DeepSight
Ce document explique comment intégrer DeepSight à Google Security Operations.
Configurer l'intégration DeepSight dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ping
Description
Testez la connectivité.
Paramètres
Cette action s'exécute sur toutes les entités.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | Vrai/Faux | null:False |
Résultat JSON
N/A
Analyser le domaine
Description
Analysez un domaine.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Utilisateur
- Nom d'hôte
- URL
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| domaine | Renvoie la valeur si elle existe dans le résultat JSON |
| sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON |
| schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| whois | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
Analyser les e-mails
Description
analyser un e-mail ;
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| date | Renvoie la valeur si elle existe dans le résultat JSON |
| title | Renvoie la valeur si elle existe dans le résultat JSON |
| uri | Renvoie la valeur si elle existe dans le résultat JSON |
| id | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Nom du fichier analysé
Description
Scannez le nom de l'appareil concerné par un événement.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom de fichier".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| date | Renvoie la valeur si elle existe dans le résultat JSON |
| title | Renvoie la valeur si elle existe dans le résultat JSON |
| uri | Renvoie la valeur si elle existe dans le résultat JSON |
| id | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | Vrai/Faux | null:False |
Résultat JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Hachage de l'analyse
Description
Scanner un hachage.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom de fichier".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| matiReports | Renvoie la valeur si elle existe dans le résultat JSON |
| artificielle ?" | Renvoie la valeur si elle existe dans le résultat JSON |
| detection_name | Renvoie la valeur si elle existe dans le résultat JSON |
| Activité | Renvoie la valeur si elle existe dans le résultat JSON |
| schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON |
| en direct | Renvoie la valeur si elle existe dans le résultat JSON |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON |
| réputation | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
Analyser l'adresse IP
Description
Analysez une adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| géolocalisation | Renvoie la valeur si elle existe dans le résultat JSON |
| Réseau | Renvoie la valeur si elle existe dans le résultat JSON |
| targetIndustries | Renvoie la valeur si elle existe dans le résultat JSON |
| ip | Renvoie la valeur si elle existe dans le résultat JSON |
| sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON |
| comportements | Renvoie la valeur si elle existe dans le résultat JSON |
| targetCountries | Renvoie la valeur si elle existe dans le résultat JSON |
| lastSeen | Renvoie la valeur si elle existe dans le résultat JSON |
| urls | Renvoie la valeur si elle existe dans le résultat JSON |
| domaines | Renvoie la valeur si elle existe dans le résultat JSON |
| Organisation | Renvoie la valeur si elle existe dans le résultat JSON |
| schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| firstSeen | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
Analyser l'URL
Description
Analysez une URL.
Paramètres
N/A
Exécuter sur
Cette action s'applique à l'entité URL.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| url | Renvoie la valeur si elle existe dans le résultat JSON |
| hôte | Renvoie la valeur si elle existe dans le résultat JSON |
| sur liste blanche | Renvoie la valeur si elle existe dans le résultat JSON |
| schemaVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| whois | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.