Cylance
Version de l'intégration : 14.0
Configurer l'intégration de Cylance dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ajouter à la liste globale
Description
Ajoutez un hachage à l'une des deux listes globales : GlobalSafe ou GlobalQuarantine.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Type de liste | Chaîne | N/A | Liste à laquelle ajouter le hachage. Exemple : GlobalSafe |
| Catégorie | Chaîne | N/A | Catégorie du hachage. |
| Motif | Chaîne | N/A | Raison de l'ajout du hachage à la liste. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Changement apporté au règlement
Description
Modifiez la règle d'un point de terminaison pour appliquer une règle existante.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Nouveau nom de la règle. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Modifiez la zone.
Description
Modifiez la zone d'un point de terminaison (ou d'un groupe de points de terminaison).
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Zones à ajouter | Chaîne | N/A | Nouvelle zone à ajouter. Séparés par une virgule. |
| Zones à supprimer | Chaîne | N/A | Zone à supprimer. Séparés par une virgule. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Supprimer de la liste globale
Description
Supprime un hachage de la liste globale spécifiée (GlobalSafe ou GlobalQuarantine).
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Paramètre | Type | Valeur par défaut | Description |
| Type de liste | Chaîne | N/A | Liste dans laquelle supprimer le hachage. Exemple : GlobalSafe |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichir les entités
Description
Enrichissez le nom d'hôte et les adresses IP avec des données Cylance supplémentaires.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| update_available | Renvoie la valeur si elle existe dans le résultat JSON. |
| date_last_modified | Renvoie la valeur si elle existe dans le résultat JSON. |
| distinguished_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| stratégie | Renvoie la valeur si elle existe dans le résultat JSON. |
| date_offline | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| mac_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| last_logged_in_user | Renvoie la valeur si elle existe dans le résultat JSON. |
| agent_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| os_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| state | Renvoie la valeur si elle existe dans le résultat JSON. |
| update_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| date_first_registered | Renvoie la valeur si elle existe dans le résultat JSON. |
| host_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| is_safe | Renvoie la valeur si elle existe dans le résultat JSON. |
| background_detection | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Obtenir la liste globale
Description
Récupérez la liste de tous les hachages de la liste globale spécifiée (GlobalSafe ou GlobalQuarantine).
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Type de liste | Chaîne | N/A | Nom de la liste globale. Exemple : GlobalSafe |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Obtenir la menace
Description
Enrichissez un hachage avec des données Cylance.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | Chaîne | 0 | Marquez l'entité comme suspecte si le score de menace Cylance dépasse le seuil indiqué. Exemple : 3 |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent le seuil. Sinon : False.
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| cylance_score | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| classification | Renvoie la valeur si elle existe dans le résultat JSON. |
| last_found | Renvoie la valeur si elle existe dans le résultat JSON. |
| av_industry | Renvoie la valeur si elle existe dans le résultat JSON. |
| unique_to_cylance | Renvoie la valeur si elle existe dans le résultat JSON. |
| global_quarantined | Renvoie la valeur si elle existe dans le résultat JSON. |
| file_size | Renvoie la valeur si elle existe dans le résultat JSON. |
| ajouté à la liste d'autorisation | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| sub_classification | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Obtenir des appareils menaçants
Description
Obtenez les menaces associées à un nom d'hôte ou à une adresse IP spécifiques.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| mac_addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| state | Renvoie la valeur si elle existe dans le résultat JSON. |
| date_found | Renvoie la valeur si elle existe dans le résultat JSON. |
| file_status | Renvoie la valeur si elle existe dans le résultat JSON. |
| agent_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| file_path | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Obtenir le lien de téléchargement de la menace
Description
Obtenez le lien de téléchargement d'un fichier de menace pour une utilisation ultérieure et le sandboxing de Cylance à Google SecOps.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Hachage SHA256 de la menace | Chaîne |
N/A | Non |
Hachages SHA256 des menaces, dans une liste d'éléments séparés par une virgule. Remarque : Si la valeur du paramètre est laissée vide, l'action utilisera les entités de hachage de fichier comme entrée. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Clyance_dl | Lorsqu'il est disponible au format JSON |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful: print "Successfully fetched download link for following hashes: {file_hash_list}" Si le hachage du fichier est introuvable, affichez "Action could not fetch download link for following hashes: {file_hash_list}"
if not successful: (400 - bad request, 401- unauthorized, 403 forbidden, 500 internal server error): print "Error executing action "Get Threat Download Link". Raison : {0}''.format(error.Stacktrace) |
Général |
Obtenir les menaces
Description
Récupérez la liste de toutes les menaces disponibles dans le système.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Connecteurs
Cylance Connector
Description
N/A
Paramètres du connecteur
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| EventClassId | 2 | N/A | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| PythonProcessTimeout | 2 | 60 | Délai limite (en secondes) pour le processus Python exécutant le script actuel. |
| Racine de l'API | 2 | N/A | https://protectapi.cylance.com/ |
| Code secret de l'application | 3 | N/A | Utilisé pour signer l'ID d'application. |
| ID de l'application | 2 | N/A | Permet d'indiquer le jeton demandé. |
| Identifiant du locataire | 2 | N/A | Numéro d'identification des informations sur le locataire interrogé. |
| Adresse du serveur proxy | 2 | N/A | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | 2 | N/A | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | 3 | N/A | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Liste noire/Liste blanche
Le connecteur n'est pas compatible avec les règles de liste noire/liste blanche.
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.