Cucú
Versión de integración: 10.0
Configura la integración de Cuckoo en Google Security Operations
Configura la integración de Cuckoo con un certificado de CA
Si es necesario, puedes verificar tu conexión con un archivo de certificado de CA.
Antes de comenzar, asegúrate de tener lo siguiente:
- El archivo del certificado de la CA
- La versión más reciente de la integración de Cuckoo
Para configurar la integración con un certificado de CA, completa los siguientes pasos:
- Analiza tu archivo de certificado de CA en una cadena Base64.
- Abre la página de parámetros de configuración de la integración.
- Inserta la cadena en el campo Archivo de certificado de CA.
- Para probar que la integración se configuró correctamente, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.
Configura la integración de Cuckoo en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | http://x.x.x.x:8090 | Sí | Es la dirección de la instancia de Cuckoo. |
| Dirección de la interfaz web | String | http://x.x.x.x:8000 | Sí | Es la dirección de la instancia de la IU web de Cuckoo. |
| Umbral de advertencia | Número entero | 5.0 | Sí | N/A |
| Archivo del certificado de CA | String | N/A | No | N/A |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Usa esta casilla de verificación si tu conexión de Cuckoo requiere una verificación de SSL. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
| Token de API | Contraseña | N/A | No | Es el token de API de la integración. |
Acciones
Detonate File
Descripción
Envía un archivo para su análisis y obtén un informe, también conocido como asíncrono.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de acceso de los archivos | String | N/A | Sí | Es la ruta del archivo que se enviará. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| max_score | N/A | N/A |
Resultado de JSON
{
"powershell8693919272434274241.ps1": {
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures":
[{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks":
[{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
}
Detonar URL
Descripción
Envía una URL para su análisis y obtén un informe, también conocido como asíncrono.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": {
"info": {
"category": "url",
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ie",
"started": null,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 13:14:26",
"label": "win7x6412",
"manager": "VirtualBox",
"started_on": "2019-01-16 12:48:54",
"name": "win7x6412"
},
"ended": 1547644467.207864,
"added": null,
"id": 889669,
"platform": null,
"version": "2.0.6",
"owner": null,
"score": 4.4,
"options": "procmemdump=yes,route=internet",
"duration": null
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Performs some HTTP requests",
"name": "network_http",
"markcount": 9,
"references": [],
"marks": [{
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://www.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl",
"type": "ioc",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Communicates with host for which no DNS query was performed",
"name": "nolookup_communication",
"markcount": 11,
"references": [],
"marks": [{
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}],
"severity": 3
}]},
"Entity": "http://digi.ba/eng/#pgc-56-0-0"
}
]
Enriquecimiento de entidades
La entidad se marca como sospechosa (verdadero) si la puntuación supera el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Cuckoo_Score | N/A |
| task_id | N/A |
Obtener informes
Descripción
Obtén un informe de una tarea específica por el ID, también conocido como asíncrono.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la tarea | String | N/A | Sí | Es el ID de la tarea. Ejemplo: 10 |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| puntuación | N/A | N/A |
Resultado de JSON
{
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.