Cisco Threat Grid
Versão de integração: 13.0
Configure a integração do Cisco Threat Grid no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Get Hash Associated Domains
Descrição
Obtenha domínios associados a um determinado hash.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Get Hash Associated IPs
Descrição
Obtenha IPs associados a um determinado hash.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Receba envios
Descrição
Aceda aos envios por entidade.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Limite | String | 50 | Marcar como suspeito se a pontuação de ameaça máxima exceder o limite. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Filehash
- Nome do anfitrião
- Processo
- URL
- Nome do ficheiro
Resultados da ação
Enriquecimento de entidades
A entidade é marcada como suspeita se a pontuação máxima exceder um limite. Caso contrário: false.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome | Devolve se existir no resultado JSON |
| Enviado | Devolve se existir no resultado JSON |
| Pontuação | Devolve se existir no resultado JSON |
| Indicadores | Devolve se existir no resultado JSON |
| SHA256 | Devolve se existir no resultado JSON |
| MD5 | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
N/A
Carregue uma amostra
Descrição
Carregue e analise um sample.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Parâmetro | Tipo | Valor predefinido | Descrição |
| Caminho do ficheiro | String | N/A | O caminho do ficheiro de exemplo. |
| Vm | String | N/A | A VM na qual executar a análise. Exemplo: win7-x64 |
| Guia interativo | String | N/A | Nome de um manual de procedimentos a aplicar a esta execução de amostra. Exemplo: predefinição |
| Saída de rede | String | N/A | Qualquer tráfego de rede de saída gerado durante a análise para aparecer como saindo da localização de saída da rede. |
| Privado | Caixa de verificação | Marcado | Se estiver selecionada, a amostra é marcada como privada. |
| Endereço do servidor Linux | String | N/A | Especifique o endereço IP do servidor Linux remoto onde o ficheiro está localizado. |
| Nome de utilizador do Linux | String | N/A | Especifique o nome de utilizador do servidor Linux remoto onde o ficheiro se encontra. |
| Palavra-passe do Linux | Palavra-passe | N/A | Especifique a palavra-passe do servidor Linux remoto onde o ficheiro está localizado. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| pontuação | N/A | N/A |
Resultado JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se um dos parâmetros "Linux Server Address", "Linux Username" ou "Linux Password" não for fornecido: erro ao executar a ação "{action_name}". Motivo: para a ligação ao servidor remoto, tem de fornecer valores para todos os parâmetros "Endereço do servidor Linux", "Nome de utilizador do Linux" e "Palavra-passe do Linux". | Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.