Cynet
In diesem Dokument wird beschrieben, wie Sie Cynet in Google Security Operations einbinden.
Cynet-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Hash im Host löschen
Beschreibung
Löschen Sie die Korrekturmaßnahme für die Datei.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| 13590 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}]
Hash-Abfrage
Beschreibung
Alle Informationen zu einer bestimmten Datei abrufen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| meta_copyright | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| common_filename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Häufigkeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| meta_product_name_and_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| first_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| is_whitelisted | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| imports_winsock | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| meta_description | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| meta_companyName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| risk_level | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| has_autorun_occurrences | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| meta_original_filename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| has_program_files_folder_occurrences | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| common_path | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| certificate_thumbprint | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| certificate_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| certificate_root_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| alert_severity_level | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ssdeep | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| has_hidden_window_occurrences | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| alert_product_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| imports_wininet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Domains | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| last_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| imports_ntdll | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| av_detections | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"meta_copyright": "Copyright (C) 2000",
"common_filename": "ipscan.exe",
"has_sockets": "false",
"occurrences": [{
"file_type": "PROCESS",
"creation_time": "2017-12-15T14:34:41Z",
"owner_user": "builtin\\\\administrators",
"last_run_time": "2017-12-15T14:34:41Z",
"hostname": "host1",
"commandline_parameters": "C:\\\\DocumenteD\\\\___soft\\\\IP_Tools\\\\IPscan\\\\ipscan.exe",
"filename": "ipscan.exe",
"parent_path": "c:\\\\windows\\\\explorer.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"running_user": "cabuk\\\\r610739",
"full_path":"c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe"
}],
"meta_product_name_and_version": " 0.0.0.0",
"first_seen": "2016-12-27T15:07:53Z",
"is_whitelisted": "false",
"imports_winsock": "false",
"meta_description": "Angry IP scanner",
"meta_companyName": "Angryziber Software",
"risk_level": 1000,
"has_autorun_occurrences": "false",
"meta_original_filename": "ipscan.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"has_program_files_folder_occurrences": "false",
"common_path": "c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe",
"certificate_thumbprint": "0000000000000000000000000000000000000000",
"certificate_name": "",
"certificate_root_name": "",
"alert_severity_level": "Critical",
"ssdeep": "",
"md5": "6C1BCF0B1297689C8C4C12CC70996A75",
"sha1": "",
"has_hidden_window_occurrences": "true",
"alert_product_name": "Angry IP Scanner - Cynet.Scanner.Angry IP Scanner",
"imports_wininet": "false",
"domains": [],
"last_seen": "2018-02-28T11:26:32Z",
"imports_ntdll": "false",
"av_detections": 22
}
Hash auf Host löschen
Beschreibung
Beenden Sie die Abhilfemaßnahme für die Prozessdatei.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Hash in Host unter Quarantäne stellen
Beschreibung
Aktion zur Behebung des Problems mit der unter Quarantäne gestellten Datei.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
Status der Problembehebung
Beschreibung
Rufen Sie den Status der Abhilfemaßnahme anhand der Abhilfemaßnahmen-ID ab.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| ID für Abhilfemaßnahmen | String | – | z.B. 312. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"status": 24,
"statusInfo": "File does not exist",
"id": 13592
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten