Cisco Threat Grid
本文档介绍了如何将 Cisco Secure Malware Analytics 与 Google Security Operations 集成。
在 Google Security Operations 中配置 Cisco Threat Grid 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
获取与哈希关联的网域
说明
获取与指定哈希关联的网域。
参数
不适用
使用场景
不适用
Run On
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cisco_threat_grid.get_associated_network | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
获取与哈希关联的 IP
说明
获取与指定哈希关联的 IP。
参数
不适用
使用场景
不适用
Run On
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cisco_threat_grid.get_associated_network | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
获取提交内容
说明
按实体获取提交内容。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 50 | 如果最大威胁得分超过阈值,则标记为可疑。 |
使用场景
不适用
Run On
此操作适用于以下实体:
- IP 地址
- Filehash
- 主机名
- 流程
- 网址
- 文件名
操作执行结果
实体扩充
如果实体最高得分超过阈值,则标记为可疑实体。否则:false。
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 名称 | 如果存在于 JSON 结果中,则返回 |
| 已提交 | 如果存在于 JSON 结果中,则返回 |
| 得分 | 如果存在于 JSON 结果中,则返回 |
| 指标 | 如果存在于 JSON 结果中,则返回 |
| SHA256 | 如果存在于 JSON 结果中,则返回 |
| MD5 | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
Run On
此操作会针对所有实体运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
上传示例
说明
上传并分析样本。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 参数 | 类型 | 默认值 | 说明 |
| 文件路径 | 字符串 | 不适用 | 示例文件路径。 |
| 虚拟机 | 字符串 | 不适用 | 要运行分析的虚拟机。示例:win7-x64 |
| Playbook | 字符串 | 不适用 | 要应用于相应样本运行的 playbook 的名称。示例:默认 |
| 网络出口 | 字符串 | 不适用 | 在分析期间生成的任何传出网络流量都显示为从网络出口位置传出。 |
| 不公开 | 复选框 | 勾选 | 如果选中此复选框,相应样本将被标记为不公开。 |
| Linux 服务器地址 | 字符串 | 不适用 | 指定远程 Linux 服务器(文件位于该服务器上)的 IP 地址。 |
| Linux 用户名 | 字符串 | 不适用 | 指定远程 Linux 服务器(文件所在位置)的用户名。 |
| Linux 密码 | 密码 | 不适用 | 指定远程 Linux 服务器(文件所在位置)的密码。 |
使用场景
不适用
Run On
此操作会针对所有实体运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 得分 | 不适用 | 不适用 |
JSON 结果
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果未提供“Linux 服务器地址”“Linux 用户名”“Linux 密码”参数之一: 执行操作“{action_name}”时出错。原因:对于远程服务器连接,您需要为所有参数(“Linux 服务器地址”“Linux 用户名”“Linux 密码”)提供值。 | 常规 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。