Cylance
In diesem Dokument wird beschrieben, wie Sie Cylance in Google Security Operations einbinden.
Cylance-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Zur globalen Liste hinzufügen
Beschreibung
Fügen Sie einen Hash zu einer der beiden globalen Listen hinzu: GlobalSafe oder GlobalQuarantine.
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Listentyp | String | – | Die Liste, der der Hash hinzugefügt werden soll. Beispiel: GlobalSafe |
| Kategorie | String | – | Die Kategorie des Hashs. |
| Grund | String | – | Der Grund für das Hinzufügen des Hashs zur Liste. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Richtlinie ändern
Beschreibung
Die Richtlinie eines Endpunkts in eine vorhandene Richtlinie ändern
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Richtlinienname | String | – | Der Name der neuen Richtlinie. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Zone ändern
Beschreibung
Ändern Sie die Zone für einen Endpunkt (eine Gruppe von Endpunkten).
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Hinzuzufügende Zonen | String | – | Die neue Zone, die hinzugefügt werden soll. Kommagetrennt. |
| Zu entfernende Zonen | String | – | Der zu entfernende Bereich. Kommagetrennt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Aus globaler Liste löschen
Beschreibung
Entfernen Sie einen Hash für die angegebene globale Liste („GlobalSafe“ oder „GlobalQuarantine“).
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Parameter | Typ | Standardwert | Beschreibung |
| Listentyp | String | – | Die Liste, aus der der Hash gelöscht werden soll. Beispiel: GlobalSafe |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitäten anreichern
Beschreibung
Hostname und IP-Adressen mit zusätzlichen Cylance-Daten anreichern.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| update_available | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| date_last_modified | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| distinguished_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Richtlinie | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| date_offline | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ip_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| mac_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| last_logged_in_user | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| agent_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| os_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| state | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| update_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| date_first_registered | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| host_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| is_safe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| background_detection | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Globale Liste abrufen
Beschreibung
Rufen Sie eine Liste aller Hashes in der angegebenen globalen Liste (GlobalSafe oder GlobalQuarantine) ab.
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Listentyp | String | – | Name der globalen Liste. Beispiel: GlobalSafe |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Bedrohung abrufen
Beschreibung
Einen Hash mit Daten von Cylance anreichern
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Grenzwert | String | 0 | Markieren Sie die Entität als verdächtig, wenn der Cylance-Bedrohungs-Score den angegebenen Schwellenwert überschreitet. Beispiel: 3 |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (True) markiert, wenn sie den Schwellenwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cylance_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Klassifizierung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| last_found | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| av_industry | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| unique_to_cylance | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| global_quarantined | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| file_size | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| auf der Zulassungsliste | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sub_classification | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Bedrohungsgeräte abrufen
Beschreibung
Rufen Sie Bedrohungen ab, die einem bestimmten Hostnamen oder einer bestimmten IP-Adresse zugeordnet sind.
Parameter
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ip_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| mac_addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| state | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| date_found | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| file_status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| agent_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| file_path | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Downloadlink für Bedrohung abrufen
Beschreibung
Laden Sie den Downloadlink einer Bedrohungsdatei herunter, um sie weiter zu verwenden und von Cylance zu Google SecOps zu sandboxing.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| SHA256-Hash der Bedrohung | String |
– | Nein |
SHA256-Hashes von Bedrohungen in einer durch Kommas getrennten Liste. Hinweis: Wenn der Parameterwert leer gelassen wird, werden Dateihash-Entitäten als Eingabe für die Aktion verwendet. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Clyance_dl | Wenn in JSON verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Bei Erfolg: „Successfully fetched download link for following hashes: {file_hash_list}“ (Downloadlink für die folgenden Hashes wurde abgerufen: {file_hash_list}) Wenn der Dateihash nicht gefunden wurde:print "Action could not fetch download link for following hashes: {file_hash_list}"
Falls nicht erfolgreich: (400 – Ungültige Anfrage, 401 – Nicht autorisiert, 403 – Unzulässig, 500 – Interner Serverfehler): print „Fehler beim Ausführen der Aktion ‚Get Threat Download Link‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Bedrohungen abrufen
Beschreibung
Eine Liste aller im System verfügbaren Bedrohungen abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Connectors
Cylance Connector
Beschreibung
–
Connector-Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. |
| EventClassId | 2 | – | Der Feldname, der zur Bestimmung des Ereignisnamens (Untertyp) verwendet wird. |
| PythonProcessTimeout | 2 | 60 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | 2 | – | https://protectapi.cylance.com/ |
| App-Secret | 3 | – | Wird zum Signieren der Anwendungs-ID verwendet. |
| Anwendungs-ID | 2 | – | Wird verwendet, um das angeforderte Token anzugeben. |
| Mandanten-ID | 2 | – | Die ID der Mandanteninformationen, die abgefragt werden. |
| Proxyserveradresse | 2 | – | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | 2 | – | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | 3 | – | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Sperrliste/Zulassungsliste
Der Connector unterstützt keine Regeln für Zulassungs-/Sperrlisten.
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten