Cynet
Ce document explique comment intégrer Cynet à Google Security Operations.
Configurer l'intégration de Cynet dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Supprimer le hachage dans l'hôte
Description
Supprimez l'action de correction du fichier.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| 13590 | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}]
Requête de hachage
Description
Récupérez toutes les informations sur un fichier spécifique.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| meta_copyright | Renvoie la valeur si elle existe dans le résultat JSON |
| common_filename | Renvoie la valeur si elle existe dans le résultat JSON |
| occurrences | Renvoie la valeur si elle existe dans le résultat JSON |
| meta_product_name_and_version | Renvoie la valeur si elle existe dans le résultat JSON |
| first_seen | Renvoie la valeur si elle existe dans le résultat JSON |
| is_whitelisted | Renvoie la valeur si elle existe dans le résultat JSON |
| imports_winsock | Renvoie la valeur si elle existe dans le résultat JSON |
| meta_description | Renvoie la valeur si elle existe dans le résultat JSON |
| meta_companyName | Renvoie la valeur si elle existe dans le résultat JSON |
| risk_level | Renvoie la valeur si elle existe dans le résultat JSON |
| has_autorun_occurrences | Renvoie la valeur si elle existe dans le résultat JSON |
| meta_original_filename | Renvoie la valeur si elle existe dans le résultat JSON |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON |
| has_program_files_folder_occurrences | Renvoie la valeur si elle existe dans le résultat JSON |
| common_path | Renvoie la valeur si elle existe dans le résultat JSON |
| certificate_thumbprint | Renvoie la valeur si elle existe dans le résultat JSON |
| certificate_name | Renvoie la valeur si elle existe dans le résultat JSON |
| certificate_root_name | Renvoie la valeur si elle existe dans le résultat JSON |
| alert_severity_level | Renvoie la valeur si elle existe dans le résultat JSON |
| ssdeep | Renvoie la valeur si elle existe dans le résultat JSON |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON |
| sha1 | Renvoie la valeur si elle existe dans le résultat JSON |
| has_hidden_window_occurrences | Renvoie la valeur si elle existe dans le résultat JSON |
| alert_product_name | Renvoie la valeur si elle existe dans le résultat JSON |
| imports_wininet | Renvoie la valeur si elle existe dans le résultat JSON |
| domaines | Renvoie la valeur si elle existe dans le résultat JSON |
| last_seen | Renvoie la valeur si elle existe dans le résultat JSON |
| imports_ntdll | Renvoie la valeur si elle existe dans le résultat JSON |
| av_detections | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"meta_copyright": "Copyright (C) 2000",
"common_filename": "ipscan.exe",
"has_sockets": "false",
"occurrences": [{
"file_type": "PROCESS",
"creation_time": "2017-12-15T14:34:41Z",
"owner_user": "builtin\\\\administrators",
"last_run_time": "2017-12-15T14:34:41Z",
"hostname": "host1",
"commandline_parameters": "C:\\\\DocumenteD\\\\___soft\\\\IP_Tools\\\\IPscan\\\\ipscan.exe",
"filename": "ipscan.exe",
"parent_path": "c:\\\\windows\\\\explorer.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"running_user": "cabuk\\\\r610739",
"full_path":"c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe"
}],
"meta_product_name_and_version": " 0.0.0.0",
"first_seen": "2016-12-27T15:07:53Z",
"is_whitelisted": "false",
"imports_winsock": "false",
"meta_description": "Angry IP scanner",
"meta_companyName": "Angryziber Software",
"risk_level": 1000,
"has_autorun_occurrences": "false",
"meta_original_filename": "ipscan.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"has_program_files_folder_occurrences": "false",
"common_path": "c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe",
"certificate_thumbprint": "0000000000000000000000000000000000000000",
"certificate_name": "",
"certificate_root_name": "",
"alert_severity_level": "Critical",
"ssdeep": "",
"md5": "6C1BCF0B1297689C8C4C12CC70996A75",
"sha1": "",
"has_hidden_window_occurrences": "true",
"alert_product_name": "Angry IP Scanner - Cynet.Scanner.Angry IP Scanner",
"imports_wininet": "false",
"domains": [],
"last_seen": "2018-02-28T11:26:32Z",
"imports_ntdll": "false",
"av_detections": 22
}
Arrêter le hachage dans l'hôte
Description
Action de correction "Mettre fin au fichier de processus".
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mise en quarantaine du hachage dans l'hôte
Description
Action à effectuer pour corriger le fichier mis en quarantaine.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
État de la correction
Description
Obtenez l'état de la correction en fonction de l'ID de correction.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| ID de la correction | Chaîne | N/A | Exemple : 312. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"status": 24,
"statusInfo": "File does not exist",
"id": 13592
}
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.