Cylance
Versione integrazione: 14.0
Configurare l'integrazione di Cylance in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Aggiungere alla lista globale
Descrizione
Aggiungi un hash a uno dei due elenchi globali: GlobalSafe o GlobalQuarantine.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Tipo di elenco | Stringa | N/D | L'elenco a cui aggiungere l'hash. Esempio: GlobalSafe |
| Categoria | Stringa | N/D | La categoria dell'hash. |
| Motivo | Stringa | N/D | Il motivo dell'aggiunta dell'hash all'elenco. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Modifica policy
Descrizione
Modifica la policy di un endpoint in una policy esistente.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome del criterio | Stringa | N/D | Il nuovo nome del criterio. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Cambia zona
Descrizione
Modifica la zona per un endpoint (gruppo di endpoint).
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Zone da aggiungere | Stringa | N/D | La nuova zona da aggiungere. Separati da virgole. |
| Zone da rimuovere | Stringa | N/D | La zona da rimuovere. Separati da virgole. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Elimina dall'elenco globale
Descrizione
Rimuovi un hash per l'elenco globale specificato (GlobalSafe o GlobalQuarantine).
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Parametro | Tipo | Valore predefinito | Descrizione |
| Tipo di elenco | Stringa | N/D | L'elenco da cui eliminare l'hash. Esempio: GlobalSafe |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchisci entità
Descrizione
Arricchisci il nome host e gli indirizzi IP con dati Cylance aggiuntivi.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| update_available | Restituisce se esiste nel risultato JSON |
| date_last_modified | Restituisce se esiste nel risultato JSON |
| distinguished_name | Restituisce se esiste nel risultato JSON |
| policy | Restituisce se esiste nel risultato JSON |
| date_offline | Restituisce se esiste nel risultato JSON |
| ip_addresses | Restituisce se esiste nel risultato JSON |
| mac_addresses | Restituisce se esiste nel risultato JSON |
| last_logged_in_user | Restituisce se esiste nel risultato JSON |
| agent_version | Restituisce se esiste nel risultato JSON |
| os_version | Restituisce se esiste nel risultato JSON |
| state | Restituisce se esiste nel risultato JSON |
| update_type | Restituisce se esiste nel risultato JSON |
| date_first_registered | Restituisce se esiste nel risultato JSON |
| host_name | Restituisce se esiste nel risultato JSON |
| is_safe | Restituisce se esiste nel risultato JSON |
| background_detection | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Ottieni elenco globale
Descrizione
Recupera un elenco di tutti gli hash nell'elenco globale specificato (GlobalSafe o GlobalQuarantine).
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Tipo di elenco | Stringa | N/D | Nome dell'elenco globale. Esempio: GlobalSafe |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Recupera minaccia
Descrizione
Arricchisci un hash con i dati di Cylance.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Soglia | Stringa | 0 | Contrassegna l'entità come sospetta se il punteggio della minaccia Cylance supera la soglia specificata. Esempio: 3 |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano la soglia. Altrimenti: False.
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| cylance_score | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
| classificazione | Restituisce se esiste nel risultato JSON |
| last_found | Restituisce se esiste nel risultato JSON |
| av_industry | Restituisce se esiste nel risultato JSON |
| unique_to_cylance | Restituisce se esiste nel risultato JSON |
| global_quarantined | Restituisce se esiste nel risultato JSON |
| file_size | Restituisce se esiste nel risultato JSON |
| aggiunti all'elenco indirizzi attendibili | Restituisce se esiste nel risultato JSON |
| sha256 | Restituisce se esiste nel risultato JSON |
| md5 | Restituisce se esiste nel risultato JSON |
| sub_classification | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Get Threat Devices
Descrizione
Recupera le minacce associate a un determinato nome host o indirizzo IP.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| nome | Restituisce se esiste nel risultato JSON |
| ip_addresses | Restituisce se esiste nel risultato JSON |
| mac_addresses | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| state | Restituisce se esiste nel risultato JSON |
| date_found | Restituisce se esiste nel risultato JSON |
| file_status | Restituisce se esiste nel risultato JSON |
| agent_version | Restituisce se esiste nel risultato JSON |
| file_path | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Ottieni il link di download della minaccia
Descrizione
Ricevi il link di download di un file di minaccia per un ulteriore utilizzo e sandboxing da Cylance a Google SecOps.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Hash SHA256 minaccia | Stringa |
N/D | No |
Hash SHA256 delle minacce, in un elenco separato da virgole. Nota: se valore parametro viene lasciato vuoto, l'azione utilizzerà le entità hash del file come input. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Clyance_dl | Quando disponibile in formato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful: print "Successfully fetched download link for following hashes: {file_hash_list}" Se l'hash del file non è stato trovato: stampa "Impossibile recuperare il link di download per i seguenti hash: {file_hash_list}"
In caso di esito negativo (400 - richiesta errata, 401 - non autorizzato, 403 - accesso negato, 500 - errore interno del server): stampa "Errore durante l'esecuzione dell'azione "Ottieni link per il download delle minacce". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Recupera minacce
Descrizione
Recupera un elenco di tutte le minacce disponibili nel sistema.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Connettori
Cylance Connector
Descrizione
N/D
Parametri del connettore
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Il nome del campo utilizzato per determinare il prodotto del dispositivo. |
| EventClassId | 2 | N/D | Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). |
| PythonProcessTimeout | 2 | 60 | Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. |
| Root API | 2 | N/D | https://protectapi.cylance.com/ |
| Application secret | 3 | N/D | Utilizzato per firmare l'ID applicazione. |
| ID applicazione | 2 | N/D | Utilizzato per indicare il token richiesto. |
| Identificatore tenant | 2 | N/D | Numero ID delle informazioni sul tenant oggetto della query. |
| Indirizzo del server proxy | 2 | N/D | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | 2 | N/D | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | 3 | N/D | La password del proxy per l'autenticazione. |
Regole del connettore
Lista nera/lista bianca
Il connettore non supporta la regola di blacklist/whitelist.
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.