Cisco Threat Grid
Versión de integración: 13.0
Configurar la integración de Cisco Threat Grid en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Get Hash Associated Domains
Descripción
Obtiene los dominios asociados a un hash determinado.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Get Hash Associated IPs
Descripción
Obtiene las IPs asociadas a un hash determinado.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Get Submissions
Descripción
Obtener envíos por entidad.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | Cadena | 50 | Marcar como sospechoso si la puntuación máxima de amenaza supera el umbral. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Filehash
- Nombre de host
- Proceso
- URL
- Nombre del archivo
Resultados de la acción
Enriquecimiento de entidades
Una entidad se marca como sospechosa si la puntuación máxima supera un umbral. En caso contrario: false.
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Nombre | Devuelve si existe en el resultado JSON. |
| Enviado | Devuelve si existe en el resultado JSON. |
| Puntuación | Devuelve si existe en el resultado JSON. |
| Indicadores | Devuelve si existe en el resultado JSON. |
| SHA256 | Devuelve si existe en el resultado JSON. |
| MD5 | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Subir muestra
Descripción
Sube y analiza una muestra.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Parámetro | Tipo | Valor predeterminado | Descripción |
| Ruta del archivo | Cadena | N/A | Ruta del archivo de muestra. |
| Vm | Cadena | N/A | La máquina virtual en la que se va a ejecutar el análisis. Ejemplo: win7-x64 |
| Guía | Cadena | N/A | Nombre de un playbook que se aplicará a esta ejecución de muestra. Ejemplo: default |
| Salida de red | Cadena | N/A | Todo el tráfico de red saliente que se genere durante el análisis para que parezca que sale de la ubicación de salida de la red. |
| Privado | Casilla | Marcada | Si se marca, la muestra se marcará como privada. |
| Dirección del servidor Linux | Cadena | N/A | Especifica la dirección IP del servidor Linux remoto en el que se encuentra el archivo. |
| Nombre de usuario de Linux | Cadena | N/A | Especifica el nombre de usuario del servidor Linux remoto en el que se encuentra el archivo. |
| Contraseña de Linux | Contraseña | N/A | Especifica la contraseña del servidor Linux remoto en el que se encuentra el archivo. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| puntuación | N/A | N/A |
Resultado de JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si no se proporciona uno de los parámetros "Dirección del servidor Linux", "Nombre de usuario de Linux" o "Contraseña de Linux": Error al ejecutar la acción "{action_name}". Motivo: para conectarte al servidor remoto, debes proporcionar valores para todos los parámetros: "Dirección del servidor Linux", "Nombre de usuario de Linux" y "Contraseña de Linux". | General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.