DeepSight

통합 버전: 7.0

Google Security Operations에서 DeepSight 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

설명

연결을 테스트합니다.

매개변수

이 작업은 모든 항목에서 실행됩니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null True/False null:False
JSON 결과
N/A

도메인 스캔

설명

도메인을 스캔합니다.

매개변수

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • 사용자
  • 호스트 이름
  • URL

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
도메인 JSON 결과에 존재하는 경우에 반환
허용됨 JSON 결과에 존재하는 경우에 반환
schemaVersion JSON 결과에 존재하는 경우에 반환
whois JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null 해당 사항 없음 해당 사항 없음
JSON 결과
[{
   "EntityResult":
     {
      "domain": "example.com",
      "whitelisted": true,
      "schemaVersion": 2,
      "whois":
        {
          "city": "Reno",
          "updated": "2014-04-30T00: 00: 00Z",
          "created": "1994-11-01T00: 00: 00Z",
          "nameServers": ["NS1.P31.DYNECT.NET",
                          "NS2.P31.DYNECT.NET",
                          "NS3.P31.DYNECT.NET"],
          "country": "Us",
          "expires": "2022-10-31T00: 00: 00Z",
          "person": "Hostmaster,AmazonLegalDept.",
          "registrar": "MarkmonitorInc.",
          "postalCode": "89507",
        "organization": "AmazonTechnologies,Inc.",
          "email":"john_doe@example.com"
         }
      },
  "Entity": "example.com"
}]

이메일 스캔

설명

이메일을 스캔합니다.

매개변수

해당 사항 없음

실행

이 작업은 사용자 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
날짜 JSON 결과에 존재하는 경우에 반환
제목 JSON 결과에 존재하는 경우에 반환
uri JSON 결과에 존재하는 경우에 반환
id JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null 해당 사항 없음 해당 사항 없음
JSON 결과
[{
   "EntityResult":
      {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
      },
   "Entity": "john_doe@example.com"
}]

파일 이름 스캔

설명

이벤트에 참여한 이름의 스캔입니다.

매개변수

해당 사항 없음

실행

이 작업은 파일 이름 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
날짜 JSON 결과에 존재하는 경우에 반환
제목 JSON 결과에 존재하는 경우에 반환
uri JSON 결과에 존재하는 경우에 반환
id JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null True/False null:False
JSON 결과
[{
   "EntityResult":
     {
       "date": "2015-04-27T01:10Z",
       "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
       "uri": "/v1/mati/reports/300156",
       "id": 300156
     },
   "Entity": "BadGuy1"
}]

스캔 해시

설명

해시를 스캔합니다.

매개변수

해당 사항 없음

실행

이 작업은 파일 이름 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
matiReports JSON 결과에 존재하는 경우에 반환
무엇이며 JSON 결과에 존재하는 경우에 반환
detection_name JSON 결과에 존재하는 경우에 반환
활동 JSON 결과에 존재하는 경우에 반환
schemaVersion JSON 결과에 존재하는 경우에 반환
sha256 JSON 결과에 존재하는 경우에 반환
이벤트 JSON 결과에 존재하는 경우에 반환
md5 JSON 결과에 존재하는 경우에 반환
평판 JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null 해당 사항 없음 해당 사항 없음
JSON 결과
[{
   "EntityResult":
      {
        "matiReports":
           [{
              "date": "2015-04-27T01:10:47Z",
              "title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
              "uri": "/v1/mati/reports/300156",
              "id": 300156
            }],
        "intelligence":
      {
        "countries": ["kor", "Gtm","are"],
        "paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
        "fileNames": ["SEARCHLIKE.EXE"],
        "parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
        "filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
                          "sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
                          "fileName": "B_SEARCHLIKEEX.EXE"
                         }]
        },
   "detection_name": "Trojan.Mdropper",
   "Activity":
       {
         "dns": [{"type": "A",
                  "target": "acroipm2.adobe.com"}],
         "urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
        },
   "schemaVersion": 3,
   "sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
   "events":
       [{
          "pid": 2528,
          "type": "PROCESS:CURRENT",
          "target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
          "severity": 1,
          "details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
        }],
    "md5": "a77e89bf60e931477f5858a004fb5e0a",
    "reputation": "Malicious"
     },
  "Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]

IP 검색

설명

IP 주소를 스캔합니다.

매개변수

해당 사항 없음

실행

이 작업은 IP 주소 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
위치정보 JSON 결과에 존재하는 경우에 반환
네트워크 JSON 결과에 존재하는 경우에 반환
targetIndustries JSON 결과에 존재하는 경우에 반환
ip JSON 결과에 존재하는 경우에 반환
허용됨 JSON 결과에 존재하는 경우에 반환
행동 JSON 결과에 존재하는 경우에 반환
targetCountries JSON 결과에 존재하는 경우에 반환
lastSeen JSON 결과에 존재하는 경우에 반환
urls JSON 결과에 존재하는 경우에 반환
도메인 JSON 결과에 존재하는 경우에 반환
조직 JSON 결과에 존재하는 경우에 반환
schemaVersion JSON 결과에 존재하는 경우에 반환
firstSeen JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null 해당 사항 없음 해당 사항 없음
JSON 결과
[{
    "EntityResult":
      {
        "geolocation":
            {
              "latitude": 39.91176055,
              "city": "Beijing",
              "longitude": 116.3792325,
              "country": "China"
             },
        "Network":
            {
              "carrier": "ChinaUnicomBeijingProvinceNetwork",
              "asn": 4808,
              "lineSpeed": "High",
              "ipRouting": "Fixed"
            },
        "targetIndustries":
            [{
              "name": "Utilities",
              "naics": 221
             },{
              "name": "Telecommunications",
              "naics": 517
            }],
        "ip": "1.1.1.1",
        "whitelisted": false,
        "behaviours":
            [{
               "behaviour": "Attacks",
               "type": "WWWAttacks",
               "description": "FakeBrowserUpdate"
            }],
        "targetCountries": ["fra", "tur", "twn"],
        "lastSeen": "2019-01-20T00: 00: 00Z",
        "urls":
            [{
              "url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
              "uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
            }],
        "domains":
            [{
              "domain": "iremedypro.com",
              "uri": "/v1/domains/iremedypro.com"
            }],
        "Organization":
             {
              "isic": "J6110",
              "type": "InternetServiceProvider",
              "name": "ChinaUnicomBeijingProvinceNetwork",
               "naics": 517110
               },
       "schemaVersion": 2,
       "firstSeen": "2016-01-01T00: 00: 00Z"
      },
   "Entity": "1.1.1.1"
 }]

URL 스캔

설명

URL을 스캔합니다.

매개변수

해당 사항 없음

실행

이 작업은 URL 항목에서 실행됩니다.

작업 결과

항목 보강
보강 필드 이름 로직 - 적용 시기
url JSON 결과에 존재하는 경우에 반환
호스트 JSON 결과에 존재하는 경우에 반환
허용됨 JSON 결과에 존재하는 경우에 반환
schemaVersion JSON 결과에 존재하는 경우에 반환
whois JSON 결과에 존재하는 경우에 반환
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
null 해당 사항 없음 해당 사항 없음
JSON 결과
[{
    "EntityResult":
       {
         "url": "https: //www.facebook.com",
         "host":
            {
              "domain": "facebook.com",
              "uri": "/v1/domains/facebook.com"
            },
         "whitelisted": true,
         "schemaVersion": 2,
         "whois":
             {
               "city": "MenloPark",
               "updated": "2015-08-25T00: 00: 00Z",
               "created": "1997-03-29T00: 00: 00Z",
               "nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
               "country": "Us",
               "expires": "2020-03-30T00: 00: 00Z",
               "person": "DomainAdministrator",
               "registrar": "MarkmonitorInc.",
               "postalCode": "94025",
               "organization": "Facebook,Inc.",
               "email": "john_doe@example.com"
              }
        },
   "Entity": "https: //www.facebook.com"
 }]

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.