DeepSight

Versi integrasi: 7.0

Mengonfigurasi integrasi DeepSight di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Tindakan

Ping

Deskripsi

Uji Konektivitas.

Parameter

Tindakan ini dijalankan di semua entity.

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Pengayaan Entity

T/A

Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null Benar/Salah null:False
Hasil JSON
N/A

Pindai Domain

Deskripsi

Memindai domain.

Parameter

T/A

Run On

Tindakan ini berjalan di entity berikut:

  • Pengguna
  • Hostname
  • URL

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
domain Menampilkan apakah ada di hasil JSON
diizinkan Menampilkan apakah ada di hasil JSON
schemaVersion Menampilkan apakah ada di hasil JSON
whois Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null T/A T/A
Hasil JSON
[{
   "EntityResult":
     {
      "domain": "example.com",
      "whitelisted": true,
      "schemaVersion": 2,
      "whois":
        {
          "city": "Reno",
          "updated": "2014-04-30T00: 00: 00Z",
          "created": "1994-11-01T00: 00: 00Z",
          "nameServers": ["NS1.P31.DYNECT.NET",
                          "NS2.P31.DYNECT.NET",
                          "NS3.P31.DYNECT.NET"],
          "country": "Us",
          "expires": "2022-10-31T00: 00: 00Z",
          "person": "Hostmaster,AmazonLegalDept.",
          "registrar": "MarkmonitorInc.",
          "postalCode": "89507",
        "organization": "AmazonTechnologies,Inc.",
          "email":"john_doe@example.com"
         }
      },
  "Entity": "example.com"
}]

Pindai Email

Deskripsi

Memindai email.

Parameter

T/A

Run On

Tindakan ini berjalan di entity Pengguna.

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
tanggal Menampilkan apakah ada di hasil JSON
title Menampilkan apakah ada di hasil JSON
uri Menampilkan apakah ada di hasil JSON
id Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null T/A T/A
Hasil JSON
[{
   "EntityResult":
      {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
      },
   "Entity": "john_doe@example.com"
}]

Nama File Pindai

Deskripsi

Memindai nama yang terlibat dalam suatu peristiwa.

Parameter

T/A

Run On

Tindakan ini dijalankan pada entity Nama File.

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
tanggal Menampilkan apakah ada di hasil JSON
title Menampilkan apakah ada di hasil JSON
uri Menampilkan apakah ada di hasil JSON
id Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null Benar/Salah null:False
Hasil JSON
[{
   "EntityResult":
     {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
     },
   "Entity": "BadGuy1"
}]

Pindai Hash

Deskripsi

Pindai hash.

Parameter

T/A

Run On

Tindakan ini dijalankan pada entity Nama File.

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus menerapkan
matiReports Menampilkan apakah ada di hasil JSON
buatan Menampilkan apakah ada di hasil JSON
detection_name Menampilkan apakah ada di hasil JSON
Aktivitas Menampilkan apakah ada di hasil JSON
schemaVersion Menampilkan apakah ada di hasil JSON
sha256 Menampilkan apakah ada di hasil JSON
acara Menampilkan apakah ada di hasil JSON
md5 Menampilkan apakah ada di hasil JSON
reputasi Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null T/A T/A
Hasil JSON
[{
   "EntityResult":
      {
        "matiReports":
           [{
              "date": "2015-04-27T01:10:47Z",
              "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
              "uri": "/v1/mati/reports/300156",
              "id": 300156
            }],
        "intelligence":
      {
        "countries": ["kor", "Gtm","are"],
        "paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
        "fileNames": ["SEARCHLIKE.EXE"],
        "parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
        "filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
                          "sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
                          "fileName": "B_SEARCHLIKEEX.EXE"
                         }]
        },
   "detection_name": "Trojan.Mdropper",
   "Activity":
       {
         "dns": [{"type": "A",
                  "target": "acroipm2.adobe.com"}],
         "urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
        },
   "schemaVersion": 3,
   "sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
   "events":
       [{
          "pid": 2528,
          "type": "PROCESS:CURRENT",
          "target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
          "severity": 1,
          "details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
        }],
    "md5": "a77e89bf60e931477f5858a004fb5e0a",
    "reputation": "Malicious"
     },
  "Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]

Memindai IP

Deskripsi

Memindai alamat IP.

Parameter

T/A

Run On

Tindakan ini dijalankan pada entity Alamat IP.

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
geolocation Menampilkan apakah ada di hasil JSON
Jaringan Menampilkan apakah ada di hasil JSON
targetIndustries Menampilkan apakah ada di hasil JSON
ip Menampilkan apakah ada di hasil JSON
diizinkan Menampilkan apakah ada di hasil JSON
perilaku Menampilkan apakah ada di hasil JSON
targetCountries Menampilkan apakah ada di hasil JSON
lastSeen Menampilkan apakah ada di hasil JSON
URL Menampilkan apakah ada di hasil JSON
domain Menampilkan apakah ada di hasil JSON
Organisasi Menampilkan apakah ada di hasil JSON
schemaVersion Menampilkan apakah ada di hasil JSON
firstSeen Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null T/A T/A
Hasil JSON
[{
    "EntityResult":
      {
        "geolocation":
            {
              "latitude": 39.91176055,
              "city": "Beijing",
              "longitude": 116.3792325,
              "country": "China"
             },
        "Network":
            {
              "carrier": "ChinaUnicomBeijingProvinceNetwork",
              "asn": 4808,
              "lineSpeed": "High",
              "ipRouting": "Fixed"
            },
        "targetIndustries":
            [{
              "name": "Utilities",
              "naics": 221
             },{
              "name": "Telecommunications",
              "naics": 517
            }],
        "ip": "1.1.1.1",
        "whitelisted": false,
        "behaviours":
            [{
               "behaviour": "Attacks",
               "type": "WWWAttacks",
               "description": "FakeBrowserUpdate"
            }],
        "targetCountries": ["fra", "tur", "twn"],
        "lastSeen": "2019-01-20T00: 00: 00Z",
        "urls":
            [{
              "url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
              "uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
            }],
        "domains":
            [{
              "domain": "iremedypro.com",
              "uri": "/v1/domains/iremedypro.com"
            }],
        "Organization":
             {
              "isic": "J6110",
              "type": "InternetServiceProvider",
              "name": "ChinaUnicomBeijingProvinceNetwork",
               "naics": 517110
               },
       "schemaVersion": 2,
       "firstSeen": "2016-01-01T00: 00: 00Z"
      },
   "Entity": "1.1.1.1"
 }]

Pindai URL

Deskripsi

Pindai URL.

Parameter

T/A

Run On

Tindakan ini dijalankan pada entity URL.

Hasil Tindakan

Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus menerapkan
url Menampilkan apakah ada di hasil JSON
host Menampilkan apakah ada di hasil JSON
diizinkan Menampilkan apakah ada di hasil JSON
schemaVersion Menampilkan apakah ada di hasil JSON
whois Menampilkan apakah ada di hasil JSON
Insight

T/A

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
null T/A T/A
Hasil JSON
[{
    "EntityResult":
       {
         "url": "https: //www.facebook.com",
         "host":
            {
              "domain": "facebook.com",
              "uri": "/v1/domains/facebook.com"
            },
         "whitelisted": true,
         "schemaVersion": 2,
         "whois":
             {
               "city": "MenloPark",
               "updated": "2015-08-25T00: 00: 00Z",
               "created": "1997-03-29T00: 00: 00Z",
               "nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
               "country": "Us",
               "expires": "2020-03-30T00: 00: 00Z",
               "person": "DomainAdministrator",
               "registrar": "MarkmonitorInc.",
               "postalCode": "94025",
               "organization": "Facebook,Inc.",
               "email": "john_doe@example.com"
              }
        },
   "Entity": "https: //www.facebook.com"
 }]

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.