DeepSight
Dokumen ini menjelaskan cara mengintegrasikan DeepSight dengan Google Security Operations.
Mengonfigurasi integrasi DeepSight di Google Security Operations
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Ping
Deskripsi
Uji Konektivitas.
Parameter
Tindakan ini dijalankan di semua entity.
Terus Berjalan
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | Benar/Salah | null:False |
Hasil JSON
N/A
Pindai Domain
Deskripsi
Memindai domain.
Parameter
T/A
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Pengguna
- Hostname
- URL
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| domain | Menampilkan apakah ada dalam hasil JSON |
| diizinkan | Menampilkan apakah ada dalam hasil JSON |
| schemaVersion | Menampilkan apakah ada dalam hasil JSON |
| whois | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
Memindai Email
Deskripsi
Memindai email.
Parameter
T/A
Terus Berjalan
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| tanggal | Menampilkan apakah ada dalam hasil JSON |
| title | Menampilkan apakah ada dalam hasil JSON |
| uri | Menampilkan apakah ada dalam hasil JSON |
| id | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Memindai Nama File
Deskripsi
Memindai nama yang terlibat dalam suatu peristiwa.
Parameter
T/A
Terus Berjalan
Tindakan ini dijalankan pada entity Nama File.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| tanggal | Menampilkan apakah ada dalam hasil JSON |
| title | Menampilkan apakah ada dalam hasil JSON |
| uri | Menampilkan apakah ada dalam hasil JSON |
| id | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | Benar/Salah | null:False |
Hasil JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Pindai Hash
Deskripsi
Pindai hash.
Parameter
T/A
Terus Berjalan
Tindakan ini dijalankan pada entity Nama File.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| matiReports | Menampilkan apakah ada dalam hasil JSON |
| buatan | Menampilkan apakah ada dalam hasil JSON |
| detection_name | Menampilkan apakah ada dalam hasil JSON |
| Aktivitas | Menampilkan apakah ada dalam hasil JSON |
| schemaVersion | Menampilkan apakah ada dalam hasil JSON |
| sha256 | Menampilkan apakah ada dalam hasil JSON |
| acara | Menampilkan apakah ada dalam hasil JSON |
| md5 | Menampilkan apakah ada dalam hasil JSON |
| reputasi | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
Memindai IP
Deskripsi
Memindai alamat IP.
Parameter
T/A
Terus Berjalan
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| geolocation | Menampilkan apakah ada dalam hasil JSON |
| Jaringan | Menampilkan apakah ada dalam hasil JSON |
| targetIndustries | Menampilkan apakah ada dalam hasil JSON |
| ip | Menampilkan apakah ada dalam hasil JSON |
| diizinkan | Menampilkan apakah ada dalam hasil JSON |
| perilaku | Menampilkan apakah ada dalam hasil JSON |
| targetCountries | Menampilkan apakah ada dalam hasil JSON |
| lastSeen | Menampilkan apakah ada dalam hasil JSON |
| URL | Menampilkan apakah ada dalam hasil JSON |
| domain | Menampilkan apakah ada dalam hasil JSON |
| Organisasi | Menampilkan apakah ada dalam hasil JSON |
| schemaVersion | Menampilkan apakah ada dalam hasil JSON |
| firstSeen | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
Pindai URL
Deskripsi
Pindai URL.
Parameter
T/A
Terus Berjalan
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| url | Menampilkan apakah ada dalam hasil JSON |
| host | Menampilkan apakah ada dalam hasil JSON |
| diizinkan | Menampilkan apakah ada dalam hasil JSON |
| schemaVersion | Menampilkan apakah ada dalam hasil JSON |
| whois | Menampilkan apakah ada dalam hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| null | T/A | T/A |
Hasil JSON
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.