Cisco Threat Grid

통합 버전: 13.0

Google Security Operations에서 Cisco Threat Grid 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

해시 연결 도메인 가져오기

설명

지정된 해시와 연결된 도메인을 가져옵니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 Filehash 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
cisco_threat_grid.get_associated_network JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
[
    {
        "EntityResult": ["migsel.com"],
        "Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

해시 연결 IP 가져오기

설명

지정된 해시와 연결된 IP를 가져옵니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 Filehash 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
cisco_threat_grid.get_associated_network JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
[
    {
        "EntityResult": ["95.128.128.129",
                         "192.168.1.255",
                         "192.168.1.1"],
        "Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

제출 가져오기

설명

엔티티별 제출을 가져옵니다.

매개변수

파라미터 이름 유형 기본값 설명
기준 문자열 50 최대 위협 점수가 기준점을 통과하면 의심스러운 것으로 표시합니다.

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • Filehash
  • 호스트 이름
  • 처리
  • URL
  • 파일 이름

작업 결과

항목 보강

최고 점수가 기준을 초과하면 항목이 의심스러운 것으로 표시됩니다. 그렇지 않으면 false입니다.

보강 필드 이름 로직 - 적용 시기
이름 JSON 결과에 존재하는 경우에 반환
제출됨 JSON 결과에 존재하는 경우에 반환
점수 JSON 결과에 존재하는 경우에 반환
지표 JSON 결과에 존재하는 경우에 반환
SHA256 JSON 결과에 존재하는 경우에 반환
MD5 JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
[
    {
        "EntityResult": [
            {
            "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
             "Submitted": "2018-06-13T09:16:12Z",
             "Score": 95,
             "Indicators": 20,
             "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
             "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:15:51Z",
                "Score": 95,
                "Indicators": 21,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:14:38Z",
                "Score": 95,
                "Indicators": 20,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:13:12Z",
                "Score": 95,
                "Indicators": 19,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:12:27Z",
                "Score": 95,
                "Indicators": 19,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }
        ],
        "Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True/False success:False
JSON 결과
N/A

샘플 업로드

설명

샘플을 업로드하고 분석합니다.

매개변수

파라미터 이름 유형 기본값 설명
매개변수 유형 기본값 설명
파일 경로 문자열 해당 사항 없음 샘플 파일 경로입니다.
Vm 문자열 해당 사항 없음 분석을 실행할 VM입니다. 예: win7-x64
플레이북 문자열 해당 사항 없음 이 샘플 실행에 적용할 플레이북의 이름입니다. 예: default
네트워크 종료 문자열 해당 사항 없음 분석 중에 생성되어 네트워크 종료 위치에서 종료되는 것으로 보이는 발신 네트워크 트래픽
비공개 체크박스 선택됨 이 옵션을 선택하면 샘플이 비공개로 표시됩니다.
Linux 서버 주소 문자열 해당 사항 없음 파일이 있는 원격 Linux 서버의 IP 주소를 지정합니다.
Linux 사용자 이름 문자열 해당 사항 없음 파일이 있는 원격 Linux 서버의 사용자 이름을 지정합니다.
Linux 비밀번호 비밀번호 해당 사항 없음 파일이 있는 원격 Linux 서버의 비밀번호를 지정합니다.

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션
점수 해당 사항 없음 해당 사항 없음
JSON 결과
{
    "count": 0,
    "max-confidence": 0,
    "sample": "99ca73a47996cc3069e39a672728a49c",
    "score": 0,
    "bis": [],
    "max-severity": 0
}
케이스 월
결과 유형 값 / 설명 유형
출력 메시지* 'Linux 서버 주소', 'Linux 사용자 이름', 'Linux 비밀번호' 매개변수 중 하나가 제공되지 않은 경우: '{action_name}' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 원격 서버 연결의 경우 'Linux 서버 주소', 'Linux 사용자 이름', 'Linux 비밀번호'의 모든 매개변수 값을 제공해야 합니다. 일반

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.