Questa pagina è stata tradotta dall'API Cloud Translation.

DeepSight

Versione integrazione: 7.0

Configurare l'integrazione di DeepSight in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Azioni

Dindin

Descrizione

Testa la connettività.

Parametri

Questa azione viene eseguita su tutte le entità.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	Vero/Falso	null:False

Risultato JSON

N/A

Scansiona dominio

Descrizione

Scansiona un dominio.

Parametri

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Utente
Nome host
URL

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
dominio	Restituisce se esiste nel risultato JSON
autorizzati	Restituisce se esiste nel risultato JSON
schemaVersion	Restituisce se esiste nel risultato JSON
whois	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	N/D	N/D

Risultato JSON

[{
   "EntityResult":
     {
      "domain": "example.com",
      "whitelisted": true,
      "schemaVersion": 2,
      "whois":
        {
          "city": "Reno",
          "updated": "2014-04-30T00: 00: 00Z",
          "created": "1994-11-01T00: 00: 00Z",
          "nameServers": ["NS1.P31.DYNECT.NET",
                          "NS2.P31.DYNECT.NET",
                          "NS3.P31.DYNECT.NET"],
          "country": "Us",
          "expires": "2022-10-31T00: 00: 00Z",
          "person": "Hostmaster,AmazonLegalDept.",
          "registrar": "MarkmonitorInc.",
          "postalCode": "89507",
        "organization": "AmazonTechnologies,Inc.",
          "email":"john_doe@example.com"
         }
      },
  "Entity": "example.com"
}]

Scansiona email

Descrizione

Scansionare un'email.

Parametri

N/D

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
data	Restituisce se esiste nel risultato JSON
titolo	Restituisce se esiste nel risultato JSON
uri	Restituisce se esiste nel risultato JSON
id	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	N/D	N/D

Risultato JSON

[{
   "EntityResult":
      {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
      },
   "Entity": "john_doe@example.com"
}]

Nome file scansione

Descrizione

Scansiona il nome della persona coinvolta in un evento.

Parametri

N/D

Run On

Questa azione viene eseguita sull'entità Nome file.

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
data	Restituisce se esiste nel risultato JSON
titolo	Restituisce se esiste nel risultato JSON
uri	Restituisce se esiste nel risultato JSON
id	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	Vero/Falso	null:False

Risultato JSON

[{
   "EntityResult":
     {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
     },
   "Entity": "BadGuy1"
}]

Scansione hash

Descrizione

Scansiona un hash.

Parametri

N/D

Run On

Questa azione viene eseguita sull'entità Nome file.

Risultati dell'azione

Arricchimento delle entità

Nome del campo di arricchimento	Logica: quando applicare
matiReports	Restituisce se esiste nel risultato JSON
artificiale	Restituisce se esiste nel risultato JSON
detection_name	Restituisce se esiste nel risultato JSON
Attività	Restituisce se esiste nel risultato JSON
schemaVersion	Restituisce se esiste nel risultato JSON
sha256	Restituisce se esiste nel risultato JSON
eventi	Restituisce se esiste nel risultato JSON
md5	Restituisce se esiste nel risultato JSON
reputazione	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	N/D	N/D

Risultato JSON

[{
   "EntityResult":
      {
        "matiReports":
           [{
              "date": "2015-04-27T01:10:47Z",
              "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
              "uri": "/v1/mati/reports/300156",
              "id": 300156
            }],
        "intelligence":
      {
        "countries": ["kor", "Gtm","are"],
        "paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
        "fileNames": ["SEARCHLIKE.EXE"],
        "parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
        "filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
                          "sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
                          "fileName": "B_SEARCHLIKEEX.EXE"
                         }]
        },
   "detection_name": "Trojan.Mdropper",
   "Activity":
       {
         "dns": [{"type": "A",
                  "target": "acroipm2.adobe.com"}],
         "urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
        },
   "schemaVersion": 3,
   "sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
   "events":
       [{
          "pid": 2528,
          "type": "PROCESS:CURRENT",
          "target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
          "severity": 1,
          "details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
        }],
    "md5": "a77e89bf60e931477f5858a004fb5e0a",
    "reputation": "Malicious"
     },
  "Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]

Scansiona IP

Descrizione

Scansiona un indirizzo IP.

Parametri

N/D

Run On

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
localizzazione	Restituisce se esiste nel risultato JSON
Rete	Restituisce se esiste nel risultato JSON
targetIndustries	Restituisce se esiste nel risultato JSON
ip	Restituisce se esiste nel risultato JSON
autorizzati	Restituisce se esiste nel risultato JSON
comportamenti	Restituisce se esiste nel risultato JSON
targetCountries	Restituisce se esiste nel risultato JSON
lastSeen	Restituisce se esiste nel risultato JSON
urls	Restituisce se esiste nel risultato JSON
domini	Restituisce se esiste nel risultato JSON
Organizzazione	Restituisce se esiste nel risultato JSON
schemaVersion	Restituisce se esiste nel risultato JSON
firstSeen	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	N/D	N/D

Risultato JSON

[{
    "EntityResult":
      {
        "geolocation":
            {
              "latitude": 39.91176055,
              "city": "Beijing",
              "longitude": 116.3792325,
              "country": "China"
             },
        "Network":
            {
              "carrier": "ChinaUnicomBeijingProvinceNetwork",
              "asn": 4808,
              "lineSpeed": "High",
              "ipRouting": "Fixed"
            },
        "targetIndustries":
            [{
              "name": "Utilities",
              "naics": 221
             },{
              "name": "Telecommunications",
              "naics": 517
            }],
        "ip": "1.1.1.1",
        "whitelisted": false,
        "behaviours":
            [{
               "behaviour": "Attacks",
               "type": "WWWAttacks",
               "description": "FakeBrowserUpdate"
            }],
        "targetCountries": ["fra", "tur", "twn"],
        "lastSeen": "2019-01-20T00: 00: 00Z",
        "urls":
            [{
              "url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
              "uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
            }],
        "domains":
            [{
              "domain": "iremedypro.com",
              "uri": "/v1/domains/iremedypro.com"
            }],
        "Organization":
             {
              "isic": "J6110",
              "type": "InternetServiceProvider",
              "name": "ChinaUnicomBeijingProvinceNetwork",
               "naics": 517110
               },
       "schemaVersion": 2,
       "firstSeen": "2016-01-01T00: 00: 00Z"
      },
   "Entity": "1.1.1.1"
 }]

Scansione URL

Descrizione

Scansiona un URL.

Parametri

N/D

Run On

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Arricchimento delle entità

Nome del campo di arricchimento	Logica: quando applicare
url	Restituisce se esiste nel risultato JSON
host	Restituisce se esiste nel risultato JSON
autorizzati	Restituisce se esiste nel risultato JSON
schemaVersion	Restituisce se esiste nel risultato JSON
whois	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
null	N/D	N/D

Risultato JSON

[{
    "EntityResult":
       {
         "url": "https: //www.facebook.com",
         "host":
            {
              "domain": "facebook.com",
              "uri": "/v1/domains/facebook.com"
            },
         "whitelisted": true,
         "schemaVersion": 2,
         "whois":
             {
               "city": "MenloPark",
               "updated": "2015-08-25T00: 00: 00Z",
               "created": "1997-03-29T00: 00: 00Z",
               "nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
               "country": "Us",
               "expires": "2020-03-30T00: 00: 00Z",
               "person": "DomainAdministrator",
               "registrar": "MarkmonitorInc.",
               "postalCode": "94025",
               "organization": "Facebook,Inc.",
               "email": "john_doe@example.com"
              }
        },
   "Entity": "https: //www.facebook.com"
 }]

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.