Cylance
통합 버전: 14.0
Google Security Operations에서 Cylance 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
전체 목록에 추가
설명
두 개의 전역 목록(GlobalSafe 또는 GlobalQuarantine) 중 하나에 해시를 추가합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 목록 유형 | 문자열 | 해당 사항 없음 | 해시를 추가할 목록입니다. 예: GlobalSafe |
| 카테고리 | 문자열 | 해당 사항 없음 | 해시의 카테고리입니다. |
| 이유 | 문자열 | 해당 사항 없음 | 목록에 해시를 추가한 이유입니다. |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
정책 변경
설명
엔드포인트의 정책을 기존 정책으로 변경합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 정책 이름 | 문자열 | 해당 사항 없음 | 새 정책 이름입니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
영역 변경
설명
엔드포인트 (엔드포인트 그룹)의 영역을 변경합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 추가할 영역 | 문자열 | 해당 사항 없음 | 추가할 새 영역입니다. 쉼표로 구분하여 입력하세요. |
| 삭제할 영역 | 문자열 | 해당 사항 없음 | 삭제할 영역입니다. 쉼표로 구분하여 입력하세요. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
전체 목록에서 삭제
설명
지정된 전역 목록 (GlobalSafe 또는 GlobalQuarantine)의 해시를 삭제합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 매개변수 | 유형 | 기본값 | 설명 |
| 목록 유형 | 문자열 | 해당 사항 없음 | 해시를 삭제할 목록입니다. 예: GlobalSafe |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
설명
추가 Cylance 데이터로 호스트 이름과 IP 주소를 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| update_available | JSON 결과에 존재하는 경우에 반환 |
| date_last_modified | JSON 결과에 존재하는 경우에 반환 |
| distinguished_name | JSON 결과에 존재하는 경우에 반환 |
| 정책 | JSON 결과에 존재하는 경우에 반환 |
| date_offline | JSON 결과에 존재하는 경우에 반환 |
| ip_addresses | JSON 결과에 존재하는 경우에 반환 |
| mac_addresses | JSON 결과에 존재하는 경우에 반환 |
| last_logged_in_user | JSON 결과에 존재하는 경우에 반환 |
| agent_version | JSON 결과에 존재하는 경우에 반환 |
| os_version | JSON 결과에 존재하는 경우에 반환 |
| state | JSON 결과에 존재하는 경우에 반환 |
| update_type | JSON 결과에 존재하는 경우에 반환 |
| date_first_registered | JSON 결과에 존재하는 경우에 반환 |
| host_name | JSON 결과에 존재하는 경우에 반환 |
| is_safe | JSON 결과에 존재하는 경우에 반환 |
| background_detection | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
전역 목록 가져오기
설명
지정된 전역 목록 (GlobalSafe 또는 GlobalQuarantine)의 모든 해시 목록을 가져옵니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 목록 유형 | 문자열 | 해당 사항 없음 | 전역 목록의 이름입니다. 예: GlobalSafe |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
위협 가져오기
설명
Cylance의 데이터로 해시를 보강합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 기준 | 문자열 | 0 | 위협 Cylance 점수가 지정된 임계값을 통과하면 항목을 의심스러운 항목으로 표시합니다. 예: 3 |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
기준점을 초과하면 항목이 의심스러움 (True)으로 표시됩니다. 그 외의 경우: False
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| cylance_score | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| classification | JSON 결과에 존재하는 경우에 반환 |
| last_found | JSON 결과에 존재하는 경우에 반환 |
| av_industry | JSON 결과에 존재하는 경우에 반환 |
| unique_to_cylance | JSON 결과에 존재하는 경우에 반환 |
| global_quarantined | JSON 결과에 존재하는 경우에 반환 |
| file_size | JSON 결과에 존재하는 경우에 반환 |
| 허용 목록에 추가됨 | JSON 결과에 존재하는 경우에 반환 |
| sha256 | JSON 결과에 존재하는 경우에 반환 |
| md5 | JSON 결과에 존재하는 경우에 반환 |
| sub_classification | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
위협 기기 가져오기
설명
특정 호스트 이름 또는 IP 주소와 연결된 위협을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| name | JSON 결과에 존재하는 경우에 반환 |
| ip_addresses | JSON 결과에 존재하는 경우에 반환 |
| mac_addresses | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
| state | JSON 결과에 존재하는 경우에 반환 |
| date_found | JSON 결과에 존재하는 경우에 반환 |
| file_status | JSON 결과에 존재하는 경우에 반환 |
| agent_version | JSON 결과에 존재하는 경우에 반환 |
| file_path | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
위협 다운로드 링크 가져오기
설명
Cylance에서 Google SecOps로 추가 사용 및 샌드박싱을 위해 위협 파일의 다운로드 링크를 가져옵니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위협 SHA256 해시 | 문자열 |
해당 사항 없음 | 아니요 |
위협 SHA256 해시(쉼표로 구분된 목록) 참고: 매개변수 값을 비워 두면 작업에서 파일 해시 항목을 입력으로 사용합니다. |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Clyance_dl | JSON으로 제공되는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '다음 해시의 다운로드 링크를 가져왔습니다: {file_hash_list}'를 출력합니다. 파일 해시를 찾을 수 없는 경우: '작업이 다음 해시의 다운로드 링크를 가져올 수 없습니다: {file_hash_list}'를 출력합니다.
성공하지 못한 경우(400 - 잘못된 요청, 401 - 권한 없음, 403 - 금지됨, 500 - 내부 서버 오류): ''위협 다운로드 링크 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
위협 가져오기
설명
시스템에서 사용 가능한 모든 위협 목록을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
커넥터
Cylance 커넥터
설명
해당 사항 없음
커넥터 매개변수
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 2 | 해당 사항 없음 | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| PythonProcessTimeout | 2 | 60 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 2 | 해당 사항 없음 | https://protectapi.cylance.com/ |
| 애플리케이션 보안 비밀 | 3 | 해당 사항 없음 | 애플리케이션 ID에 서명하는 데 사용됩니다. |
| 애플리케이션 ID | 2 | 해당 사항 없음 | 요청된 토큰을 나타내는 데 사용됩니다. |
| 테넌트 식별자 | 2 | 해당 사항 없음 | 쿼리되는 테넌트 정보의 ID 번호입니다. |
| 프록시 서버 주소 | 2 | 해당 사항 없음 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 2 | 해당 사항 없음 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 3 | 해당 사항 없음 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
블랙리스트/화이트리스트
커넥터가 차단 목록/허용 목록 규칙을 지원하지 않습니다.
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.