Cuco
Versão da integração: 10.0
Configurar a integração do Cuckoo no Google Security Operations
Configurar a integração do Cuckoo com um certificado de CA
Se necessário, verifique sua conexão com um arquivo de certificado de CA.
Antes de começar, verifique se você tem o seguinte:
- O arquivo de certificado de CA
- A versão mais recente da integração do Cuckoo
Para configurar a integração com um certificado da CA, siga estas etapas:
- Analise o arquivo de certificado da CA em uma string Base64.
- Abra a página de parâmetros de configuração da integração.
- Insira a string no campo Arquivo de certificado da CA.
- Para testar se a integração foi configurada corretamente, marque a caixa de seleção Verificar SSL e clique em Testar.
Configurar a integração do Cuckoo no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | http://x.x.x.x:8090 | Sim | Endereço da instância do Cuckoo. |
| Endereço da interface da Web | String | http://x.x.x.x:8000 | Sim | Endereço da instância da interface da Web do Cuckoo. |
| Limite de alerta | Número inteiro | 5.0 | Sim | N/A |
| Arquivo de certificado de CA | String | N/A | Não | N/A |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Use esta caixa de seleção se a conexão do Cuckoo exigir uma verificação SSL. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
| Token da API | Senha | N/A | Não | Token de API da integração. |
Ações
Detonar arquivo
Descrição
Envie um arquivo para análise e receba um relatório, também conhecido como assíncrono.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de arquivos | String | N/A | Sim | O caminho do arquivo a ser enviado. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_score | N/A | N/A |
Resultado do JSON
{
"powershell8693919272434274241.ps1": {
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures":
[{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks":
[{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks":
[{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
}
Detonar URL
Descrição
Envie um URL para análise e receba um relatório, também conhecido como assíncrono.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"info": {
"category": "url",
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ie",
"started": null,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 13:14:26",
"label": "win7x6412",
"manager": "VirtualBox",
"started_on": "2019-01-16 12:48:54",
"name": "win7x6412"
},
"ended": 1547644467.207864,
"added": null,
"id": 889669,
"platform": null,
"version": "2.0.6",
"owner": null,
"score": 4.4,
"options": "procmemdump=yes,route=internet",
"duration": null
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Performs some HTTP requests",
"name": "network_http",
"markcount": 9,
"references": [],
"marks": [{
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://www.microsoft.com/pki/crl/products/WinPCA.crl",
"type": "ioc",
"description": null
}, {
"category": "request",
"ioc": "GET http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl",
"type": "ioc",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Communicates with host for which no DNS query was performed",
"name": "nolookup_communication",
"markcount": 11,
"references": [],
"marks": [{
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}, {
"host": "1.1.1.1",
"type": "generic"
}],
"severity": 3
}]},
"Entity": "http://digi.ba/eng/#pgc-56-0-0"
}
]
Enriquecimento de entidades
A entidade é marcada como suspeita (True) se a pontuação exceder o limite. Caso contrário, "false".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Cuckoo_Score | N/A |
| task_id | N/A |
Acessar relatório
Descrição
Receba um relatório de uma tarefa específica pelo ID, também conhecido como assíncrono.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da tarefa | String | N/A | Sim | O ID da tarefa. Exemplo: 10 |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| score | N/A | N/A |
Resultado do JSON
{
"info": {
"category": "file",
"added": 1547640117.991152,
"monitor": "22c39cbb35f4d916477b47453673bc50bcd0df09",
"package": "ps1",
"started": 1547640190.471362,
"route": "internet",
"custom": null,
"machine": {
"status": "stopped",
"shutdown_on": "2019-01-16 12:28:55",
"started_on": "2019-01-16 12:03:16",
"manager": "VirtualBox",
"label": "win7x6427",
"name": "win7x6427"
},
"ended": 1547641736.394026,
"score": 6.6,
"platform": "windows",
"version": "2.0.6",
"owner": null,
"git": {
"head": "03731c4c136532389e93239ac6c3ad38441f81a7",
"fetch_head": "03731c4c136532389e93239ac6c3ad38441f81a7"
},
"options": "procmemdump=yes,route=internet",
"id": 889621,
"duration": 1545
},
"signatures": [{
"families": [],
"description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
"name": "network_cnc_http",
"markcount": 1,
"references": [],
"marks": [{
"suspicious_features": "Connection to IP address",
"type": "generic",
"suspicious_request": "GET http://1.1.1.1:8080/"
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.live.com, possibly for spamming or data exfiltration",
"name": "smtp_live",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.live.com",
"description": null
}],
"severity": 2
}, {
"families": [],
"description": "Connects to smtp.mail.yahoo.com, possibly for spamming or data exfiltration",
"name": "smtp_yahoo",
"markcount": 1,
"references": [],
"marks": [{
"category": "domain",
"type": "ioc",
"ioc": "smtp.mail.yahoo.com",
"description": null
}],
"severity": 2
}]
}
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.