Cylance
Versão da integração: 14.0
Configure a integração do Cylance no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Adicionar à lista global
Descrição
Adicione um hash a uma das duas listas globais: GlobalSafe ou GlobalQuarantine.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Tipo de lista | String | N/A | A lista à qual quer adicionar o hash. Exemplo: GlobalSafe |
| Categoria | String | N/A | A categoria do hash. |
| Motivo | String | N/A | O motivo para adicionar o hash à lista. |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Política de alterações
Descrição
Alterar a política de um ponto final para uma política existente.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome da política | String | N/A | O nome da nova política. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Alterar zona
Descrição
Altere a zona de um ponto final (grupo de pontos finais).
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Zonas a adicionar | String | N/A | A nova zona a adicionar. Separados por vírgulas. |
| Zonas a remover | String | N/A | A zona a remover. Separados por vírgulas. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Eliminar da lista global
Descrição
Remova um hash da lista global especificada (GlobalSafe ou GlobalQuarantine).
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Parâmetro | Tipo | Valor predefinido | Descrição |
| Tipo de lista | String | N/A | A lista da qual eliminar o hash. Exemplo: GlobalSafe |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecer entidades
Descrição
Enriquecer o nome do anfitrião e os endereços IP com dados adicionais da Cylance.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| update_available | Devolve se existir no resultado JSON |
| date_last_modified | Devolve se existir no resultado JSON |
| distinguished_name | Devolve se existir no resultado JSON |
| política | Devolve se existir no resultado JSON |
| date_offline | Devolve se existir no resultado JSON |
| ip_addresses | Devolve se existir no resultado JSON |
| mac_addresses | Devolve se existir no resultado JSON |
| last_logged_in_user | Devolve se existir no resultado JSON |
| agent_version | Devolve se existir no resultado JSON |
| os_version | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| update_type | Devolve se existir no resultado JSON |
| date_first_registered | Devolve se existir no resultado JSON |
| host_name | Devolve se existir no resultado JSON |
| is_safe | Devolve se existir no resultado JSON |
| background_detection | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Get Global List
Descrição
Obtenha uma lista de todos os hashes na lista global especificada (GlobalSafe ou GlobalQuarantine).
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Tipo de lista | String | N/A | Nome da lista global. Exemplo: GlobalSafe |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Obter ameaça
Descrição
Enriqueça um hash com dados da Cylance.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Limite | String | 0 | Marque a entidade como suspeita se a pontuação de ameaça do Cylance exceder o limite especificado. Exemplo: 3 |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas (verdadeiro) se excederem o limite. Caso contrário: Falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cylance_score | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| classificação | Devolve se existir no resultado JSON |
| last_found | Devolve se existir no resultado JSON |
| av_industry | Devolve se existir no resultado JSON |
| unique_to_cylance | Devolve se existir no resultado JSON |
| global_quarantined | Devolve se existir no resultado JSON |
| file_size | Devolve se existir no resultado JSON |
| adicionada à lista segura | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| sub_classification | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Get Threat Devices
Descrição
Receba ameaças associadas a um nome de anfitrião ou a um endereço IP específico.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome | Devolve se existir no resultado JSON |
| ip_addresses | Devolve se existir no resultado JSON |
| mac_addresses | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| date_found | Devolve se existir no resultado JSON |
| file_status | Devolve se existir no resultado JSON |
| agent_version | Devolve se existir no resultado JSON |
| file_path | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Obtenha o link de transferência de ameaças
Descrição
Obtenha o link de transferência de um ficheiro de ameaça para utilização e testes em ambiente de sandbox adicionais do Cylance para o Google SecOps.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Hash SHA256 da ameaça | String |
N/A | Não |
Hashes SHA256 de ameaças numa lista separada por vírgulas. Nota: se o valor do parâmetro for deixado em branco, a ação usa as entidades de hash de ficheiros como entrada. |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Clyance_dl | Quando estiver disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful: print "Successfully fetched download link for following hashes: {file_hash_list}" Se não for encontrado o hash do ficheiro: imprima "Não foi possível obter o link de transferência para os seguintes hashes: {file_hash_list}"
Se não for bem-sucedido: (400 - pedido inválido, 401 - não autorizado, 403 proibido, 500 erro interno do servidor): imprima "Erro ao executar a ação "Obter link de transferência de ameaças". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receba ameaças
Descrição
Apresente uma lista de todas as ameaças disponíveis no sistema.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Conetores
Conetor Cylance
Descrição
N/A
Parâmetros do conetor
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | N/A | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | 2 | N/A | https://protectapi.cylance.com/ |
| Segredo da aplicação | 3 | N/A | Usado para assinar o ID da aplicação. |
| ID da aplicação | 2 | N/A | Usado para indicar o token pedido. |
| Identificador do inquilino | 2 | N/A | Número de ID das informações do inquilino que estão a ser consultadas. |
| Endereço do servidor proxy | 2 | N/A | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | 2 | N/A | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | 3 | N/A | A palavra-passe do proxy para autenticação. |
Regras do conetor
Lista negra/lista de autorizações
O conetor não suporta a regra de lista de autorizações/proibições.
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.