DeepSight
En este documento, se describe cómo integrar DeepSight en Google Security Operations.
Configura la integración de DeepSight en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Ping
Descripción
Prueba la conectividad.
Parámetros
Esta acción se ejecuta en todas las entidades.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | Verdadero o falso | null:False |
Resultado de JSON
N/A
Analizar dominio
Descripción
Escanear un dominio
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Usuario
- Nombre de host
- URL
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| dominio | Devuelve si existe en el resultado JSON |
| Incluido en la lista blanca | Devuelve si existe en el resultado JSON |
| schemaVersion | Devuelve si existe en el resultado JSON |
| whois | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
Analizar correo electrónico
Descripción
Analizar un correo electrónico
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| fecha | Devuelve si existe en el resultado JSON |
| título | Devuelve si existe en el resultado JSON |
| uri | Devuelve si existe en el resultado JSON |
| id | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Nombre del archivo analizado
Descripción
Analiza el nombre del objeto involucrado en un evento.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filename.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| fecha | Devuelve si existe en el resultado JSON |
| título | Devuelve si existe en el resultado JSON |
| uri | Devuelve si existe en el resultado JSON |
| id | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | Verdadero o falso | null:False |
Resultado de JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Hash del análisis
Descripción
Analiza un hash.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filename.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| matiReports | Devuelve si existe en el resultado JSON |
| artificial | Devuelve si existe en el resultado JSON |
| detection_name | Devuelve si existe en el resultado JSON |
| Actividad | Devuelve si existe en el resultado JSON |
| schemaVersion | Devuelve si existe en el resultado JSON |
| sha256 | Devuelve si existe en el resultado JSON |
| eventos | Devuelve si existe en el resultado JSON |
| md5 | Devuelve si existe en el resultado JSON |
| reputación | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
IP de análisis
Descripción
Analiza una dirección IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| ubicación geográfica | Devuelve si existe en el resultado JSON |
| Red | Devuelve si existe en el resultado JSON |
| targetIndustries | Devuelve si existe en el resultado JSON |
| ip | Devuelve si existe en el resultado JSON |
| Incluido en la lista blanca | Devuelve si existe en el resultado JSON |
| comportamientos | Devuelve si existe en el resultado JSON |
| targetCountries | Devuelve si existe en el resultado JSON |
| lastSeen | Devuelve si existe en el resultado JSON |
| URLs | Devuelve si existe en el resultado JSON |
| dominios | Devuelve si existe en el resultado JSON |
| Organización | Devuelve si existe en el resultado JSON |
| schemaVersion | Devuelve si existe en el resultado JSON |
| firstSeen | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
Analizar URL
Descripción
Analiza una URL.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| url | Devuelve si existe en el resultado JSON |
| host | Devuelve si existe en el resultado JSON |
| Incluido en la lista blanca | Devuelve si existe en el resultado JSON |
| schemaVersion | Devuelve si existe en el resultado JSON |
| whois | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| null | N/A | N/A |
Resultado de JSON
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.