Cylance
整合版本:14.0
在 Google Security Operations 中設定 Cylance 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
新增至全域清單
說明
將雜湊值新增至兩個全域清單之一:GlobalSafe 或 GlobalQuarantine。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 名單類型 | 字串 | 不適用 | 要新增雜湊的清單。 示例:GlobalSafe |
| 類別 | 字串 | 不適用 | 雜湊的類別。 |
| 原因 | 字串 | 不適用 | 將雜湊值加入清單的原因。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
變更政策
說明
將端點的政策變更為現有政策。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 政策名稱 | 字串 | 不適用 | 新政策名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
變更區域
說明
變更端點 (端點群組) 的可用區。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 要新增的區域 | 字串 | 不適用 | 要新增的區域。以半形逗號分隔。 |
| 要移除的區域 | 字串 | 不適用 | 要移除的區域。以半形逗號分隔。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
從全域清單中刪除
說明
從指定的全域清單 (GlobalSafe 或 GlobalQuarantine) 移除雜湊。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 參數 | 類型 | 預設值 | 說明 |
| 名單類型 | 字串 | 不適用 | 要從中刪除雜湊的清單。 示例:GlobalSafe |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
充實實體
說明
使用額外的 Cylance 資料,豐富主機名稱和 IP 位址。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| update_available | 如果 JSON 結果中存在該值,則傳回該值 |
| date_last_modified | 如果 JSON 結果中存在該值,則傳回該值 |
| distinguished_name | 如果 JSON 結果中存在該值,則傳回該值 |
| 政策 | 如果 JSON 結果中存在該值,則傳回該值 |
| date_offline | 如果 JSON 結果中存在該值,則傳回該值 |
| ip_addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| mac_addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| last_logged_in_user | 如果 JSON 結果中存在該值,則傳回該值 |
| agent_version | 如果 JSON 結果中存在該值,則傳回該值 |
| os_version | 如果 JSON 結果中存在該值,則傳回該值 |
| state | 如果 JSON 結果中存在該值,則傳回該值 |
| update_type | 如果 JSON 結果中存在該值,則傳回該值 |
| date_first_registered | 如果 JSON 結果中存在該值,則傳回該值 |
| host_name | 如果 JSON 結果中存在該值,則傳回該值 |
| is_safe | 如果 JSON 結果中存在該值,則傳回該值 |
| background_detection | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"update_available": false,
"date_last_modified": "2012-01-16T10:04:27",
"distinguished_name": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"policy":
{
"id": "1413b00e-50bc-4438-base-04935713aabf",
"name": "A_policy"
},
"date_offline": null,
"ip_addresses": ["1.92.168.0.3"],
"mac_addresses": ["AB-CD-C4-12-A2-73"],
"last_logged_in_user": "DOMAIN\\\\user",
"agent_version": "2.0.1510",
"os_version": "Microsoft Windows 10 Pro",
"state": "Online",
"update_type": null,
"date_first_registered": "2012-03-27T11:35:12",
"host_name": "PC-01.DOMAIN.COM",
"is_safe": true,
"background_detection": false,
"id": "8e501f3b-d3c3-4549-94af-5b3335af247d",
"name": "PC-01"
},
"Entity": "PC-01"
}]
取得全域清單
說明
擷取指定全域清單 (GlobalSafe 或 GlobalQuarantine) 中的所有雜湊清單。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 名單類型 | 字串 | 不適用 | 全域清單的名稱。 示例:GlobalSafe |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"category": "Drivers",
"added": "2018-04-01T16:14:01",
"name": "MaliciousFile.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "9890B2F415D096B3E5B259C414166C7E0C7C2BE7AB7FBE0C30ACC67AA78D7BC6",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "F0D291E88A11CCCF31BC358DCB83ACC2"
},{
"category": "Drivers",
"added": "2018-04-01T13:13:03",
"name":"ThisWillDestroyYourComputer.exe",
"classification": "",
"sub_classification": "",
"av_industry": null,
"reason": "Testing actions",
"list_type": "GlobalSafe",
"sha256": "EB83B77112874E1082BBD529182DD22C5C0BFD2390E4C1584CBE1C50CBB3FD03",
"cylance_score": -0.999,
"added_by": "a4366b76-669e-46ac-acb8-67d1d8e2c5ed",
"md5": "8A1B7AF7A850493D3683C6EC660CA454"
}
]
取得威脅
說明
使用 Cylance 的資料擴充雜湊。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 門檻 | 字串 | 0 | 如果實體的 Cylance 威脅分數超過指定門檻,請將實體標示為可疑。 範例:3 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
如果實體超過門檻,就會標示為可疑 (True)。否則: False。
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| cylance_score | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| 將內容分類 | 如果 JSON 結果中存在該值,則傳回該值 |
| last_found | 如果 JSON 結果中存在該值,則傳回該值 |
| av_industry | 如果 JSON 結果中存在該值,則傳回該值 |
| unique_to_cylance | 如果 JSON 結果中存在該值,則傳回該值 |
| global_quarantined | 如果 JSON 結果中存在該值,則傳回該值 |
| file_size | 如果 JSON 結果中存在該值,則傳回該值 |
| 已加入許可清單 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| md5 | 如果 JSON 結果中存在該值,則傳回該值 |
| sub_classification | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"file_size": 103424,
"safelisted": false,
"sha256": "2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
"md5": "8B632BFC3FE653A510CBA277C2D699D1",
"sub_classification": "Local"
},
"Entity": "8B632BFC3FE653A510CBA277C2D699D1"
}]
取得威脅裝置
說明
取得與特定主機名稱或 IP 位址相關聯的威脅。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip_addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| mac_addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| state | 如果 JSON 結果中存在該值,則傳回該值 |
| date_found | 如果 JSON 結果中存在該值,則傳回該值 |
| file_status | 如果 JSON 結果中存在該值,則傳回該值 |
| agent_version | 如果 JSON 結果中存在該值,則傳回該值 |
| file_path | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
[{
"name": "DESKTOP-CL0OJIN",
"ip_addresses": ["169.254.195.84", "192.168.2.100"],
"mac_addresses": ["02-00-4C-4F-4F-50", "CC-2F-71-24-2D-59"],
"id": "0805c701-009b-4d2a-8d52-142e3af38c33",
"state": "OffLine",
"date_found": "2018-03-28T20:34:44",
"file_status": "Quarantined",
"agent_version": "2.0.1480",
"file_path": "C:\\\\Users\\\\Daniel\\\\Downloads\\\\mpress.219\\\\mpress.exe", "policy_id": "1429b00e-50bc-4038-bcae-04935713aabf"
}],
"Entity": "2852680c94a9d68cdab285012d9328a1ceca290db60c9e35155c2bb3e46a41b4"
}]
取得威脅下載連結
說明
從 Cylance 取得威脅檔案的下載連結,以供 Google SecOps 進一步使用和沙箱測試。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 威脅 SHA256 雜湊 | 字串 |
不適用 | 否 |
以半形逗號分隔的威脅 SHA256 雜湊清單。注意:如果參數值留空,動作會使用檔案雜湊實體做為輸入內容。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| Clyance_dl | 以 JSON 格式提供時 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:列印「Successfully fetched download link for following hashes: {file_hash_list}」(已成功擷取下列雜湊的下載連結:{file_hash_list}) 如果找不到檔案雜湊:列印「Action could not fetch download link for following hashes: {file_hash_list}」(動作無法擷取下列雜湊的下載連結:{file_hash_list})
如果未成功:(400 - bad request、401 - unauthorized、403 forbidden、500 internal server error):print「Error executing action 'Get Threat Download Link'」(執行「取得威脅下載連結」動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
取得威脅
說明
擷取系統中所有可用威脅的清單。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"cylance_score": -0.999,
"name": "BADguyFILE.exe",
"classification": "",
"last_found": "2018-03-29T14:26:56",
"av_industry": null,
"unique_to_cylance": false,
"global_quarantined": false,
"sub_classification": "",
"file_size": 31246,
"safelisted": false,
"sha256": "19D51872FEC52363589C46E869B9A7A7EC567CB2AED6DBF9B206FC04AE7361DA",
"md5": "859214628259F59A1DD3ABE8C3201346"
},{
"cylance_score": -1.0,
"name": "mpress.exe",
"classification": "Trusted",
"last_found": "2018-03-28T20:34:44",
"av_industry": null,
"unique_to_cylance": true,
"global_quarantined": false,
"sub_classification": "Local",
"file_size": 103424,
"safelisted": false,
"sha256":"2852680C94A9D68CDAB285012D9328A1CECA290DB60C9E35155C2BB3E46A41B4",
md5": "8B632BFC3FE653A510CBA277C2D699D1"
}
]
連接器
Cylance 連接器
說明
不適用
連結器參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用來判斷裝置產品的欄位名稱。 |
| EventClassId | 2 | 不適用 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| PythonProcessTimeout | 2 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根層級 | 2 | 不適用 | https://protectapi.cylance.com/ |
| 應用程式密鑰 | 3 | 不適用 | 用於簽署應用程式 ID。 |
| 應用程式 ID | 2 | 不適用 | 用於指出要求的權杖。 |
| 租戶 ID | 2 | 不適用 | 要查詢的租戶資訊 ID 號碼。 |
| Proxy 伺服器位址 | 2 | 不適用 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 2 | 不適用 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 3 | 不適用 | 用於驗證的 Proxy 密碼。 |
連接器規則
黑名單/白名單
連接器不支援黑名單/白名單規則。
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。