DeepSight

Version de l'intégration : 7.0

Configurer l'intégration de DeepSight dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Ping

Description

Testez la connectivité.

Paramètres

Cette action s'exécute sur toutes les entités.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null Vrai/Faux null:False
Résultat JSON
N/A

Analyser le domaine

Description

Analysez un domaine.

Paramètres

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Utilisateur
  • Nom d'hôte
  • URL

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
domaine Renvoie la valeur si elle existe dans le résultat JSON.
sur liste blanche Renvoie la valeur si elle existe dans le résultat JSON.
schemaVersion Renvoie la valeur si elle existe dans le résultat JSON.
whois Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null N/A N/A
Résultat JSON
[{
   "EntityResult":
     {
      "domain": "example.com",
      "whitelisted": true,
      "schemaVersion": 2,
      "whois":
        {
          "city": "Reno",
          "updated": "2014-04-30T00: 00: 00Z",
          "created": "1994-11-01T00: 00: 00Z",
          "nameServers": ["NS1.P31.DYNECT.NET",
                          "NS2.P31.DYNECT.NET",
                          "NS3.P31.DYNECT.NET"],
          "country": "Us",
          "expires": "2022-10-31T00: 00: 00Z",
          "person": "Hostmaster,AmazonLegalDept.",
          "registrar": "MarkmonitorInc.",
          "postalCode": "89507",
        "organization": "AmazonTechnologies,Inc.",
          "email":"john_doe@example.com"
         }
      },
  "Entity": "example.com"
}]

Analyser un e-mail

Description

analyser un e-mail ;

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité "Utilisateur".

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
date Renvoie la valeur si elle existe dans le résultat JSON.
titre Renvoie la valeur si elle existe dans le résultat JSON.
uri Renvoie la valeur si elle existe dans le résultat JSON.
id Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null N/A N/A
Résultat JSON
[{
   "EntityResult":
      {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
      },
   "Entity": "john_doe@example.com"
}]

Nom du fichier analysé

Description

Scannez le nom de la personne impliquée dans un événement.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité "Nom de fichier".

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
date Renvoie la valeur si elle existe dans le résultat JSON.
titre Renvoie la valeur si elle existe dans le résultat JSON.
uri Renvoie la valeur si elle existe dans le résultat JSON.
id Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null Vrai/Faux null:False
Résultat JSON
[{
   "EntityResult":
     {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
     },
   "Entity": "BadGuy1"
}]

Hachage de l'analyse

Description

Scanner un hachage.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité "Nom de fichier".

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
matiReports Renvoie la valeur si elle existe dans le résultat JSON.
artificielle ?" Renvoie la valeur si elle existe dans le résultat JSON.
detection_name Renvoie la valeur si elle existe dans le résultat JSON.
Activité Renvoie la valeur si elle existe dans le résultat JSON.
schemaVersion Renvoie la valeur si elle existe dans le résultat JSON.
sha256 Renvoie la valeur si elle existe dans le résultat JSON.
en direct Renvoie la valeur si elle existe dans le résultat JSON.
md5 Renvoie la valeur si elle existe dans le résultat JSON.
réputation Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null N/A N/A
Résultat JSON
[{
   "EntityResult":
      {
        "matiReports":
           [{
              "date": "2015-04-27T01:10:47Z",
              "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
              "uri": "/v1/mati/reports/300156",
              "id": 300156
            }],
        "intelligence":
      {
        "countries": ["kor", "Gtm","are"],
        "paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
        "fileNames": ["SEARCHLIKE.EXE"],
        "parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
        "filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
                          "sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
                          "fileName": "B_SEARCHLIKEEX.EXE"
                         }]
        },
   "detection_name": "Trojan.Mdropper",
   "Activity":
       {
         "dns": [{"type": "A",
                  "target": "acroipm2.adobe.com"}],
         "urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
        },
   "schemaVersion": 3,
   "sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
   "events":
       [{
          "pid": 2528,
          "type": "PROCESS:CURRENT",
          "target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
          "severity": 1,
          "details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
        }],
    "md5": "a77e89bf60e931477f5858a004fb5e0a",
    "reputation": "Malicious"
     },
  "Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]

Analyser l'adresse IP

Description

Analysez une adresse IP.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
géolocalisation Renvoie la valeur si elle existe dans le résultat JSON.
Réseau Renvoie la valeur si elle existe dans le résultat JSON.
targetIndustries Renvoie la valeur si elle existe dans le résultat JSON.
ip Renvoie la valeur si elle existe dans le résultat JSON.
sur liste blanche Renvoie la valeur si elle existe dans le résultat JSON.
comportements Renvoie la valeur si elle existe dans le résultat JSON.
targetCountries Renvoie la valeur si elle existe dans le résultat JSON.
lastSeen Renvoie la valeur si elle existe dans le résultat JSON.
urls Renvoie la valeur si elle existe dans le résultat JSON.
domaines Renvoie la valeur si elle existe dans le résultat JSON.
Organisation Renvoie la valeur si elle existe dans le résultat JSON.
schemaVersion Renvoie la valeur si elle existe dans le résultat JSON.
firstSeen Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null N/A N/A
Résultat JSON
[{
    "EntityResult":
      {
        "geolocation":
            {
              "latitude": 39.91176055,
              "city": "Beijing",
              "longitude": 116.3792325,
              "country": "China"
             },
        "Network":
            {
              "carrier": "ChinaUnicomBeijingProvinceNetwork",
              "asn": 4808,
              "lineSpeed": "High",
              "ipRouting": "Fixed"
            },
        "targetIndustries":
            [{
              "name": "Utilities",
              "naics": 221
             },{
              "name": "Telecommunications",
              "naics": 517
            }],
        "ip": "1.1.1.1",
        "whitelisted": false,
        "behaviours":
            [{
               "behaviour": "Attacks",
               "type": "WWWAttacks",
               "description": "FakeBrowserUpdate"
            }],
        "targetCountries": ["fra", "tur", "twn"],
        "lastSeen": "2019-01-20T00: 00: 00Z",
        "urls":
            [{
              "url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
              "uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
            }],
        "domains":
            [{
              "domain": "iremedypro.com",
              "uri": "/v1/domains/iremedypro.com"
            }],
        "Organization":
             {
              "isic": "J6110",
              "type": "InternetServiceProvider",
              "name": "ChinaUnicomBeijingProvinceNetwork",
               "naics": 517110
               },
       "schemaVersion": 2,
       "firstSeen": "2016-01-01T00: 00: 00Z"
      },
   "Entity": "1.1.1.1"
 }]

Analyser l'URL

Description

Analysez une URL.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
url Renvoie la valeur si elle existe dans le résultat JSON.
hôte Renvoie la valeur si elle existe dans le résultat JSON.
sur liste blanche Renvoie la valeur si elle existe dans le résultat JSON.
schemaVersion Renvoie la valeur si elle existe dans le résultat JSON.
whois Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
null N/A N/A
Résultat JSON
[{
    "EntityResult":
       {
         "url": "https: //www.facebook.com",
         "host":
            {
              "domain": "facebook.com",
              "uri": "/v1/domains/facebook.com"
            },
         "whitelisted": true,
         "schemaVersion": 2,
         "whois":
             {
               "city": "MenloPark",
               "updated": "2015-08-25T00: 00: 00Z",
               "created": "1997-03-29T00: 00: 00Z",
               "nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
               "country": "Us",
               "expires": "2020-03-30T00: 00: 00Z",
               "person": "DomainAdministrator",
               "registrar": "MarkmonitorInc.",
               "postalCode": "94025",
               "organization": "Facebook,Inc.",
               "email": "john_doe@example.com"
              }
        },
   "Entity": "https: //www.facebook.com"
 }]

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.