DeepSight
Versão da integração: 7.0
Configure a integração do DeepSight no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
Esta ação é executada em todas as entidades.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | Verdadeiro/Falso | null:False |
Resultado JSON
N/A
Analisar domínio
Descrição
Analise um domínio.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Utilizador
- Nome do anfitrião
- URL
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| domínio | Devolve se existir no resultado JSON |
| na lista de autorizações | Devolve se existir no resultado JSON |
| schemaVersion | Devolve se existir no resultado JSON |
| whois | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
Analisar email
Descrição
Analise um email.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| data | Devolve se existir no resultado JSON |
| título | Devolve se existir no resultado JSON |
| uri | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
Nome do ficheiro de análise
Descrição
Analise o nome do artigo envolvido num evento.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filename.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| data | Devolve se existir no resultado JSON |
| título | Devolve se existir no resultado JSON |
| uri | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | Verdadeiro/Falso | null:False |
Resultado JSON
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
Hash da análise
Descrição
Analise um hash.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filename.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| matiReports | Devolve se existir no resultado JSON |
| inteligência | Devolve se existir no resultado JSON |
| detection_name | Devolve se existir no resultado JSON |
| Atividade | Devolve se existir no resultado JSON |
| schemaVersion | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| eventos | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| reputação | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
Analisar IP
Descrição
Analise um endereço IP.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| geolocalização | Devolve se existir no resultado JSON |
| Rede | Devolve se existir no resultado JSON |
| targetIndustries | Devolve se existir no resultado JSON |
| ip | Devolve se existir no resultado JSON |
| na lista de autorizações | Devolve se existir no resultado JSON |
| comportamentos | Devolve se existir no resultado JSON |
| targetCountries | Devolve se existir no resultado JSON |
| lastSeen | Devolve se existir no resultado JSON |
| urls | Devolve se existir no resultado JSON |
| domínios | Devolve se existir no resultado JSON |
| Organização | Devolve se existir no resultado JSON |
| schemaVersion | Devolve se existir no resultado JSON |
| firstSeen | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
Analisar URL
Descrição
Analise um URL.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| url | Devolve se existir no resultado JSON |
| anfitrião | Devolve se existir no resultado JSON |
| na lista de autorizações | Devolve se existir no resultado JSON |
| schemaVersion | Devolve se existir no resultado JSON |
| whois | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| nulo | N/A | N/A |
Resultado JSON
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.