Cylance
集成版本:14.0
在 Google Security Operations 中配置 Cylance 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
添加到全局列表
说明
将哈希添加到以下两个全局列表之一:GlobalSafe 或 GlobalQuarantine。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 列表类型 | 字符串 | 不适用 | 要将哈希值添加到的列表。 示例:GlobalSafe |
| 类别 | 字符串 | 不适用 | 哈希的类别。 |
| 原因 | 字符串 | 不适用 | 将哈希添加到列表中的原因。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
更改政策
说明
将端点的政策更改为现有政策。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 新政策名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
更改地区
说明
更改端点(一组端点)的可用区。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要添加的可用区 | 字符串 | 不适用 | 要添加的新可用区。以英文逗号分隔。 |
| 要移除的可用区 | 字符串 | 不适用 | 要移除的可用区。以英文逗号分隔。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
从全局列表中删除
说明
移除指定全局列表(GlobalSafe 或 GlobalQuarantine)的哈希。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 参数 | 类型 | 默认值 | 说明 |
| 列表类型 | 字符串 | 不适用 | 要从中删除哈希的列表。 示例:GlobalSafe |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
丰富实体
说明
使用额外的 Cylance 数据丰富主机名和 IP 地址。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| update_available | 返回 JSON 结果中是否存在相应值 |
| date_last_modified | 返回 JSON 结果中是否存在相应值 |
| distinguished_name | 返回 JSON 结果中是否存在相应值 |
| 政策 | 返回 JSON 结果中是否存在相应值 |
| date_offline | 返回 JSON 结果中是否存在相应值 |
| ip_addresses | 返回 JSON 结果中是否存在相应值 |
| mac_addresses | 返回 JSON 结果中是否存在相应值 |
| last_logged_in_user | 返回 JSON 结果中是否存在相应值 |
| agent_version | 返回 JSON 结果中是否存在相应值 |
| os_version | 返回 JSON 结果中是否存在相应值 |
| state | 返回 JSON 结果中是否存在相应值 |
| update_type | 返回 JSON 结果中是否存在相应值 |
| date_first_registered | 返回 JSON 结果中是否存在相应值 |
| host_name | 返回 JSON 结果中是否存在相应值 |
| is_safe | 返回 JSON 结果中是否存在相应值 |
| background_detection | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
获取全局列表
说明
检索指定全局列表(GlobalSafe 或 GlobalQuarantine)中的所有哈希的列表。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 列表类型 | 字符串 | 不适用 | 全局名单的名称。 示例:GlobalSafe |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
获取威胁
说明
使用 Cylance 的数据丰富哈希。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 阈值 | 字符串 | 0 | 如果威胁 Cylance 得分超过指定阈值,则将实体标记为可疑。 示例:3 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
如果实体超过阈值,则标记为可疑 (True)。否则:False。
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cylance_score | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| 分类信息 | 返回 JSON 结果中是否存在相应值 |
| last_found | 返回 JSON 结果中是否存在相应值 |
| av_industry | 返回 JSON 结果中是否存在相应值 |
| unique_to_cylance | 返回 JSON 结果中是否存在相应值 |
| global_quarantined | 返回 JSON 结果中是否存在相应值 |
| file_size | 返回 JSON 结果中是否存在相应值 |
| 已列入安全名单 | 返回 JSON 结果中是否存在相应值 |
| sha256 | 返回 JSON 结果中是否存在相应值 |
| md5 | 返回 JSON 结果中是否存在相应值 |
| sub_classification | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
获取威胁设备
说明
获取与特定主机名或 IP 地址关联的威胁。
参数
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| name | 返回 JSON 结果中是否存在相应值 |
| ip_addresses | 返回 JSON 结果中是否存在相应值 |
| mac_addresses | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| state | 返回 JSON 结果中是否存在相应值 |
| date_found | 返回 JSON 结果中是否存在相应值 |
| file_status | 返回 JSON 结果中是否存在相应值 |
| agent_version | 返回 JSON 结果中是否存在相应值 |
| file_path | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
获取威胁下载链接
说明
从 Cylance 获取威胁文件的下载链接,以便进一步使用和沙盒化。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 威胁 SHA256 哈希 | 字符串 |
不适用 | 否 |
以英文逗号分隔的列表形式列出的威胁 SHA256 哈希值。注意:如果参数值留空,操作将使用文件哈希实体作为输入。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| Clyance_dl | 以 JSON 格式提供时 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Successfully fetched download link for following hashes: {file_hash_list}”(已成功获取以下哈希的下载链接:{file_hash_list}) 如果未找到文件哈希:打印“Action could not fetch download link for following hashes: {file_hash_list}”(操作无法获取以下哈希的下载链接)
如果未成功:(400 - 无效请求、401 - 未经授权、403 - 禁止、500 - 内部服务器错误):打印“执行操作‘获取威胁下载链接’时出错。”原因:{0}''.format(error.Stacktrace) |
常规 |
获取威胁
说明
检索系统中所有可用威胁的列表。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
连接器
Cylance 连接器
说明
不适用
连接器参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用于确定设备产品的字段名称。 |
| EventClassId | 2 | 不适用 | 用于确定事件名称(子类型)的字段名称。 |
| PythonProcessTimeout | 2 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| API 根 | 2 | 不适用 | https://protectapi.cylance.com/ |
| 应用密钥 | 3 | 不适用 | 用于对应用 ID 进行签名。 |
| 应用 ID | 2 | 不适用 | 用于指明所请求的令牌。 |
| 租户标识符 | 2 | 不适用 | 所查询的租户信息的 ID 号。 |
| 代理服务器地址 | 2 | 不适用 | 要使用的代理服务器的地址。 |
| 代理用户名 | 2 | 不适用 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 3 | 不适用 | 用于进行身份验证的代理密码。 |
连接器规则
黑名单/白名单
连接器不支持黑名单/白名单规则。
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。