ANY.RUN in Google SecOps einbinden
Integrationsversion: 7.0
In diesem Dokument wird beschrieben, wie Sie ANY.RUN in Google Security Operations (Google SecOps) einbinden.
Produktberechtigung
Die Integration funktioniert mit der API-Schlüssel-Authentifizierung. Sie können einen neuen API-Schlüssel auf der ANY.RUN-Seite generieren.
Integrationsparameter
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel für die Verwendung mit der Integration. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Datei analysieren
Erstellen Sie eine ANY.RUN-Datei-Analyseaufgabe.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt. Der vollständige Pfad zur zu analysierenden Datei sollte als Aktions-Eingabeparameter angegeben werden.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfad | String | – | Nein | Geben Sie den vollständigen Pfad zur zu analysierenden Datei an. |
| Auf den Bericht warten? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Aktion auf das Erstellen des Berichts warten soll. Der Bericht kann auch später mit der Aktion „Bericht abrufen“ abgerufen werden, sobald der Scan abgeschlossen ist. |
| Grenzwert | Ganzzahl | 0 | Ja | Wenn das Kästchen „Auf Bericht warten“ angeklickt ist, markieren Sie die Entität als verdächtig, wenn der Risikowert des Berichts für die Entität über dem angegebenen Grenzwert liegt. |
| Versuche, die Einreichung x-mal zu erstellen | Ganzzahl | 30 | Ja | Wie oft sollte die Aktion versuchen, zu prüfen, ob das API-Limit für die gleichzeitige Nutzung nicht überschritten wurde, und einen neuen Antrag zu erstellen? Die Prüfung erfolgt alle 2 Sekunden. |
| Version des Betriebssystems | DDL | 7 Mögliche Werte:
|
Nein | Betriebssystemversion, für die die Analyse ausgeführt werden soll. |
| Bitanzahl des Betriebssystems | DDL | 32 Mögliche Werte:
|
Nein | Bitanzahl des Betriebssystems |
| Betriebssystemumgebungstyp | DDL | abgeschlossen Mögliche Werte:
|
Nein | Umgebungstyp, für den die Analyse ausgeführt werden soll. |
| Status der Netzwerkverbindung | DDL | An
Mögliche Werte:
|
Nein | Status der Netzwerkverbindung für die Analyse. |
| FakeNet-Funktionsstatus | DDL | falsch Mögliche Werte:
|
Nein | FakeNet-Featurestatus für die Analyse. |
| TOR verwenden | DDL | falsch Mögliche Werte:
|
Nein | Geben Sie an, ob TOR bei der Analyse verwendet werden soll. |
| opt_network_mitm | DDL | falsch Mögliche Werte:
|
Nein | Option für HTTPS-MITM-Proxy. |
| opt_network_geo | DDL | Schnellste Mögliche Werte:
|
Nein | Option für die Standortbestimmung. |
| opt_network_heavyevasion | DDL | falsch Mögliche Werte:
|
Nein | Option für starke Ausweichung. |
| opt_privacy_type | DDL | Über Link Mögliche Werte:
|
Nein | Datenschutzeinstellungen für die Analyse. |
| opt_timeout | String | 60 | Nein | Das Zeitlimit für die Analyse liegt zwischen 10 und 600 Sekunden. |
| obj_ext_startfolder | DDL | temp Mögliche Werte:
|
Nein | Startort für die Analyse. |
Anwendungsfälle
Analysieren Sie die Datei, die Teil der Benachrichtigung ist, um festzustellen, ob sie schädlich ist.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Markieren Sie die Entität als verdächtig, wenn die Anzahl der negativen Engines gleich oder höher als der angegebene Schwellenwert ist. if data.get("report", {}).get("risk_score", {}).get("result") > threshold
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| domain_blacklist | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| html_forms | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| server_details | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| response_headers | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Weiterleitung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| file_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| risk_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| security_checks | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| geo_location | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| url_parts | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| site_category | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| web_page | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| dns_records | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
Option 1: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
Option 2: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn die Analyseaufgabe für die bereitgestellte Datei erfolgreich erstellt wurde : „Successfully created analysis task for file: {0}“.format(file_path). Wenn die Analyseaufgabe für die bereitgestellte Datei nicht erstellt werden kann : „Failed to create ANY.RUN analysis task for file: {0}“.format(file_path) (ANY.RUN-Analyseaufgabe für Datei konnte nicht erstellt werden: {0}). Wenn das Kästchen „Auf Bericht warten“ aktiviert ist und wir die Aktion abschließen, weil das Python-Prozess-Zeitlimit bald erreicht ist: „Action reached timeout waiting for report for file: {0}“.format(file_path) ausgeben. Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Datei-URL analysieren
Erstellen Sie eine ANY.RUN-Datei-Analyseaufgabe.
Die Aktion funktioniert nicht mit Google SecOps-Entitäten. Die URL der zu analysierenden Datei muss als Aktions-Eingabeparameter angegeben werden.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| URL zur Datei | String | – | Nein | Geben Sie die URL der Datei an, die heruntergeladen und analysiert werden soll. |
| Quell-URL ausblenden? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Quell-URL für die heruntergeladene Datei ausgeblendet werden soll. |
| Auf den Bericht warten? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Aktion auf das Erstellen des Berichts warten soll. Der Bericht kann auch später mit der Aktion „Bericht abrufen“ abgerufen werden, sobald der Scan abgeschlossen ist. |
| Grenzwert | Ganzzahl | 0 | Ja | Wenn das Kästchen „Auf Bericht warten“ angeklickt ist, markieren Sie die Entität als verdächtig, wenn der Risikowert des Berichts für die Entität über dem angegebenen Grenzwert liegt. |
| Versuche, die Einreichung x-mal zu erstellen | Integer | 30 | Ja | Wie oft sollte die Aktion versuchen, zu prüfen, ob das API-Limit für die gleichzeitige Nutzung nicht überschritten wurde, und einen neuen Antrag zu erstellen? Die Prüfung erfolgt alle 2 Sekunden. |
| Version des Betriebssystems | DDL | 7 | Nein | Betriebssystemversion, für die die Analyse ausgeführt werden soll. |
| Bitanzahl des Betriebssystems | DDL | 32 | Nein | Bitanzahl des Betriebssystems |
| Betriebssystemumgebungstyp | DDL | abgeschlossen | Nein | Umgebungstyp, für den die Analyse ausgeführt werden soll. |
| Status der Netzwerkverbindung | DDL | An | Nein | Status der Netzwerkverbindung für die Analyse. |
| FakeNet-Funktionsstatus | DDL | Falsch | Nein | FakeNet-Featurestatus für die Analyse. |
TOR |
DDL | Falsch | Nein | Geben Sie an, ob TOR bei der Analyse verwendet werden soll. |
opt_network_mitm |
DDL | Falsch | Nein | Option für HTTPS-MITM-Proxy. |
| opt_network_geo | DDL | Schnellste | Nein | Option für die Standortbestimmung. |
| opt_network_heavyevasion | DDL | Falsch | Nein | Option für starke Ausweichung. |
| opt_privacy_type | DDL | Über Link Mögliche Werte:
|
Nein | Datenschutzeinstellungen für die Analyse. |
opt_timeout |
String | 60 | Nein | Das Zeitlimit für die Analyse liegt zwischen 10 und 600 Sekunden. |
obj_ext_startfolder |
DDL | temp | Nein | Startort für die Analyse. |
Anwendungsfälle
Analysieren Sie die Datei, die Teil der Benachrichtigung ist, um festzustellen, ob sie schädlich ist.
Ausführen am
Diese Aktion funktioniert nicht für Elemente.
Aktionsergebnisse
Entitätsanreicherung
Markiert die Entität als verdächtig, wenn die Anzahl der negativen Engines gleich oder höher als der angegebene Schwellenwert ist. is_suspicious: if data.get("score") > threshold
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| should_block | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Punktzahl | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Einweg | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_mx_records | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| has_spf_records | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
Option 1: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
Option 2: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn die Analyseaufgabe für die angegebene Datei erfolgreich erstellt wurde : „Successfully created analysis task for file: {0}“.format(file_path). Wenn die Analyseaufgabe für die bereitgestellte Datei nicht erstellt werden kann : „ANY.RUN-Analyseaufgabe für Datei konnte nicht erstellt werden: {0}“.format(file_path). Wenn das Kästchen „Auf Bericht warten“ aktiviert ist und wir die Aktion abschließen, weil das Python-Prozess-Zeitlimit bald erreicht ist : „Das Zeitlimit für die Aktion wurde erreicht. Es wurde auf den Bericht für die Datei gewartet: {0}“.format(file_path). Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
URL analysieren
Erstelle eine ANY.RUN-Analyseaufgabe für die angegebene URL.
Die Aktion unterstützt keine Google SecOps-Entitäten. Eine zu analysierende URL muss als Eingabeparameter angegeben werden.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| URL für die Analyse | String | – | Nein | Geben Sie die zu analysierende URL an. |
| Auf den Bericht warten? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Aktion auf das Erstellen des Berichts warten soll. Der Bericht kann auch später mit der Aktion „Bericht abrufen“ abgerufen werden, sobald der Scan abgeschlossen ist. |
| Versuche, die Einreichung x-mal zu erstellen | Ganzzahl | 30 | Ja | Wie oft sollte die Aktion versuchen, zu prüfen, ob das API-Limit für die gleichzeitige Nutzung nicht überschritten wurde, und einen neuen Antrag zu erstellen? Die Prüfung erfolgt alle 2 Sekunden. |
| Version des Betriebssystems | DDL | 7 | Nein | Betriebssystemversion, für die die Analyse ausgeführt werden soll. |
| Bitanzahl des Betriebssystems | DDL | 32 | Nein | Bitanzahl des Betriebssystems |
| Betriebssystemumgebungstyp | DDL | abgeschlossen | Nein | Umgebungstyp, für den die Analyse ausgeführt werden soll. |
| Status der Netzwerkverbindung | DDL | An | Nein | Status der Netzwerkverbindung für die Analyse. |
| FakeNet-Funktionsstatus | DDL | Falsch | Nein | FakeNet-Featurestatus für die Analyse. |
| TOR verwenden | DDL | Falsch | Nein | Geben Sie an, ob TOR bei der Analyse verwendet werden soll. |
opt_network_mitm |
DDL |
Falsch | Nein | Option für HTTPS-MITM-Proxy. |
| opt_network_geo | DDL | Schnellste | Nein | Option für die Standortbestimmung. |
| opt_network_heavyevasion | DDL | Falsch | Nein | Option für starke Ausweichung. |
| opt_privacy_type | DDL | Über Link Mögliche Werte:
|
Nein | Datenschutzeinstellungen für die Analyse. |
| opt_timeout | String | 60 | Nein | Das Zeitlimit für die Analyse liegt zwischen 10 und 600 Sekunden. |
| obj_ext_startfolder | DDL | temp | Nein | Startort für die Analyse. |
Anwendungsfälle
Analysieren Sie die URL, die Teil der Benachrichtigung ist, um festzustellen, ob sie schädlich ist.
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
Option 1: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
Option 2: Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist, geben wir die Informationen zur erstellten Analyseaufgabe zurück (Antwort auf Anfrage 1).
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn für mindestens eine der angegebenen Entitäten eine Analyseaufgabe erstellt wurde : „Analyseaufgaben für die folgenden Entitäten erstellt: {0}“.format([entity.Identifier]). Wenn keine Analyseaufgabe für alle angegebenen Einheiten erstellt werden kann : „Es wurden keine ANY.RUN-Analyseaufgaben erstellt.“ Wenn für einige Einheiten keine Analyseaufgaben erstellt werden können : „Failed to create analysis tasks for the following entities: {0}“.format([entity.identifier]) Wenn das Kästchen „Auf Bericht warten“ aktiviert ist und die Aktion abgeschlossen wird, weil das Python-Prozess-Zeitlimit bald erreicht ist : „Das Zeitlimit für die Aktion wurde beim Warten auf den Bericht für die folgenden Einheiten erreicht: {0}“.format([entity.identifier]) Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Bericht abrufen
ANY.RUN-Bericht aus der vorherigen Analyse basierend auf der bereitgestellten Google SecOps-Datei, dem FileHash oder der URL-Entität abrufen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Grenzwert | Ganzzahl | 0 | Ja | Markiert die Einheit als verdächtig, wenn der Wert für die Einheit über dem angegebenen Grenzwert liegt. |
| In den letzten x Scans suchen | Ganzzahl | 25 | Ja | Suchen Sie nach einem Bericht, in dem der Dateihash in den letzten x Analysen angegeben ist, die in ANY.RUN ausgeführt wurden. |
| Insight erstellen? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob auf Grundlage der Berichtsdaten ein Einblick erstellt werden soll. |
| Soll der aktuelle Bericht abgerufen werden? | Kästchen | Aktiviert | Nein | Geben Sie an, ob der letzte Analysebericht oder alle gefundenen Berichte für die angegebene Einheit zurückgegeben werden sollen. |
Anwendungsfälle
Suchen Sie im Playbook nach ANY.RUN-Hashes, die in der Benachrichtigungsanalyse gefunden wurden.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Dateiname
- Filehash
- URL
Aktionsergebnisse
Entitätsanreicherung
Die Aktion sollte diesen Wert auf „True“ setzen, wenn der Risikowert für die Entität über dem als Aktions-Eingabeparameter angegebenen Grenzwert liegt.
Statistiken
| Insight-Logik | Typ | Titel | Entität | Urteil | Bedrohungsstufe | Punktzahl |
|---|---|---|---|---|---|---|
| Wird erstellt, wenn das entsprechende Kästchen angekreuzt wurde. | Entität | Beliebig/Bericht erstellen | Entitäts-ID, für die die Statistik erstellt wird | Wert aus API-Antwort | Wert aus API-Antwort | Wert aus API-Antwort |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"error":false,
"data":{
"analysis":{
"uuid":"UUID",
"permanentUrl":"https://app.any.run/tasks/UUID",
"reports":{
"IOC":"https://api.any.run/report/UUID/ioc/json",
"MISP":"https://api.any.run/report/UUID/summary/misp",
"HTML":"https://api.any.run/report/UUID/summary/html",
"graph":"https://content.any.run/tasks/UUID/graph"
},
"sandbox":{
"name":"ANY.RUN - Interactive Sandbox",
"plan":{
"name":"Tester"
}
},
"duration":60,
"creation":1602483368256,
"creationText":"2020-10-12T06:16:08.256Z",
"tags":[
],
"options":{
"timeout":60,
"additionalTime":0,
"fakeNet":false,
"heavyEvasion":false,
"mitm":false,
"tor":{
"used":false,
"geo":"fastest"
},
"presentation":false,
"video":true,
"hideSource":false,
"network":true,
"privacy":"bylink",
"privateSample":false,
"automatization":{
"uac":false
}
},
"scores":{
"verdict":{
"score":100,
"threatLevel":2,
"threatLevelText":"Malicious activity"
},
"specs":{
"injects":false,
"autostart":false,
"cpuOverrun":false,
"crashedApps":false,
"crashedTask":false,
"debugOutput":false,
"executableDropped":false,
"exploitable":false,
"lowAccess":false,
"memOverrun":false,
"multiprocessing":true,
}
}
}
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg und wenn ein Bericht für mindestens eine der angegebenen Einheiten abgerufen wurde : „Found ANY.RUN reports for the following entities: {0}“.format([entity.Identifier]). Wenn keine Berichte für alle angegebenen Entitäten gefunden werden : „Es wurden keine ANY.RUN-Berichte gefunden.“ Wenn für einige Entitäten keine Berichte gefunden werden: „Failed to find ANY.RUN reports for the following entities: {0}“.format([entity.identifier]) Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder einer unterbrochenen Verbindung : „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
| Tabelle | Name:Aktueller ANY.RUN-Bericht Spalten:Parameter, Wert:
|
Allgemein |
Ping
Verbindung zu ANY.RUN testen
Parameter
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Die Verbindung zum ANY.RUN-Dienst wurde mit den angegebenen Verbindungsparametern hergestellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Verlauf der Suchberichte
Im ANY.RUN-Scanverlauf suchen.
Die Aktion funktioniert nicht mit Google SecOps-Entitäten. Es werden nur Aktions-Eingabeparameter verwendet.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der Einreichung | String | – | Nein | Name der Einreichung, nach der gesucht werden soll. |
| In den letzten x Scans suchen | Ganzzahl | 100 | Ja | Suche nach dem Bericht in den letzten x Analysen, die in ANY.RUN ausgeführt wurden. |
| Erste x Scans überspringen | Ganzzahl | 0 | Nein | Die ersten „x“ Scans, die von der ANY.RUN API zurückgegeben werden, überspringen. |
| Teamverlauf abrufen? | Kästchen | Deaktiviert | Nein | Gibt an, ob der Teamverlauf abgerufen werden soll. |
Anwendungsfälle
Sie können in früheren Einreichungen suchen, um zu sehen, was zuvor in der ANY.RUN-Sandbox gescannt wurde.
Ausführen am
Die Aktion funktioniert nicht für Entitäten.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"error":false,
"data":{
"tasks":[
{
"verdict":"No threats detected",
"name":"http://users.tpg.com.au/locthuy/employment/qs/unix/Hardening%20your%20AIX%20Security.pdf",
"related":"https://app.any.run/tasks/ID",
"pcap":"https://content.any.run/tasks/ID/download/pcap",
"file":"https://content.any.run/tasks/ID/download/files/FILE_NAME",
"json":"https://api.any.run/report/ID/summary/json",
"misp":"https://api.any.run/report/ID/summary/misp",
"tags":[
],
"date":"2020-10-12T08:05:57.587Z",
"hashes":{
"ssdeep":"768:iSDksqjqvXbB/6rtilCec397sUiZc9Yky:TDegY539gUiCXy",
"head_hash":"3c90557306fa01f30693541b28db5785",
"sha256":"8ebc1257f9155134bb00315bdd2380990cdc413ba298d0cf473579ccfe03d6e5",
"sha1":"c125ba414416668b84ac737ec6db1b7f94bf32af",
"md5":"5e19377a19ef7657707872377bea14b7"
}
}
]
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg und gefundenen Berichten : „Found ANY.RUN reports for the provided search parameters“ (ANY.RUN-Berichte für die angegebenen Suchparameter gefunden). Wenn keine Berichte gefunden werden : „Es wurden keine ANY.RUN-Berichte gefunden.“ Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the ANY.RUN service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
| Tabelle | Tabellenname:Suchergebnisse Tabellenspalten:
|
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten