXP
- WINDOWSXPNATIVE
- WINDOWS7
- WINDOWS7NATIVE
- WINDOWS7OFFICE2010
- WINDOWS7OFFICE2013
- WINDOWS10
- WINDOWS10x64
classification:
title:
en: Classification
zh-CN: 分类
description:
en: Classification of the Sandbox submission, either public or private
zh-CN: 沙盒提交的分类,公共或私有
required: false
type: string
enum:
- private
- public
default: private
use_premium_sandbox:
title:
en: Use Premium Sandbox
zh-CN: 使用高级沙箱
required: true
description:
en: Specify whether the premium sandbox should be used for detonation
zh-CN: 指定是否应使用高级沙箱进行引爆
type: boolean
file:
type: file
title:
en: File
zh-CN: 文件
required: true
description:
en: File to detonate
zh-CN: 引爆的文件
detail:
title:
en: Detail
zh-CN: 细节
description:
en: A comma-separated list that provides additional details for the indicator. This information is displayed in the Tag column of the ThreatStream UI. For example, "Credential-Exposure,compromised_email"
zh-CN: 以逗号分隔的列表,提供指标的其他详细信息。此信息显示在ThreatStream用户界面的标记列中。例如,“Credential-Exposure,compromised_email”
required: false
type: string
output:
success:
title:
en: Success
zh-CN: 成功
description:
en: Operation status
zh-CN: 操作状态
type: boolean
required: false
reports:
title:
en: Reports
zh-CN: 报告
description:
en: Reports containing submission details
zh-CN: 包含提交详细信息的报告
type: "[]report"
required: false
submit_url:
title: 提交URL
description: 提交一个URL到ThreatStream沙箱
input:
platform:
required: true
title:
en: Platform
zh-CN: 平台
description:
en: Platform on which the submitted URL or file will be run
zh-CN: 将在其上运行提交的URL或文件的平台
type: string
enum:
- ALL
- ANDROID4.4
- ANDROID5.1
- ANDROID6.0
- MACOSX
- WINDOWSXP
- WINDOWSXPNATIVE
- WINDOWS7
- WINDOWS7NATIVE
- WINDOWS7OFFICE2010
- WINDOWS7OFFICE2013
- WINDOWS10
- WINDOWS10x64
classification:
title:
en: Classification
zh-CN: 分类
description:
en: Classification of the sandbox submission, either public or private
zh-CN: 沙盒提交的分类,公共或私有
required: false
type: string
enum:
- private
- public
default: private
use_premium_sandbox:
title:
en: Use Premium Sandbox
zh-CN: 使用高级沙箱
required: true
description:
en: Specify whether the premium sandbox should be used for detonation
zh-CN: 指定是否应使用高级沙箱进行引爆
type: boolean
url:
type: string
title:
en: URL
zh-CN: URL
required: true
description:
en: URL to detonate
zh-CN: 引爆的URL
detail:
title:
en: Detail
zh-CN: 细节
description:
en: A comma-separated list that provides additional details for the indicator. This information is displayed in the tag column of the ThreatStream UI. For example, "Credential-Exposure,compromised_email"
zh-CN: 以逗号分隔的列表,提供指标的其他详细信息。此信息显示在ThreatStream用户界面的标记列中。例如,“Credential-Exposure,compromised_email”
required: false
type: string
output:
success:
title:
en: Success
zh-CN: 成功
description:
en: Operation status
zh-CN: 操作状态
type: boolean
required: false
reports:
title:
en: Reports
zh-CN: 报告
description:
en: Reports containing submission details
zh-CN: 包含提交详细信息的报告
type: "[]report"
required: false
get_sandbox_report:
title: 得到沙箱报告
description: 获取一个沙盒报告
input:
report_id:
title:
en: Report ID
zh-CN: 报告ID
description:
en: Report ID
zh-CN: 报告ID
type: string
required: true
output:
sandbox_report:
title:
en: Sandbox Report
zh-CN: 沙箱报告
description:
en: Sandbox report
zh-CN: 沙盒报告
type: sandbox_report
required: true