Cisco Threat Grid
Versão da integração: 13.0
Configurar a integração do Cisco Threat Grid no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Receber domínios associados a hash
Descrição
Receba domínios associados a um determinado hash.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Receber IPs associados a hash
Descrição
Recebe IPs associados a um determinado hash.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cisco_threat_grid.get_associated_network | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Receber envios
Descrição
Recebe envios por entidade.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite | String | 50 | Marcar como suspeito se a pontuação máxima de ameaça exceder o limite. |
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Filehash
- Nome do host
- Processo
- URL
- Nome do arquivo
Resultados da ação
Enriquecimento de entidades
A entidade é marcada como suspeita se a pontuação máxima exceder um limite. Caso contrário: false.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome | Retorna se ele existe no resultado JSON |
| Enviado | Retorna se ele existe no resultado JSON |
| Pontuação | Retorna se ele existe no resultado JSON |
| Indicadores | Retorna se ele existe no resultado JSON |
| SHA256 | Retorna se ele existe no resultado JSON |
| MD5 | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
N/A
Amostra de upload
Descrição
Faça upload e analise uma amostra.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Parâmetro | Tipo | Valor padrão | Descrição |
| Caminho do arquivo | String | N/A | O caminho do arquivo de amostra. |
| Vm | String | N/A | A VM em que a análise será executada. Exemplo: win7-x64 |
| Manual | String | N/A | Nome de um playbook a ser aplicado a esta execução de amostra. Exemplo: padrão |
| Saída de rede | String | N/A | Todo o tráfego de rede de saída gerado durante a análise parece sair do local de saída da rede. |
| Particular | Caixa de seleção | Selecionado | Se marcada, a amostra será marcada como particular. |
| Endereço do servidor Linux | String | N/A | Especifique o endereço IP do servidor Linux remoto em que o arquivo está localizado. |
| Nome de usuário do Linux | String | N/A | Especifique o nome de usuário do servidor Linux remoto em que o arquivo está localizado. |
| Senha do Linux | Senha | N/A | Especifique a senha do servidor Linux remoto em que o arquivo está localizado. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| score | N/A | N/A |
Resultado do JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se um dos parâmetros "Endereço do servidor Linux", "Nome de usuário do Linux" ou "Senha do Linux" não for fornecido: Erro ao executar a ação "{action_name}". Motivo: para conexão com servidor remoto, é necessário fornecer valores para todos os parâmetros "Endereço do servidor Linux", "Nome de usuário do Linux" e "Senha do Linux". | Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.