Cylance
Versi integrasi: 14.0
Mengonfigurasi integrasi Cylance di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Menambahkan ke Daftar Global
Deskripsi
Tambahkan hash ke salah satu dari dua daftar global: GlobalSafe atau GlobalQuarantine.
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jenis Daftar | String | T/A | Daftar yang akan ditambahkan hash. Contoh: GlobalSafe |
| Kategori | String | T/A | Kategori hash. |
| Alasan | String | T/A | Alasan menambahkan hash ke daftar. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Ubah Kebijakan
Deskripsi
Ubah kebijakan endpoint ke kebijakan yang ada.
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Nama Kebijakan | String | T/A | Nama kebijakan baru. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Ubah Zona
Deskripsi
Ubah zona untuk endpoint (grup endpoint).
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Zona yang Akan Ditambahkan | String | T/A | Zona Baru yang akan Ditambahkan. Dipisahkan koma. |
| Zona yang akan Dihapus | String | T/A | Zona yang akan dihapus. Dipisahkan koma. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menghapus Dari Daftar Global
Deskripsi
Menghapus hash untuk daftar global yang ditentukan (GlobalSafe atau GlobalQuarantine).
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Parameter | Jenis | Nilai Default | Deskripsi |
| Jenis Daftar | String | T/A | Daftar tempat hash akan dihapus. Contoh: GlobalSafe |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperkaya Entitas
Deskripsi
Memperkaya nama host dan alamat IP dengan data Cylance tambahan.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| update_available | Menampilkan apakah ada di hasil JSON |
| date_last_modified | Menampilkan apakah ada di hasil JSON |
| distinguished_name | Menampilkan apakah ada di hasil JSON |
| kebijakan | Menampilkan apakah ada di hasil JSON |
| date_offline | Menampilkan apakah ada di hasil JSON |
| ip_addresses | Menampilkan apakah ada di hasil JSON |
| mac_addresses | Menampilkan apakah ada di hasil JSON |
| last_logged_in_user | Menampilkan apakah ada di hasil JSON |
| agent_version | Menampilkan apakah ada di hasil JSON |
| os_version | Menampilkan apakah ada di hasil JSON |
| state | Menampilkan apakah ada di hasil JSON |
| update_type | Menampilkan apakah ada di hasil JSON |
| date_first_registered | Menampilkan apakah ada di hasil JSON |
| host_name | Menampilkan apakah ada di hasil JSON |
| is_safe | Menampilkan apakah ada di hasil JSON |
| background_detection | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Mendapatkan Daftar Global
Deskripsi
Mengambil daftar semua hash dalam daftar global yang ditentukan (GlobalSafe atau GlobalQuarantine).
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jenis Daftar | String | T/A | Nama daftar global. Contoh: GlobalSafe |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Mendapatkan Ancaman
Deskripsi
Memperkaya hash dengan data dari Cylance.
Parameter
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Ambang batas | String | 0 | Menandai entity sebagai mencurigakan jika skor ancaman Cylance melewati nilai minimum yang ditentukan. Contoh: 3 |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai Mencurigakan (Benar) jika melebihi nilai minimum. Lainnya: Salah.
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| cylance_score | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| klasifikasi | Menampilkan apakah ada di hasil JSON |
| last_found | Menampilkan apakah ada di hasil JSON |
| av_industry | Menampilkan apakah ada di hasil JSON |
| unique_to_cylance | Menampilkan apakah ada di hasil JSON |
| global_quarantined | Menampilkan apakah ada di hasil JSON |
| file_size | Menampilkan apakah ada di hasil JSON |
| telah masuk daftar yang diizinkan | Menampilkan apakah ada di hasil JSON |
| sha256 | Menampilkan apakah ada di hasil JSON |
| md5 | Menampilkan apakah ada di hasil JSON |
| sub_classification | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Mendapatkan Perangkat Ancaman
Deskripsi
Mendapatkan ancaman yang terkait dengan nama host atau alamat IP tertentu.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| nama | Menampilkan apakah ada di hasil JSON |
| ip_addresses | Menampilkan apakah ada di hasil JSON |
| mac_addresses | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| state | Menampilkan apakah ada di hasil JSON |
| date_found | Menampilkan apakah ada di hasil JSON |
| file_status | Menampilkan apakah ada di hasil JSON |
| agent_version | Menampilkan apakah ada di hasil JSON |
| file_path | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Mendapatkan Link Download Ancaman
Deskripsi
Mendapatkan link download file ancaman untuk penggunaan dan sandboxing lebih lanjut dari Cylance ke Google SecOps.
Parameter
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Hash SHA256 Ancaman | String |
T/A | Tidak |
Hash SHA256 ancaman, dalam daftar yang dipisahkan koma. Catatan: Jika nilai parameter akan dibiarkan kosong, tindakan akan menggunakan entity hash file sebagai input. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Clyance_dl | Jika tersedia dalam JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if successful: print "Successfully fetched download link for following hashes: {file_hash_list}" Jika hash file tidak ditemukan: cetak "Tindakan tidak dapat mengambil link download untuk hash berikut: {file_hash_list}"
jika tidak berhasil: (400 - permintaan salah, 401 - tidak sah, 403 - dilarang, 500 - error server internal): cetak "Error saat menjalankan tindakan "Dapatkan Link Download Ancaman". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Mendapatkan Ancaman
Deskripsi
Mengambil daftar semua ancaman yang tersedia dalam sistem.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Konektor
Cylance Connector
Deskripsi
T/A
Parameter Konektor
| Nama Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| EventClassId | 2 | T/A | Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis). |
| PythonProcessTimeout | 2 | 60 | Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini. |
| Root API | 2 | T/A | https://protectapi.cylance.com/ |
| Rahasia Aplikasi | 3 | T/A | Digunakan untuk menandatangani ID Aplikasi. |
| ID aplikasi | 2 | T/A | Digunakan untuk menunjukkan token yang diminta. |
| ID Tenant | 2 | T/A | Nomor ID informasi tenant yang dikueri. |
| Alamat Server Proxy | 2 | T/A | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | 2 | T/A | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | 3 | T/A | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Daftar yang tidak diizinkan/Daftar yang diizinkan
Konektor tidak mendukung aturan Daftar Hitam/Daftar Putih.
Dukungan proxy
Konektor mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.