整合 ANY.RUN 與 Google SecOps
整合版本:7.0
本文說明如何將 ANY.RUN 與 Google Security Operations (Google SecOps) 整合。
產品權限
整合功能會透過 API 金鑰驗證運作。您可以在 ANY.RUN 頁面產生新的 API 金鑰。
整合參數
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 金鑰 | 密碼 | 不適用 | 是 | 用於整合作業的 API 金鑰。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
分析檔案
建立 ANY.RUN 檔案分析工作。
這項操作不會在 Google SecOps 實體上執行。應以動作輸入參數的形式,提供要分析的檔案完整路徑。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 否 | 指定要分析的檔案完整路徑。 |
| 等待報表產生? | 核取方塊 | 已勾選 | 否 | 指定動作是否應等待報表建立完成。掃描完成後,您也可以稍後使用「取得報表」動作取得報表。 |
| 門檻 | 整數 | 0 | 是 | 如果勾選「等待報表」核取方塊,當實體的報表風險值高於指定門檻時,請將實體標示為可疑。 |
| 嘗試建立提交內容 x 次 | 整數 | 30 | 是 | 動作應嘗試多少次,才能檢查是否未超過 API 並行限制,並嘗試建立新的提交內容。系統每 2 秒會檢查一次。 |
| OS 版本 | DDL | 7 可能的值包括:
|
否 | 用於執行分析的作業系統版本。 |
| 作業系統位元 | DDL | 32 可能的值包括:
|
否 | 作業系統位元 |
| 作業系統環境類型 | DDL | 完成 可能的值包括:
|
否 | 要執行分析的環境類型。 |
| 網路連線狀態 | DDL | 開啟
可能的值包括:
|
否 | 用於分析的網路連線狀態。 |
| FakeNet 功能狀態 | DDL | false 可能的值包括:
|
否 | 用於分析的 FakeNet 功能狀態。 |
| 使用 TOR | DDL | false 可能的值包括:
|
否 | 執行分析時是否使用 TOR。 |
| opt_network_mitm | DDL | false 可能的值包括:
|
否 | HTTPS MITM Proxy 選項。 |
| opt_network_geo | DDL | 最快 可能的值包括:
|
否 | 地理位置選項。 |
| opt_network_heavyevasion | DDL | false 可能的值包括:
|
否 | 嚴重規避選項。 |
| opt_privacy_type | DDL | 透過連結 可能的值包括:
|
否 | 分析的隱私權設定。 |
| opt_timeout | 字串 | 60 | 否 | 分析逾時時間範圍為 10 到 600 秒。 |
| obj_ext_startfolder | DDL | temp 可能的值包括:
|
否 | 分析的起始位置。 |
用途
分析警報中已審查的檔案,確認是否為惡意檔案。
執行日期
這項操作不會對實體執行。
動作結果
實體充實
如果負面引擎的數量等於或高於指定門檻,請將實體標示為可疑。if data.get("report", {}).get("risk_score", {}).get("result") > threshold
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| domain_blacklist | 如果 JSON 結果中存在該值,則傳回該值 |
| html_forms | 如果 JSON 結果中存在該值,則傳回該值 |
| server_details | 如果 JSON 結果中存在該值,則傳回該值 |
| response_headers | 如果 JSON 結果中存在該值,則傳回該值 |
| 重新導向 | 如果 JSON 結果中存在該值,則傳回該值 |
| file_type | 如果 JSON 結果中存在該值,則傳回該值 |
| risk_score | 如果 JSON 結果中存在該值,則傳回該值 |
| security_checks | 如果 JSON 結果中存在該值,則傳回該值 |
| geo_location | 如果 JSON 結果中存在該值,則傳回該值 |
| url_parts | 如果 JSON 結果中存在該值,則傳回該值 |
| site_category | 如果 JSON 結果中存在該值,則傳回該值 |
| web_page | 如果 JSON 結果中存在該值,則傳回該值 |
| dns_records | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
選項 1:如果未設定「等待報告」核取方塊,我們會傳回有關已建立分析工作 (要求 1 的回應) 的資訊
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
方法 2. 如果未勾選「wait for report」核取方塊,我們會傳回有關所建立分析工作的資訊 (要求 1 的回應)
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果已成功為提供的檔案建立分析工作: 「Successfully created analysis task for file: {0}」(已成功為檔案建立分析工作)。format(file_path)。 如果無法為提供的檔案建立分析工作: 「Failed to create ANY.RUN analysis task for file: {0}」。format(file_path)。 如果已勾選「等待報表」核取方塊,且 Python 程序逾時即將到期,因此我們已完成動作:print "Action reached timeout waiting for report for file: {0}".format(file_path)。 動作應失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
分析檔案網址
建立 ANY.RUN 檔案分析工作。
這項動作不適用於 Google SecOps 實體,您應以動作輸入參數的形式提供要分析的檔案網址。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案網址 | 字串 | 不適用 | 否 | 指定要下載及分析的檔案網址。 |
| 要隱藏來源網址嗎? | 核取方塊 | 已取消勾選 | 否 | 指定是否要隱藏下載檔案的來源網址。 |
| 等待報表產生? | 核取方塊 | 已勾選 | 否 | 指定動作是否應等待報表建立完成。掃描完成後,您也可以稍後使用「取得報表」動作取得報表。 |
| 門檻 | 整數 | 0 | 是 | 如果勾選「等待報表」核取方塊,當實體的報表風險值高於指定門檻時,請將實體標示為可疑。 |
| 嘗試建立提交內容 x 次 | 整數值 | 30 | 是 | 動作應嘗試多少次,才能檢查是否未超過 API 並行限制,並嘗試建立新的提交內容。系統每 2 秒會檢查一次。 |
| OS 版本 | DDL | 7 | 否 | 用於執行分析的作業系統版本。 |
| 作業系統位元 | DDL | 32 | 否 | 作業系統位元 |
| 作業系統環境類型 | DDL | 完成 | 否 | 要執行分析的環境類型。 |
| 網路連線狀態 | DDL | 開啟 | 否 | 用於分析的網路連線狀態。 |
| FakeNet 功能狀態 | DDL | 否 | 否 | 用於分析的 FakeNet 功能狀態。 |
使用 TOR |
DDL | 否 | 否 | 執行分析時是否使用 TOR。 |
opt_network_mitm |
DDL | 否 | 否 | HTTPS MITM Proxy 選項。 |
| opt_network_geo | DDL | 最快 | 否 | 地理位置選項。 |
| opt_network_heavyevasion | DDL | 否 | 否 | 嚴重規避選項。 |
| opt_privacy_type | DDL | 透過連結 可能的值包括:
|
否 | 分析的隱私權設定。 |
opt_timeout |
字串 | 60 | 否 | 分析逾時時間範圍為 10 到 600 秒。 |
obj_ext_startfolder |
DDL | temp | 否 | 分析的起始位置。 |
用途
分析警報中已審查的檔案,確認是否為惡意檔案。
執行日期
這項操作不適用於實體。
動作結果
實體充實
如果負面引擎的數量等於或高於指定門檻,則將實體標示為可疑。is_suspicious:如果 data.get("score") > threshold
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| should_block | 如果 JSON 結果中存在該值,則傳回該值 |
| 分數 | 如果 JSON 結果中存在該值,則傳回該值 |
| 可拋棄式 | 如果 JSON 結果中存在該值,則傳回該值 |
| has_mx_records | 如果 JSON 結果中存在該值,則傳回該值 |
| has_spf_records | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
選項 1:如果未設定「等待報告」核取方塊,我們會傳回有關已建立分析工作 (要求 1 的回應) 的資訊
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
選項 2:如果未設定「等待報告」核取方塊,我們會傳回所建立分析工作的相關資訊 (要求 1 的回應)
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功為提供的檔案建立分析工作: 「Successfully created analysis task for file: {0}」。format(file_path)。 如果無法為提供的檔案建立分析工作: Failed to create ANY.RUN analysis task for file: {0}".format(file_path). 如果已勾選「等待報表」核取方塊,且 Python 處理程序逾時即將到期,因此我們已完成動作: 「Action reached timeout waiting for report for file: {0}」(動作逾時,正在等待檔案「{0}」的報表)。 動作應失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
分析網址
為提供的網址建立 ANY.RUN 分析工作。
這項動作不支援 Google SecOps 實體。必須提供要分析的網址做為輸入參數。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 用於分析的網址 | 字串 | 不適用 | 否 | 指定要分析的網址。 |
| 等待報表產生? | 核取方塊 | 已勾選 | 否 | 指定動作是否應等待報表建立完成。掃描完成後,您也可以稍後使用「取得報表」動作取得報表。 |
| 嘗試建立提交內容 x 次 | 整數 | 30 | 是 | 動作應嘗試多少次,才能檢查是否未超過 API 並行限制,並嘗試建立新的提交內容。每 2 秒檢查一次 |
| OS 版本 | DDL | 7 | 否 | 用於執行分析的作業系統版本。 |
| 作業系統位元 | DDL | 32 | 否 | 作業系統位元 |
| 作業系統環境類型 | DDL | 完成 | 否 | 要執行分析的環境類型。 |
| 網路連線狀態 | DDL | 開啟 | 否 | 用於分析的網路連線狀態。 |
| FakeNet 功能狀態 | DDL | 否 | 否 | 用於分析的 FakeNet 功能狀態。 |
| 使用 TOR | DDL | 否 | 否 | 執行分析時是否使用 TOR。 |
opt_network_mitm |
DDL |
否 | 否 | HTTPS MITM Proxy 選項。 |
| opt_network_geo | DDL | 最快 | 否 | 地理位置選項。 |
| opt_network_heavyevasion | DDL | 否 | 否 | 嚴重規避選項。 |
| opt_privacy_type | DDL | 透過連結 可能的值包括:
|
否 | 分析的隱私權設定。 |
| opt_timeout | 字串 | 60 | 否 | 分析逾時時間範圍為 10 到 600 秒。 |
| obj_ext_startfolder | DDL | temp | 否 | 分析的起始位置。 |
用途
分析警示中已審查的網址,確認是否為惡意網址。
執行日期
這項動作會對網址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
選項 1:如果未設定「等待報告」核取方塊,我們會傳回有關已建立分析工作 (要求 1 的回應) 的資訊
{
"error": false,
"data": {
"taskid": "TASK_ID"
}
}
選項 2:如果未設定「等待報告」核取方塊,我們會傳回所建立分析工作的相關資訊 (要求 1 的回應)
{
"error": false,
"data": {
"analysis": {
"uuid": "UUID",
"permanentUrl": "https://app.any.run/tasks/UUID",
"reports": {
"IOC": "https://api.any.run/report/UUID/ioc/json",
"MISP": "https://api.any.run/report/UUID/summary/misp",
"HTML": "https://api.any.run/report/UUID/summary/html",
"graph": "https://content.any.run/tasks/UUID/graph"
},
"sandbox": {
"name": "ANY.RUN - Interactive Sandbox",
"plan": {
"name": "Tester"
}
},
"duration": 60,
"creation": 1602483368256,
"creationText": "2020-10-12T06:16:08.256Z",
"tags": [],
"options": {
}
}
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少為一個提供的實體成功建立分析工作: 「Created analysis tasks for the following entities: {0}」。format([entity.Identifier])。 如果無法為所有提供的實體建立分析工作: 「No ANY.RUN analysis tasks were created.」 如果無法為部分實體建立分析工作: 「Failed to create analysis tasks for the following entities: {0}」(無法為下列實體建立分析工作:{0})。format([entity.identifier]) 如果已勾選「等待報表」核取方塊,且 Python 程序逾時即將到期,因此我們已完成動作: 「動作逾時,正在等待下列實體的報表:{0}」。format([entity.identifier]) 動作應失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
取得報告
根據提供的 Google SecOps 檔案、FileHash 或網址實體,取得先前分析的 ANY.RUN 報表。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 整數 | 0 | 是 | 如果實體的分數值高於指定門檻,請將實體標示為可疑。 |
| 在最近 x 次掃描中搜尋 | 整數 | 25 | 是 | 在 ANY.RUN 中執行的最後一次分析中,搜尋提供檔案雜湊的報表。 |
| 建立洞察資料? | 核取方塊 | 已取消勾選 | 否 | 指定是否要根據報表資料建立洞察資料。 |
| 要擷取最新報表嗎? | 核取方塊 | 已勾選 | 否 | 指定要傳回最新分析報告,還是所提供實體的所有報告。 |
用途
在應對手冊的快訊分析中,查詢 ANY.RUN 雜湊。
執行日期
這項動作會對下列實體執行:
- 檔案名稱
- Filehash
- 網址
動作結果
實體充實
如果實體的風險值高於做為動作輸入參數提供的門檻,動作應將此值設為 True。
深入分析
| 洞察邏輯 | 類型 | 標題 | 實體 | 判定結果 | 威脅等級 | 分數 |
|---|---|---|---|---|---|---|
| 如果勾選了對應的核取方塊,請建立。 | 實體 | 任何/執行報表 | 建立洞察資料的實體 ID | API 回應中的值 | API 回應中的值 | API 回應中的值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"error":false,
"data":{
"analysis":{
"uuid":"UUID",
"permanentUrl":"https://app.any.run/tasks/UUID",
"reports":{
"IOC":"https://api.any.run/report/UUID/ioc/json",
"MISP":"https://api.any.run/report/UUID/summary/misp",
"HTML":"https://api.any.run/report/UUID/summary/html",
"graph":"https://content.any.run/tasks/UUID/graph"
},
"sandbox":{
"name":"ANY.RUN - Interactive Sandbox",
"plan":{
"name":"Tester"
}
},
"duration":60,
"creation":1602483368256,
"creationText":"2020-10-12T06:16:08.256Z",
"tags":[
],
"options":{
"timeout":60,
"additionalTime":0,
"fakeNet":false,
"heavyEvasion":false,
"mitm":false,
"tor":{
"used":false,
"geo":"fastest"
},
"presentation":false,
"video":true,
"hideSource":false,
"network":true,
"privacy":"bylink",
"privateSample":false,
"automatization":{
"uac":false
}
},
"scores":{
"verdict":{
"score":100,
"threatLevel":2,
"threatLevelText":"Malicious activity"
},
"specs":{
"injects":false,
"autostart":false,
"cpuOverrun":false,
"crashedApps":false,
"crashedTask":false,
"debugOutput":false,
"executableDropped":false,
"exploitable":false,
"lowAccess":false,
"memOverrun":false,
"multiprocessing":true,
}
}
}
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且至少有一個實體取得報表: 「Found ANY.RUN reports for the following entities: {0}」(找到下列實體的 ANY.RUN 報表:{0})。format([entity.Identifier])。 如果找不到所有實體的報表: 「找不到 ANY.RUN 報表」。 如果找不到部分實體的報表: 「Failed to find ANY.RUN reports for the following entities: {0}」(找不到下列實體的 ANY.RUN 報表:{0})。format([entity.identifier]) 動作應失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 名稱:最新 ANY.RUN 報告 欄:參數、值:
|
一般 |
乒乓
測試與 ANY.RUN 的連線。
參數
不適用
執行日期
系統不會對實體執行這項操作。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the ANY.RUN service with the provided connection parameters!」(已使用提供的連線參數成功連線至 ANY.RUN 服務!) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷:「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
搜尋報表記錄
搜尋 ANY.RUN 掃描記錄。
這項動作不適用於 Google SecOps 實體,只會使用動作輸入參數。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 提交內容的名稱 | 字串 | 不適用 | 否 | 要搜尋的特定提交內容名稱。 |
| 在最近 x 次掃描中搜尋 | 整數 | 100 | 是 | 在 ANY.RUN 執行的最後 x 次分析中搜尋報表。 |
| 略過前 x 次掃描 | 整數 | 0 | 否 | 略過 ANY.RUN API 傳回的前 x 次掃描。 |
| 要查看團隊記錄嗎? | 核取方塊 | 已取消勾選 | 否 | 指定是否要取得團隊記錄。 |
用途
搜尋過往提交內容,查看先前在 ANY.RUN 沙箱中掃描的內容。
執行日期
這項操作不適用於實體。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"error":false,
"data":{
"tasks":[
{
"verdict":"No threats detected",
"name":"http://users.tpg.com.au/locthuy/employment/qs/unix/Hardening%20your%20AIX%20Security.pdf",
"related":"https://app.any.run/tasks/ID",
"pcap":"https://content.any.run/tasks/ID/download/pcap",
"file":"https://content.any.run/tasks/ID/download/files/FILE_NAME",
"json":"https://api.any.run/report/ID/summary/json",
"misp":"https://api.any.run/report/ID/summary/misp",
"tags":[
],
"date":"2020-10-12T08:05:57.587Z",
"hashes":{
"ssdeep":"768:iSDksqjqvXbB/6rtilCec397sUiZc9Yky:TDegY539gUiCXy",
"head_hash":"3c90557306fa01f30693541b28db5785",
"sha256":"8ebc1257f9155134bb00315bdd2380990cdc413ba298d0cf473579ccfe03d6e5",
"sha1":"c125ba414416668b84ac737ec6db1b7f94bf32af",
"md5":"5e19377a19ef7657707872377bea14b7"
}
}
]
}
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功並找到報表: 「Found ANY.RUN reports for the provided search parameters」(已找到符合所提供搜尋參數的 ANY.RUN 報表)。 如果找不到報表: 「No ANY.RUN reports were found.」 動作應失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the ANY.RUN service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 表格名稱:搜尋結果 資料表資料欄:
|
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。