DeepSight
整合版本:7.0
在 Google Security Operations 中設定 DeepSight 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
乒乓
說明
測試連線。
參數
這項操作會對所有實體執行。
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | True/False | null:False |
JSON 結果
N/A
掃描網域
說明
掃描網域。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 使用者
- 主機名稱
- 網址
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| 已加入許可清單 | 如果 JSON 結果中存在該值,則傳回該值 |
| schemaVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| whois | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
掃描電子郵件
說明
掃描電子郵件。
參數
不適用
執行時間
這項動作會對使用者實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 日期 | 如果 JSON 結果中存在該值,則傳回該值 |
| title | 如果 JSON 結果中存在該值,則傳回該值 |
| uri | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
掃描檔案名稱
說明
掃描涉及事件的名稱。
參數
不適用
執行時間
這項動作會對「檔案名稱」實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 日期 | 如果 JSON 結果中存在該值,則傳回該值 |
| title | 如果 JSON 結果中存在該值,則傳回該值 |
| uri | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | True/False | null:False |
JSON 結果
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
掃描雜湊
說明
掃描雜湊值。
參數
不適用
執行時間
這項動作會對「檔案名稱」實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| matiReports | 如果 JSON 結果中存在該值,則傳回該值 |
| 什麼是人工智慧? | 如果 JSON 結果中存在該值,則傳回該值 |
| detection_name | 如果 JSON 結果中存在該值,則傳回該值 |
| 活動 | 如果 JSON 結果中存在該值,則傳回該值 |
| schemaVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| 事件 | 如果 JSON 結果中存在該值,則傳回該值 |
| md5 | 如果 JSON 結果中存在該值,則傳回該值 |
| 信譽 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
掃描 IP
說明
掃描 IP 位址。
參數
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 地理位置 | 如果 JSON 結果中存在該值,則傳回該值 |
| 網路 | 如果 JSON 結果中存在該值,則傳回該值 |
| targetIndustries | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| 已加入許可清單 | 如果 JSON 結果中存在該值,則傳回該值 |
| 行為 | 如果 JSON 結果中存在該值,則傳回該值 |
| targetCountries | 如果 JSON 結果中存在該值,則傳回該值 |
| lastSeen | 如果 JSON 結果中存在該值,則傳回該值 |
| 網址 | 如果 JSON 結果中存在該值,則傳回該值 |
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| 機構 | 如果 JSON 結果中存在該值,則傳回該值 |
| schemaVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| firstSeen | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
掃描網址
說明
掃描網址。
參數
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 網址 | 如果 JSON 結果中存在該值,則傳回該值 |
| 主機 | 如果 JSON 結果中存在該值,則傳回該值 |
| 已加入許可清單 | 如果 JSON 結果中存在該值,則傳回該值 |
| schemaVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| whois | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。