Cisco Threat Grid
Versión de integración: 13.0
Configura la integración de Cisco Threat Grid en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Obtén los dominios asociados al hash
Descripción
Obtiene los dominios asociados con un hash determinado.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicarla |
|---|---|
| cisco_threat_grid.get_associated_network | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Obtén las IPs asociadas al hash
Descripción
Obtiene las IPs asociadas con un hash determinado.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicarla |
|---|---|
| cisco_threat_grid.get_associated_network | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Obtener envíos
Descripción
Obtiene envíos por entidad.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | String | 50 | Se marca como sospechoso si la puntuación de amenaza máxima supera el umbral. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Filehash
- Nombre de host
- Proceso
- URL
- Nombre del archivo
Resultados de la acción
Enriquecimiento de entidades
La entidad se marca como sospechosa si la puntuación máxima supera un umbral. De lo contrario, es false.
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicarla |
|---|---|
| Nombre | Devuelve si existe en el resultado JSON. |
| Enviado | Devuelve si existe en el resultado JSON. |
| Puntuación | Devuelve si existe en el resultado JSON. |
| Indicadores | Devuelve si existe en el resultado JSON. |
| SHA256 | Devuelve si existe en el resultado JSON. |
| MD5 | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Subir muestra
Descripción
Sube y analiza una muestra.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Parámetro | Tipo | Valor predeterminado | Descripción |
| Ruta de acceso al archivo | String | N/A | Es la ruta de acceso del archivo de muestra. |
| Vm | String | N/A | Es la VM en la que se ejecutará el análisis. Ejemplo: win7-x64 |
| Guía | String | N/A | Nombre de una guía para aplicar a esta ejecución de muestra. Ejemplo: default |
| Salida de red | String | N/A | Todo el tráfico de red saliente que se genere durante el análisis parecerá salir de la ubicación de salida de la red. |
| Privado | Casilla de verificación | Marcado | Si se marca esta opción, la muestra se marcará como privada. |
| Dirección del servidor Linux | String | N/A | Especifica la dirección IP del servidor Linux remoto en el que se encuentra el archivo. |
| Nombre de usuario de Linux | String | N/A | Especifica el nombre de usuario del servidor Linux remoto en el que se encuentra el archivo. |
| Contraseña de Linux | Contraseña | N/A | Especifica la contraseña del servidor Linux remoto en el que se encuentra el archivo. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| puntuación | N/A | N/A |
Resultado de JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si no se proporciona uno de los parámetros "Dirección del servidor Linux", "Nombre de usuario de Linux" o "Contraseña de Linux": Error al ejecutar la acción "{action_name}". Motivo: Para la conexión del servidor remoto, debes proporcionar valores para todos los parámetros "Dirección del servidor Linux", "Nombre de usuario de Linux" y "Contraseña de Linux". | General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.