Cylance
Versão da integração: 14.0
Configurar a integração do Cylance no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Adicionar à lista global
Descrição
Adicione um hash a uma das duas listas globais: GlobalSafe ou GlobalQuarantine.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Tipo de lista | String | N/A | A lista em que o hash será adicionado. Exemplo: GlobalSafe |
| Categoria | String | N/A | A categoria do hash. |
| Motivo | String | N/A | O motivo para adicionar o hash à lista. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Mudar política
Descrição
Mude a política de um endpoint para uma política existente.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome da política | String | N/A | O nome da nova política. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Alterar zona
Descrição
Mudar a zona de um endpoint (grupo de endpoints).
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Zonas a serem adicionadas | String | N/A | A nova zona a ser adicionada. Separadas por vírgulas. |
| Zonas a serem removidas | String | N/A | A zona a ser removida. Separadas por vírgulas. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Excluir da lista global
Descrição
Remove um hash da lista global especificada (GlobalSafe ou GlobalQuarantine).
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Parâmetro | Tipo | Valor padrão | Descrição |
| Tipo de lista | String | N/A | A lista de onde o hash será excluído. Exemplo: GlobalSafe |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecer entidades
Descrição
Enriqueça o nome do host e os endereços IP com dados extras da Cylance.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| update_available | Retorna se ele existe no resultado JSON |
| date_last_modified | Retorna se ele existe no resultado JSON |
| distinguished_name | Retorna se ele existe no resultado JSON |
| política | Retorna se ele existe no resultado JSON |
| date_offline | Retorna se ele existe no resultado JSON |
| ip_addresses | Retorna se ele existe no resultado JSON |
| mac_addresses | Retorna se ele existe no resultado JSON |
| last_logged_in_user | Retorna se ele existe no resultado JSON |
| agent_version | Retorna se ele existe no resultado JSON |
| os_version | Retorna se ele existe no resultado JSON |
| estado | Retorna se ele existe no resultado JSON |
| update_type | Retorna se ele existe no resultado JSON |
| date_first_registered | Retorna se ele existe no resultado JSON |
| host_name | Retorna se ele existe no resultado JSON |
| is_safe | Retorna se ele existe no resultado JSON |
| background_detection | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
Receber lista global
Descrição
Recupera uma lista de todos os hashes na lista global especificada (GlobalSafe ou GlobalQuarantine).
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Tipo de lista | String | N/A | Nome da lista global. Exemplo: GlobalSafe |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
Acessar ameaça
Descrição
Enriqueça um hash com dados da Cylance.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Limite | String | 0 | Marque a entidade como suspeita se a pontuação de ameaça da Cylance exceder o limite especificado. Exemplo: 3 |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário: False.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cylance_score | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| classificação | Retorna se ele existe no resultado JSON |
| last_found | Retorna se ele existe no resultado JSON |
| av_industry | Retorna se ele existe no resultado JSON |
| unique_to_cylance | Retorna se ele existe no resultado JSON |
| global_quarantined | Retorna se ele existe no resultado JSON |
| file_size | Retorna se ele existe no resultado JSON |
| na lista de permissões | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| sub_classification | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
Receber dispositivos de ameaça
Descrição
Receba ameaças associadas a um nome de host ou endereço IP específico.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome | Retorna se ele existe no resultado JSON |
| ip_addresses | Retorna se ele existe no resultado JSON |
| mac_addresses | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| estado | Retorna se ele existe no resultado JSON |
| date_found | Retorna se ele existe no resultado JSON |
| file_status | Retorna se ele existe no resultado JSON |
| agent_version | Retorna se ele existe no resultado JSON |
| file_path | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
Receber link de download de ameaça
Descrição
Receba o link de download de um arquivo de ameaça para uso posterior e isolamento em sandbox do Cylance para o Google SecOps.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Hash SHA256 da ameaça | String |
N/A | Não |
Hashes SHA256 de ameaças em uma lista separada por vírgulas. Observação: se o valor do parâmetro ficar vazio, a ação vai usar entidades de hash de arquivo como entrada. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Clyance_dl | Quando disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido:imprima "O link de download foi buscado com sucesso para os seguintes hashes: {file_hash_list}" Se o hash do arquivo não for encontrado:imprima "Não foi possível buscar o link de download para os seguintes hashes: {file_hash_list}"
Se não for bem-sucedido: (400 - solicitação incorreta, 401 - não autorizado, 403 - proibido, 500 - erro interno do servidor): print "Error executing action "Get Threat Download Link". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber ameaças
Descrição
Recupera uma lista de todas as ameaças disponíveis no sistema.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
Conectores
Conector do Cylance
Descrição
N/A
Parâmetros do conector
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | N/A | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | 2 | N/A | https://protectapi.cylance.com/ |
| Chave secreta do aplicativo | 3 | N/A | Usado para assinar o ID do aplicativo. |
| ID do aplicativo | 2 | N/A | Usado para indicar o token solicitado. |
| Identificador do locatário | 2 | N/A | Número do ID das informações do locatário que estão sendo consultadas. |
| Endereço do servidor proxy | 2 | N/A | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | 2 | N/A | O nome de usuário do proxy para autenticação. |
| Senha do proxy | 3 | N/A | A senha do proxy para autenticação. |
Regras de conector
Lista negra/lista de permissões
O conector não é compatível com regras de lista de permissões/bloqueio.
Suporte a proxy
O conector oferece suporte a proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.