Cylance
Versión de integración: 14.0
Configurar la integración de Cylance en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Añadir a lista global
Descripción
Añade un hash a una de las dos listas globales: GlobalSafe o GlobalQuarantine.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de lista | Cadena | N/A | La lista a la que se va a añadir el hash. Ejemplo: GlobalSafe |
| Categoría | Cadena | N/A | Categoría del hash. |
| Motivo | Cadena | N/A | El motivo por el que se añade el hash a la lista. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cambiar política
Descripción
Cambia la política de un endpoint por una que ya tengas.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la política | Cadena | N/A | El nuevo nombre de la política. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cambia la zona
Descripción
Cambiar la zona de un endpoint (grupo de endpoints).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Zonas que añadir | Cadena | N/A | La nueva zona que se va a añadir. Las etiquetas deben ir separadas por comas |
| Zonas que se van a quitar | Cadena | N/A | La zona que se va a eliminar. Las etiquetas deben ir separadas por comas |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Eliminar de la lista global
Descripción
Elimina un hash de la lista global especificada (GlobalSafe o GlobalQuarantine).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Parámetro | Tipo | Valor predeterminado | Descripción |
| Tipo de lista | Cadena | N/A | La lista de la que se va a eliminar el hash. Ejemplo: GlobalSafe |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecer entidades
Descripción
Enriquece el nombre de host y las direcciones IP con datos adicionales de Cylance.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| update_available | Devuelve si existe en el resultado JSON. |
| date_last_modified | Devuelve si existe en el resultado JSON. |
| distinguished_name | Devuelve si existe en el resultado JSON. |
| política | Devuelve si existe en el resultado JSON. |
| date_offline | Devuelve si existe en el resultado JSON. |
| ip_addresses | Devuelve si existe en el resultado JSON. |
| mac_addresses | Devuelve si existe en el resultado JSON. |
| last_logged_in_user | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
| os_version | Devuelve si existe en el resultado JSON. |
| estado | Devuelve si existe en el resultado JSON. |
| update_type | Devuelve si existe en el resultado JSON. |
| date_first_registered | Devuelve si existe en el resultado JSON. |
| host_name | Devuelve si existe en el resultado JSON. |
| is_safe | Devuelve si existe en el resultado JSON. |
| background_detection | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Obtener lista global
Descripción
Recupera una lista de todos los hashes de la lista global especificada (GlobalSafe o GlobalQuarantine).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de lista | Cadena | N/A | Nombre de la lista global. Ejemplo: GlobalSafe |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Get Threat
Descripción
Enriquece un hash con datos de Cylance.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | Cadena | 0 | Marca la entidad como sospechosa si la puntuación de amenaza de Cylance supera el umbral indicado. Ejemplo: 3 |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral. De lo contrario: False.
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| cylance_score | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| hacer clasificaciones | Devuelve si existe en el resultado JSON. |
| last_found | Devuelve si existe en el resultado JSON. |
| av_industry | Devuelve si existe en el resultado JSON. |
| unique_to_cylance | Devuelve si existe en el resultado JSON. |
| global_quarantined | Devuelve si existe en el resultado JSON. |
| file_size | Devuelve si existe en el resultado JSON. |
| incluido en la lista de entidades seguras | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| sub_classification | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Obtener dispositivos de amenazas
Descripción
Obtiene las amenazas asociadas a un nombre de host o una dirección IP concretos.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| name | Devuelve si existe en el resultado JSON. |
| ip_addresses | Devuelve si existe en el resultado JSON. |
| mac_addresses | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| estado | Devuelve si existe en el resultado JSON. |
| date_found | Devuelve si existe en el resultado JSON. |
| file_status | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
| file_path | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Obtener enlace de descarga de amenazas
Descripción
Obtener el enlace de descarga de un archivo de amenaza para usarlo más adelante y en un entorno aislado de Cylance a Google SecOps.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Hash SHA256 de la amenaza | Cadena |
N/A | No |
Hashes SHA256 de amenazas en una lista separada por comas. Nota: Si el valor del parámetro se deja vacío, la acción usará las entidades de hash de archivo como entrada. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Clyance_dl | Cuando esté disponible en JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: imprime "Successfully fetched download link for following hashes: {file_hash_list}" ("Se ha obtenido correctamente el enlace de descarga de los siguientes hashes: {file_hash_list}"). Si no se encuentra el hash del archivo: imprime "Action could not fetch download link for following hashes: {file_hash_list}"
Si no se ha completado correctamente (400 - solicitud incorrecta, 401 - no autorizado, 403 - prohibido, 500 - error interno del servidor): imprime "Error al ejecutar la acción "Get Threat Download Link". Motivo: {0}''.format(error.Stacktrace) |
General |
Get Threats
Descripción
Recupera una lista de todas las amenazas disponibles en el sistema.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Conectores
Cylance Connector
Descripción
N/A
Parámetros de conectores
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | N/A | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | 2 | N/A | https://protectapi.cylance.com/ |
| Secreto de aplicación | 3 | N/A | Se usa para firmar el ID de la aplicación. |
| ID de la aplicación | 2 | N/A | Se usa para indicar el token solicitado. |
| Identificador de cliente | 2 | N/A | Número de ID de la información del arrendatario que se está consultando. |
| Dirección del servidor proxy | 2 | N/A | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | 2 | N/A | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | 3 | N/A | La contraseña del proxy para autenticarte. |
Reglas de conectores
Lista negra o blanca
El conector no admite reglas de listas negras o blancas.
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.