FireEye AX
Integrationsversion: 3.0
Anwendungsbereiche
Elemente anreichern
FireEye AX-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https:/<<ip address>> | Ja | API-Stammverzeichnis der Trellix Malware Analysis-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Trellix Malware Analysis-Kontos. |
| Passwort | Passwort | – | Ja | Passwort des Trellix Malware Analysis-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Trellix Malware Analysis-Server geprüft. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix Malware Analysis mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
|
Allgemein |
URL senden
Beschreibung
Datei zur Analyse über die URL in Trellix Malware Analysis einreichen Unterstützte Entitäten: URL.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| VM-Profil | String | – | Ja | Geben Sie das Profil der virtuellen Maschine an, das bei der Analyse verwendet werden soll. Verfügbare VM-Profile sind in der Aktion „Gerätedetails abrufen“ verfügbar. |
| Anwendungs-ID | String | – | Nein | Geben Sie die ID der Anwendung an, die bei der Analyse der Datei verwendet werden soll. Standardmäßig wählt Trellix Malware Analysis die erforderliche Anwendung automatisch aus. Wenn Sie eine Liste der verfügbaren Anwendungen für das Profil erhalten möchten, führen Sie die Aktion „Get Appliance Details“ aus. |
| Priorität | DDL | Normal Mögliche Werte: Normal Dringend |
Nein | Geben Sie die Priorität für die Einreichung an. Bei „Normal“ wird der Beitrag unten in die Warteschlange gestellt, bei „Dringend“ oben. |
| Erneuten Scan erzwingen | Kästchen | Nein | Wenn diese Option aktiviert ist, wird Trellix Malware Analysis gezwungen, die eingereichte Datei noch einmal zu scannen. | |
| Analysetyp | DDL | Live Mögliche Werte: Live Sandbox |
Nein | Geben Sie den Analysetyp an. Wenn „Live“ ausgewählt ist, analysiert Trellix Malware Analysis verdächtige Dateien live in der MVX-Analyse-Engine (Malware Analysis Multi-Vector Virtual Execution). Wenn „Sandbox“ ausgewählt ist, werden verdächtige Dateien von Trellix Malware Analysis in einer geschlossenen, geschützten Umgebung analysiert. |
| Insight erstellen | Kästchen | Ja | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zur eingereichten Datei erstellt. |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Anreicherungstabelle
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| schädlich | Wenn in JSON verfügbar |
| die Ausprägung | Wenn in JSON verfügbar |
Entitäts-Insight
Beispiel für Statistiken zu Rechtssubjekten:
Schädlich:True
Schweregrad:MINR Anzahl der C&C-Dienste:0 Anzahl der ausgeführten Prozesse:0 Anzahl der Registrierungsänderungen:0 Anzahl der extrahierten Dateien:0
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden: Wenn keine Daten für eine (is_success=true) verfügbar sind: „Die Aktion konnte die folgenden Einheiten nicht mit Informationen aus Trellix Malware Analysis anreichern: {entity.identifier}“ Wenn keine Daten für alle verfügbar sind (is_success=false): Keine der bereitgestellten Einheiten wurde angereichert. Asynchrone Nachricht:Die Verarbeitung der folgenden Dateien steht noch aus: {pending files} Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Bei der Aktion ist eine Zeitüberschreitung aufgetreten. Die folgenden Dateien werden noch verarbeitet: {pending urls}. Erhöhen Sie das Zeitlimit in der IDE. Hinweis: Wenn Sie dieselben Dateien hinzufügen, wird in Trellix Malware Analysis ein separater Analysejob erstellt. |
Allgemein |
| Tabelle „Fall-Repository“ | Titel: {entity.identifier} | Entität |
Datei einreichen
Beschreibung
Datei zur Analyse in Trellix Malware Analysis einreichen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfade | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste mit absoluten Dateipfaden für die Einreichung an. |
| VM-Profil | String | – | Ja | Geben Sie das Profil der virtuellen Maschine an, das bei der Analyse verwendet werden soll. Verfügbare VM-Profile sind in der Aktion „Gerätedetails abrufen“ verfügbar. |
| Anwendungs-ID | String | – | Nein | Geben Sie die ID der Anwendung an, die bei der Analyse der Datei verwendet werden soll. Standardmäßig wählt Trellix Malware Analysis die erforderliche Anwendung automatisch aus. Wenn Sie eine Liste der verfügbaren Anwendungen für das Profil erhalten möchten, führen Sie die Aktion „Get Appliance Details“ aus. |
| Priorität | DDL | Normal Mögliche Werte: Normal Dringend |
Nein | Geben Sie die Priorität für die Einreichung an. Bei „Normal“ wird der Beitrag unten in die Warteschlange gestellt, bei „Dringend“ oben. |
| Erneuten Scan erzwingen | Kästchen | Nein | Wenn diese Option aktiviert ist, wird Trellix Malware Analysis gezwungen, die eingereichte Datei noch einmal zu scannen. | |
| Analysetyp | DDL | Live Mögliche Werte: Live Sandbox |
Nein | Geben Sie den Analysetyp an. Wenn „Live“ ausgewählt ist, analysiert Trellix Malware Analysis verdächtige Dateien live in der MVX-Analyse-Engine (Malware Analysis Multi-Vector Virtual Execution). Wenn „Sandbox“ ausgewählt ist, werden verdächtige Dateien von Trellix Malware Analysis in einer geschlossenen, geschützten Umgebung analysiert. |
| Insight erstellen | Kästchen | Ja | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zur eingereichten Datei erstellt. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Entitäts-Insight
Beispiel für Statistiken zu Rechtssubjekten:
Schädlich:True
Schweregrad:MAJR Anzahl der C&C-Dienste:15 Anzahl der ausgeführten Prozesse:0 Anzahl der Registrierungsänderungen:13 Anzahl der extrahierten Dateien:10
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Asynchrone Nachricht:Die Verarbeitung der folgenden Dateien steht noch aus: {pending files} Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Datei einreichen‘. Grund: Bei der Aktion ist eine Zeitüberschreitung aufgetreten. Die folgenden Dateien werden noch verarbeitet: {pending files}. Erhöhen Sie das Zeitlimit in der IDE. Hinweis: Wenn Sie dieselben Dateien hinzufügen, wird in Trellix Malware Analysis ein separater Analysejob erstellt. Wenn mindestens eine Datei nicht gefunden wurde: „Fehler beim Ausführen der Aktion ‚Datei an Kundenserviceticket anhängen‘. Grund: Die folgenden Dateien wurden nicht gefunden oder die Aktion hat nicht genügend Berechtigungen, um darauf zuzugreifen: {not available files} |
Allgemein |
Appliance-Details abrufen
Beschreibung
Informationen zur Trellix Malware Analysis-Appliance abrufen
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
|
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten