DeepSight
Version de l'intégration : 7.0
Configurer l'intégration de DeepSight dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ping
Description
Testez la connectivité.
Paramètres
Cette action s'exécute sur toutes les entités.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | Vrai/Faux | null:False |
Résultat JSON
N/A
Analyser le domaine
Description
Analysez un domaine.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Utilisateur
- Nom d'hôte
- URL
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand les utiliser ? |
---|---|
domaine | Renvoie la valeur si elle existe dans le résultat JSON. |
sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON. |
schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
whois | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
Analyser un e-mail
Description
analyser un e-mail ;
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand les utiliser ? |
---|---|
date | Renvoie la valeur si elle existe dans le résultat JSON. |
titre | Renvoie la valeur si elle existe dans le résultat JSON. |
uri | Renvoie la valeur si elle existe dans le résultat JSON. |
id | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Nom du fichier analysé
Description
Scannez le nom de la personne impliquée dans un événement.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom de fichier".
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand les utiliser ? |
---|---|
date | Renvoie la valeur si elle existe dans le résultat JSON. |
titre | Renvoie la valeur si elle existe dans le résultat JSON. |
uri | Renvoie la valeur si elle existe dans le résultat JSON. |
id | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | Vrai/Faux | null:False |
Résultat JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Hachage de l'analyse
Description
Scanner un hachage.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom de fichier".
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
---|---|
matiReports | Renvoie la valeur si elle existe dans le résultat JSON. |
artificielle ?" | Renvoie la valeur si elle existe dans le résultat JSON. |
detection_name | Renvoie la valeur si elle existe dans le résultat JSON. |
Activité | Renvoie la valeur si elle existe dans le résultat JSON. |
schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
en direct | Renvoie la valeur si elle existe dans le résultat JSON. |
md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
réputation | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
Analyser l'adresse IP
Description
Analysez une adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand les utiliser ? |
---|---|
géolocalisation | Renvoie la valeur si elle existe dans le résultat JSON. |
Réseau | Renvoie la valeur si elle existe dans le résultat JSON. |
targetIndustries | Renvoie la valeur si elle existe dans le résultat JSON. |
ip | Renvoie la valeur si elle existe dans le résultat JSON. |
sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON. |
comportements | Renvoie la valeur si elle existe dans le résultat JSON. |
targetCountries | Renvoie la valeur si elle existe dans le résultat JSON. |
lastSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
urls | Renvoie la valeur si elle existe dans le résultat JSON. |
domaines | Renvoie la valeur si elle existe dans le résultat JSON. |
Organisation | Renvoie la valeur si elle existe dans le résultat JSON. |
schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
firstSeen | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
Analyser l'URL
Description
Analysez une URL.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Enrichissement d'entités
Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
---|---|
url | Renvoie la valeur si elle existe dans le résultat JSON. |
hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON. |
schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
whois | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.