Cynet
集成版本:9.0
在 Google Security Operations 中配置 Cynet 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
删除宿主中的哈希
说明
删除文件补救措施。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 13590 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}]
哈希查询
说明
检索有关特定文件的所有信息。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| meta_copyright | 返回 JSON 结果中是否存在相应值 |
| common_filename | 返回 JSON 结果中是否存在相应值 |
| 出现次数 | 返回 JSON 结果中是否存在相应值 |
| meta_product_name_and_version | 返回 JSON 结果中是否存在相应值 |
| first_seen | 返回 JSON 结果中是否存在相应值 |
| is_whitelisted | 返回 JSON 结果中是否存在相应值 |
| imports_winsock | 返回 JSON 结果中是否存在相应值 |
| meta_description | 返回 JSON 结果中是否存在相应值 |
| meta_companyName | 返回 JSON 结果中是否存在相应值 |
| risk_level | 返回 JSON 结果中是否存在相应值 |
| has_autorun_occurrences | 返回 JSON 结果中是否存在相应值 |
| meta_original_filename | 返回 JSON 结果中是否存在相应值 |
| sha256 | 返回 JSON 结果中是否存在相应值 |
| has_program_files_folder_occurrences | 返回 JSON 结果中是否存在相应值 |
| common_path | 返回 JSON 结果中是否存在相应值 |
| certificate_thumbprint | 返回 JSON 结果中是否存在相应值 |
| certificate_name | 返回 JSON 结果中是否存在相应值 |
| certificate_root_name | 返回 JSON 结果中是否存在相应值 |
| alert_severity_level | 返回 JSON 结果中是否存在相应值 |
| ssdeep | 返回 JSON 结果中是否存在相应值 |
| md5 | 返回 JSON 结果中是否存在相应值 |
| sha1 | 返回 JSON 结果中是否存在相应值 |
| has_hidden_window_occurrences | 返回 JSON 结果中是否存在相应值 |
| alert_product_name | 返回 JSON 结果中是否存在相应值 |
| imports_wininet | 返回 JSON 结果中是否存在相应值 |
| 网域 | 返回 JSON 结果中是否存在相应值 |
| last_seen | 返回 JSON 结果中是否存在相应值 |
| imports_ntdll | 返回 JSON 结果中是否存在相应值 |
| av_detections | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"meta_copyright": "Copyright (C) 2000",
"common_filename": "ipscan.exe",
"has_sockets": "false",
"occurrences": [{
"file_type": "PROCESS",
"creation_time": "2017-12-15T14:34:41Z",
"owner_user": "builtin\\\\administrators",
"last_run_time": "2017-12-15T14:34:41Z",
"hostname": "host1",
"commandline_parameters": "C:\\\\DocumenteD\\\\___soft\\\\IP_Tools\\\\IPscan\\\\ipscan.exe",
"filename": "ipscan.exe",
"parent_path": "c:\\\\windows\\\\explorer.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"running_user": "cabuk\\\\r610739",
"full_path":"c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe"
}],
"meta_product_name_and_version": " 0.0.0.0",
"first_seen": "2016-12-27T15:07:53Z",
"is_whitelisted": "false",
"imports_winsock": "false",
"meta_description": "Angry IP scanner",
"meta_companyName": "Angryziber Software",
"risk_level": 1000,
"has_autorun_occurrences": "false",
"meta_original_filename": "ipscan.exe",
"sha256": "40DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605",
"has_program_files_folder_occurrences": "false",
"common_path": "c:\\\\documented\\\\___soft\\\\ip_tools\\\\ipscan\\\\ipscan.exe",
"certificate_thumbprint": "0000000000000000000000000000000000000000",
"certificate_name": "",
"certificate_root_name": "",
"alert_severity_level": "Critical",
"ssdeep": "",
"md5": "6C1BCF0B1297689C8C4C12CC70996A75",
"sha1": "",
"has_hidden_window_occurrences": "true",
"alert_product_name": "Angry IP Scanner - Cynet.Scanner.Angry IP Scanner",
"imports_wininet": "false",
"domains": [],
"last_seen": "2018-02-28T11:26:32Z",
"imports_ntdll": "false",
"av_detections": 22
}
在主机中终止哈希
说明
终止进程文件修复操作。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
主机中的隔离哈希
说明
用于修复被隔离文件的操作。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": 13590,
"Entity": "0DC213FE4551740E12CAC575A9880753A9DACD510533F31BD7F635E743A7605"
}
]
修复状态
说明
根据补救 ID 获取补救状态。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 补救措施 ID | 字符串 | 不适用 | 例如:312。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"status": 24,
"statusInfo": "File does not exist",
"id": 13592
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。