DeepSight
In diesem Dokument wird beschrieben, wie Sie DeepSight in Google Security Operations einbinden.
DeepSight-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Ping
Beschreibung
Verbindung testen
Parameter
Diese Aktion wird für alle Elemente ausgeführt.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | Wahr/falsch | null:False |
JSON-Ergebnis
N/A
Domain scannen
Beschreibung
Domain scannen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Nutzer
- Hostname
- URL
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| auf die Zulassungsliste gesetzt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| schemaVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| whois | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
E‑Mail scannen
Beschreibung
E‑Mail scannen
Parameter
–
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Datum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Titel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| uri | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Dateiname des Scans
Beschreibung
Scan des Namens des Nutzers, der an einem Ereignis beteiligt war.
Parameter
–
Ausführen am
Diese Aktion wird für die Entität „Dateiname“ ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Datum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Titel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| uri | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | Wahr/falsch | null:False |
JSON-Ergebnis
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Hash scannen
Beschreibung
Hash scannen
Parameter
–
Ausführen am
Diese Aktion wird für die Entität „Dateiname“ ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| matiReports | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Intelligenz | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| detection_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Aktivität | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| schemaVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ansehen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Ruf | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
IP scannen
Beschreibung
IP-Adresse scannen
Parameter
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Standortbestimmung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Netzwerk | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| targetIndustries | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| auf die Zulassungsliste gesetzt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Verhaltensweisen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| targetCountries | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| urls | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Domains | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Organisation | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| schemaVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| firstSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
URL scannen
Beschreibung
URL scannen
Parameter
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| URL | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Host | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| auf die Zulassungsliste gesetzt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| schemaVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| whois | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten