Cylance
統合バージョン: 14.0
Google Security Operations で Cylance の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
グローバル リストに追加
説明
2 つのグローバル リスト(GlobalSafe または GlobalQuarantine)のいずれかにハッシュを追加します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リストのタイプ | 文字列 | なし | ハッシュを追加するリスト。 例: GlobalSafe |
| カテゴリ | 文字列 | なし | ハッシュのカテゴリ。 |
| 理由 | 文字列 | なし | ハッシュをリストに追加する理由。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
変更ポリシー
説明
エンドポイントのポリシーを既存のポリシーに変更します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| ポリシー名 | 文字列 | なし | 新しいポリシー名。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ゾーンを変更する
説明
エンドポイント(エンドポイントのグループ)のゾーンを変更します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 追加するゾーン | 文字列 | なし | 追加する新しいゾーン。カンマ区切り |
| 削除するゾーン | 文字列 | なし | 削除するゾーン。カンマ区切り |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
グローバル リストから削除
説明
指定されたグローバル リスト(GlobalSafe または GlobalQuarantine)のハッシュを削除します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| パラメータ | タイプ | デフォルト値 | 説明 |
| リストのタイプ | 文字列 | なし | ハッシュを削除するリスト。 例: GlobalSafe |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティの拡充
説明
ホスト名と IP アドレスを Cylance の追加データで拡充します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| update_available | JSON の結果に存在する場合に返す |
| date_last_modified | JSON の結果に存在する場合に返す |
| distinguished_name | JSON の結果に存在する場合に返す |
| ポリシー | JSON の結果に存在する場合に返す |
| date_offline | JSON の結果に存在する場合に返す |
| ip_addresses | JSON の結果に存在する場合に返す |
| mac_addresses | JSON の結果に存在する場合に返す |
| last_logged_in_user | JSON の結果に存在する場合に返す |
| agent_version | JSON の結果に存在する場合に返す |
| os_version | JSON の結果に存在する場合に返す |
| state | JSON の結果に存在する場合に返す |
| update_type | JSON の結果に存在する場合に返す |
| date_first_registered | JSON の結果に存在する場合に返す |
| host_name | JSON の結果に存在する場合に返す |
| is_safe | JSON の結果に存在する場合に返す |
| background_detection | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
グローバル リストを取得する
説明
指定されたグローバル リスト(GlobalSafe または GlobalQuarantine)内のすべてのハッシュのリストを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リストのタイプ | 文字列 | なし | グローバル リストの名前。 例: GlobalSafe |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
脅威を取得する
説明
Cylance のデータを使用してハッシュを拡充します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| しきい値 | 文字列 | 0 | 脅威の Cylance スコアが指定されたしきい値を超えた場合、エンティティを不審としてマークします。 例: 3 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合: False。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| cylance_score | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| 分類 | JSON の結果に存在する場合に返す |
| last_found | JSON の結果に存在する場合に返す |
| av_industry | JSON の結果に存在する場合に返す |
| unique_to_cylance | JSON の結果に存在する場合に返す |
| global_quarantined | JSON の結果に存在する場合に返す |
| file_size | JSON の結果に存在する場合に返す |
| 許可リストに登録されている | JSON の結果に存在する場合に返す |
| sha256 | JSON の結果に存在する場合に返す |
| md5 | JSON の結果に存在する場合に返す |
| sub_classification | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
脅威デバイスを取得する
説明
特定のホスト名または IP アドレスに関連付けられた脅威を取得します。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| name | JSON の結果に存在する場合に返す |
| ip_addresses | JSON の結果に存在する場合に返す |
| mac_addresses | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| state | JSON の結果に存在する場合に返す |
| date_found | JSON の結果に存在する場合に返す |
| file_status | JSON の結果に存在する場合に返す |
| agent_version | JSON の結果に存在する場合に返す |
| file_path | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
脅威のダウンロード リンクを取得する
説明
Cylance から Google SecOps に、脅威ファイルのダウンロード リンクを取得して、後で使用したり、サンドボックス化したりします。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 脅威の SHA256 ハッシュ | 文字列 |
なし | いいえ |
脅威の SHA256 ハッシュ(カンマ区切りのリスト)。注: パラメータ値を空のままにすると、アクションはファイル ハッシュ エンティティを入力として使用します。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Clyance_dl | JSON で利用可能な場合 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「次のハッシュのダウンロード リンクを取得しました: {file_hash_list}」と出力されます。 ファイル ハッシュが見つからない場合: 「アクションでは、次のハッシュのダウンロード リンクを取得できませんでした: {file_hash_list}」と出力します。
成功しなかった場合(400 - 不正なリクエスト、401 - 認証されていない、403 - 禁止、500 - 内部サーバーエラー): 「アクション「脅威のダウンロード リンクを取得する」の実行中にエラーが発生しました。」と出力します。理由: {0}」.format(error.Stacktrace) |
全般 |
脅威を取得する
説明
システムで使用可能なすべての脅威のリストを取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
コネクタ
Cylance コネクタ
説明
なし
コネクタ パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | デバイス プロダクトを識別するために使用されるフィールド名。 |
| EventClassId | 2 | なし | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| PythonProcessTimeout | 2 | 60 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| API ルート | 2 | なし | https://protectapi.cylance.com/ |
| アプリケーション シークレット | 3 | なし | アプリケーション ID の署名に使用されます。 |
| アプリケーション ID | 2 | なし | リクエストされたトークンを示すために使用されます。 |
| テナント識別子 | 2 | なし | クエリ対象のテナント情報の ID 番号。 |
| プロキシ サーバーのアドレス | 2 | なし | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 2 | なし | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | 3 | なし | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
ブラックリスト/ホワイトリスト
コネクタはブラックリスト/ホワイトリスト ルールをサポートしていません。
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。