Kuckuck
Integrationsversion: 10.0
Cuckoo-Integration in Google Security Operations konfigurieren
Cuckoo-Integration mit einem CA-Zertifikat konfigurieren
Bei Bedarf können Sie Ihre Verbindung mit einer CA-Zertifikatsdatei bestätigen.
Bevor Sie beginnen, benötigen Sie Folgendes:
- Die CA-Zertifikatsdatei
- Die aktuelle Version der Cuckoo-Integration
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
- Parsen Sie Ihre CA-Zertifikatsdatei in eine Base64-Zeichenfolge.
- Öffnen Sie die Seite mit den Konfigurationsparametern für die Integration.
- Fügen Sie den String in das Feld CA Certificate File (Datei mit CA-Zertifikat) ein.
- Wenn Sie prüfen möchten, ob die Integration erfolgreich konfiguriert wurde, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.
Cuckoo-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | http://x.x.x.x:8090 | Ja | Adresse der Cuckoo-Instanz. |
| Webschnittstellenadresse | String | http://x.x.x.x:8000 | Ja | Adresse der Cuckoo Web-UI-Instanz. |
| Grenzwert für „Warnung“ | Ganzzahl | 5,0 | Ja | – |
| CA-Zertifikatsdatei | String | – | Nein | – |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Cuckoo-Verbindung eine SSL-Überprüfung erforderlich ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
| API-Token | Passwort | – | Nein | API-Token der Integration. |
Aktionen
Datei zur Analyse senden
Beschreibung
Sie können eine Datei zur Analyse einreichen und einen Bericht erhalten. Dies wird auch als asynchron bezeichnet.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfade | String | – | Ja | Der Pfad der einzureichenden Datei. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| max_score | – | – |
JSON-Ergebnis
{
"powershell8693919272434274241.ps1": {
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures":
[{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks":
[{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
}
URL öffnen
Beschreibung
Senden Sie eine URL zur Analyse und erhalten Sie einen Bericht (auch als asynchron bezeichnet).
Parameter
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"info": {
"category": "url",
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ie",
"started": null,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 13:14:26",
"label": "win7x6412",
"manager": "VirtualBox",
"started_on": "2019-01-16 12:48:54",
"name": "win7x6412"
},
"ended": 1547644467.207864,
"added": null,
"id": 889669,
"platform": null,
"version": "2.0.6",
"owner": null,
"score": 4.4,
"options": "procmemdump=yes,route=internet",
"duration": null
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Performs some HTTP requests",
"name": "network_http",
"markcount": 9,
"references": [],
"marks": [{
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://www.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl",
"type": "ioc",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Communicates with host for which no DNS query was performed",
"name": "nolookup_communication",
"markcount": 11,
"references": [],
"marks": [{
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}],
"severity": 3
}]},
"Entity": "http://digi.ba/eng/#pgc-56-0-0"
}
]
Entitätsanreicherung
Die Entität wird als verdächtig (True) markiert, wenn der Wert den Grenzwert überschreitet. Andernfalls: „false“.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Cuckoo_Score | – |
| task_id | – |
Bericht abrufen
Beschreibung
Bericht zu einer bestimmten Aufgabe anhand der ID abrufen (auch als „asynchron“ bezeichnet).
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aufgaben-ID | String | – | Ja | Die ID der Aufgabe. Beispiel: 10 |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Punktzahl | – | – |
JSON-Ergebnis
{
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
Ping
Beschreibung
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten