Cisco Threat Grid
Versione integrazione: 13.0
Configura l'integrazione di Cisco Threat Grid in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Get Hash Associated Domains
Descrizione
Recupera i domini associati a un determinato hash.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| cisco_threat_grid.get_associated_network | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Get Hash Associated IPs
Descrizione
Recupera gli indirizzi IP associati a un determinato hash.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| cisco_threat_grid.get_associated_network | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ricevere i contenuti inviati
Descrizione
Recuperare le richieste per entità.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | Stringa | 50 | Contrassegna come sospetto se il punteggio di minaccia massimo supera la soglia. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Filehash
- Nome host
- Processo
- URL
- Nome del file
Risultati dell'azione
Arricchimento delle entità
L'entità viene contrassegnata come sospetta se il punteggio massimo supera una soglia. Altrimenti: false.
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Nome | Restituisce se esiste nel risultato JSON |
| Inviata | Restituisce se esiste nel risultato JSON |
| Punteggio | Restituisce se esiste nel risultato JSON |
| Indicatori | Restituisce se esiste nel risultato JSON |
| SHA256 | Restituisce se esiste nel risultato JSON |
| MD5 | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Carica campione
Descrizione
Carica e analizza un campione.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Parametro | Tipo | Valore predefinito | Descrizione |
| Percorso file | Stringa | N/D | Il percorso del file di esempio. |
| Vm | Stringa | N/D | La VM su cui eseguire l'analisi. Esempio: win7-x64 |
| Playbook | Stringa | N/D | Nome di una guida pratica da applicare a questa esecuzione di esempio. Esempio: default |
| Uscita dalla rete | Stringa | N/D | Qualsiasi traffico di rete in uscita generato durante l'analisi deve sembrare provenire dalla posizione di uscita dalla rete. |
| Privato | Casella di controllo | Selezionata | Se questa opzione è selezionata, il campione verrà contrassegnato come privato. |
| Indirizzo del server Linux | Stringa | N/D | Specifica l'indirizzo IP del server Linux remoto in cui si trova il file. |
| Nome utente Linux | Stringa | N/D | Specifica il nome utente del server Linux remoto in cui si trova il file. |
| Password Linux | Password | N/D | Specifica la password del server Linux remoto in cui si trova il file. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| punteggio | N/D | N/D |
Risultato JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se uno dei parametri "Indirizzo server Linux", "Nome utente Linux" o "Password Linux" non viene fornito: Errore durante l'esecuzione dell'azione "{action_name}". Motivo: per la connessione al server remoto devi fornire valori per tutti i parametri "Indirizzo server Linux", "Nome utente Linux" e "Password Linux". | Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.