Cisco Threat Grid
In diesem Dokument wird beschrieben, wie Sie Cisco Secure Malware Analytics in Google Security Operations einbinden.
Cisco Threat Grid-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Hash-zugehörige Domains abrufen
Beschreibung
Rufen Sie Domains ab, die mit einem bestimmten Hash verknüpft sind.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cisco_threat_grid.get_associated_network | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Mit Hash verknüpfte IP-Adressen abrufen
Beschreibung
Ruft die mit einem bestimmten Hash verknüpften IPs ab.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cisco_threat_grid.get_associated_network | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Aufgaben abrufen
Beschreibung
Einsendungen nach Entität abrufen
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | 50 | Als verdächtig markieren, wenn der maximale Bedrohungs-Score den Grenzwert überschreitet. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Filehash
- Hostname
- Prozess
- URL
- Dateiname
Aktionsergebnisse
Entitätsanreicherung
Eine Entität wird als verdächtig markiert, wenn die maximale Punktzahl einen Schwellenwert überschreitet. Andernfalls: false.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Gesendet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Punktzahl | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Indikatoren | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SHA256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| MD5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Beispiel hochladen
Beschreibung
Beispiel hochladen und analysieren
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Parameter | Typ | Standardwert | Beschreibung |
| Dateipfad | String | – | Der Pfad zur Beispieldatei. |
| Vm | String | – | Die VM, auf der die Analyse ausgeführt werden soll. Beispiel: win7-x64 |
| Playbook | String | – | Name eines Playbooks, das auf diesen Beispiel-Lauf angewendet werden soll. Beispiel: default |
| Netzwerk-Exit | String | – | Jeder ausgehende Netzwerk-Traffic, der während der Analyse generiert wird, muss so aussehen, als ob er vom Network Exit Location stammt. |
| Privat | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird die Probe als „Privat“ markiert. |
| Linux-Serveradresse | String | – | Geben Sie die IP-Adresse des Remote-Linux-Servers an, auf dem sich die Datei befindet. |
| Linux-Nutzername | String | – | Geben Sie den Nutzernamen des Remote-Linux-Servers an, auf dem sich die Datei befindet. |
| Linux-Passwort | Passwort | – | Geben Sie das Passwort des Remote-Linux-Servers an, auf dem sich die Datei befindet. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Punktzahl | – | – |
JSON-Ergebnis
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Wenn einer der Parameter „Linux-Serveradresse“, „Linux-Nutzername“ oder „Linux-Passwort“ nicht angegeben wird: Fehler beim Ausführen der Aktion „{action_name}“. Grund: Für die Verbindung zum Remoteserver müssen Sie Werte für alle Parameter „Linux-Serveradresse“, „Linux-Nutzername“ und „Linux-Passwort“ angeben. | Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten