Cylance
Versión de integración: 14.0
Configura la integración de Cylance en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Agregar a la lista global
Descripción
Agrega un hash a una de las dos listas globales: GlobalSafe o GlobalQuarantine.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de lista | String | N/A | Es la lista a la que se agregará el hash. Ejemplo: GlobalSafe |
| Categoría | String | N/A | Es la categoría del hash. |
| Motivo | String | N/A | Es el motivo por el que se agregó el hash a la lista. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cambiar política
Descripción
Cambia la política de un extremo a una política existente.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre de la política | String | N/A | Es el nombre de la política nueva. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cambia la zona
Descripción
Cambia la zona de un extremo (grupo de extremos).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Zonas para agregar | String | N/A | Es la zona nueva que se agregará. Separados por comas. |
| Zonas que se quitarán | String | N/A | Es la zona que se quitará. Separados por comas. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Borrar de la lista global
Descripción
Quita un hash de la lista global especificada (GlobalSafe o GlobalQuarantine).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Parámetro | Tipo | Valor predeterminado | Descripción |
| Tipo de lista | String | N/A | Es la lista de la que se borrará el hash. Ejemplo: GlobalSafe |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquece entidades
Descripción
Enriquecer el nombre de host y las direcciones IP con datos adicionales de Cylance
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| update_available | Devuelve si existe en el resultado JSON. |
| date_last_modified | Devuelve si existe en el resultado JSON. |
| distinguished_name | Devuelve si existe en el resultado JSON. |
| política | Devuelve si existe en el resultado JSON. |
| date_offline | Devuelve si existe en el resultado JSON. |
| ip_addresses | Devuelve si existe en el resultado JSON. |
| mac_addresses | Devuelve si existe en el resultado JSON. |
| last_logged_in_user | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
| os_version | Devuelve si existe en el resultado JSON. |
| state | Devuelve si existe en el resultado JSON. |
| update_type | Devuelve si existe en el resultado JSON. |
| date_first_registered | Devuelve si existe en el resultado JSON. |
| host_name | Devuelve si existe en el resultado JSON. |
| is_safe | Devuelve si existe en el resultado JSON. |
| background_detection | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Obtener lista global
Descripción
Recupera una lista de todos los hashes en la lista global especificada (GlobalSafe o GlobalQuarantine).
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Tipo de lista | String | N/A | Es el nombre de la lista global. Ejemplo: GlobalSafe |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Obtener amenaza
Descripción
Enriquece un hash con datos de Cylance.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Umbral | String | 0 | Marca la entidad como sospechosa si la puntuación de amenaza de Cylance supera el umbral determinado. Ejemplo: 3 |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| cylance_score | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| clasificación | Devuelve si existe en el resultado JSON. |
| last_found | Devuelve si existe en el resultado JSON. |
| av_industry | Devuelve si existe en el resultado JSON. |
| unique_to_cylance | Devuelve si existe en el resultado JSON. |
| global_quarantined | Devuelve si existe en el resultado JSON. |
| file_size | Devuelve si existe en el resultado JSON. |
| incluido en la lista de entidades seguras | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| sub_classification | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Obtener dispositivos de amenazas
Descripción
Obtén las amenazas asociadas a un nombre de host o una dirección IP en particular.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| nombre | Devuelve si existe en el resultado JSON. |
| ip_addresses | Devuelve si existe en el resultado JSON. |
| mac_addresses | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| state | Devuelve si existe en el resultado JSON. |
| date_found | Devuelve si existe en el resultado JSON. |
| file_status | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
| file_path | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Obtener vínculo de descarga de amenazas
Descripción
Obtén el vínculo de descarga de un archivo de amenazas de Cylance para que Google SecOps lo use y lo ejecute en un entorno de pruebas.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Hash SHA256 de la amenaza | String |
N/A | No |
Hashes SHA256 de amenazas, en una lista separada por comas. Nota: Si el valor del parámetro se deja vacío, la acción usará entidades hash de archivo como entrada. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Clyance_dl | Cuando está disponible en JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if successful: print "Successfully fetched download link for following hashes: {file_hash_list}" Si no se encuentra el hash del archivo: Imprime "Action could not fetch download link for following hashes: {file_hash_list}".
Si no se ejecuta correctamente (400: Solicitud incorrecta, 401: No autorizado, 403: Prohibido, 500: Error interno del servidor): Imprime "Error al ejecutar la acción "Get Threat Download Link". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén amenazas
Descripción
Recupera una lista de todas las amenazas disponibles en el sistema.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Conectores
Cylance Connector
Descripción
N/A
Parámetros del conector
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | N/A | Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta el script actual. |
| Raíz de la API | 2 | N/A | https://protectapi.cylance.com/ |
| Secreto de aplicación | 3 | N/A | Se usa para firmar el ID de aplicación. |
| ID de aplicación | 2 | N/A | Se usa para indicar el token solicitado. |
| Identificador de usuario | 2 | N/A | Es el número de ID de la información del arrendatario sobre la que se realiza la consulta. |
| Dirección del servidor proxy | 2 | N/A | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | 2 | N/A | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | 3 | N/A | Contraseña del proxy para la autenticación. |
Reglas del conector
Lista negra/lista blanca
El conector no admite la regla de lista negra o lista blanca.
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.