FireEye AX
Versión de la integración: 3.0
Casos prácticos
Enriquecer entidades.
Configurar la integración de FireEye AX en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https:/<<ip address>> | Sí | Raíz de la API de la instancia de análisis de malware de Trellix. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de análisis de malware de Trellix. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Malware Analysis. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de análisis de malware de Trellix es válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Malware Analysis con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un manual:
La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
|
General |
Enviar URL
Descripción
Enviar un archivo para analizarlo mediante una URL en Trellix Malware Analysis. Entidades admitidas: URL.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Perfil de VM | Cadena | N/A | Sí | Especifica el perfil de máquina virtual que se debe usar durante el análisis. Los perfiles de MV disponibles se encuentran en la acción "Get Appliance Details" (Obtener detalles del dispositivo). |
| ID de la aplicación | Cadena | N/A | No | Especifica el ID de la aplicación que se debe usar durante el análisis del archivo. De forma predeterminada, Trellix Malware Analysis seleccionará automáticamente la aplicación necesaria. Para obtener una lista de las aplicaciones disponibles en el perfil, ejecuta la acción "Get Appliance Details" (Obtener detalles del dispositivo). |
| Prioridad | DDL | Normal Valores posibles: Normal Urgente |
No | Especifica la prioridad del envío. "Normal" coloca el envío en la parte inferior de la cola, mientras que "Urgente" lo coloca en la parte superior. |
| Forzar nuevo análisis | Casilla | No | Si se habilita, la acción obligará a Trellix Malware Analysis a volver a analizar el archivo enviado. | |
| Tipo de análisis | DDL | En directo Valores posibles: En directo Entorno aislado |
No | Especifica el tipo de análisis. Si se selecciona "En directo", Trellix Malware Analysis analizará los archivos sospechosos en directo en el motor de análisis Malware Analysis Multi-Vector Virtual Execution (MVX). Si se selecciona "Entorno aislado", Trellix Malware Analysis analizará los archivos sospechosos en un entorno cerrado y protegido. |
| Crear estadística | Casilla | Sí | Si está habilitada, la acción creará una estadística que contenga información sobre el archivo enviado. |
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Tabla de enriquecimiento
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| malicioso | Cuando esté disponible en JSON |
| gravedad | Cuando esté disponible en JSON |
Información valiosa sobre las entidades
Ejemplo de estadística de entidad:
Malicioso: True
Gravedad: MINR Número de servicios de C&C: 0 Número de procesos ejecutados: 0 Número de cambios en el registro: 0 Número de archivos extraídos: 0
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
Si no hay datos disponibles para una (is_success=true): "Action wasn't able to enrich the following entities using information from Trellix Malware Analysis: {entity.identifier}" ("No se ha podido enriquecer la siguiente entidad con información de Trellix Malware Analysis: {entity.identifier}") Si no hay datos disponibles para todas las entidades (is_success=false): no se ha enriquecido ninguna de las entidades proporcionadas. Mensaje asíncrono: esperando a que se procesen los siguientes archivos: {pending files} La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se agota el tiempo de espera: "Error al ejecutar la acción "Enrich Entities". Motivo: la acción ha agotado el tiempo de espera. Los siguientes archivos aún se están procesando: {pending urls}. Aumenta el tiempo de espera en el IDE. Nota: Si añade los mismos archivos, se creará un trabajo de análisis independiente en Trellix Malware Analysis. |
General |
| Tabla del panel de casos | Título: {entity.identifier} | Entidad |
Enviar archivo
Descripción
Enviar un archivo para analizarlo en Trellix Malware Analysis.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de archivo | CSV | N/A | Sí | Especifica una lista separada por comas de rutas de archivo absolutas para el envío. |
| Perfil de VM | Cadena | N/A | Sí | Especifica el perfil de máquina virtual que se debe usar durante el análisis. Los perfiles de MV disponibles se encuentran en la acción "Get Appliance Details" (Obtener detalles del dispositivo). |
| ID de la aplicación | Cadena | N/A | No | Especifica el ID de la aplicación que se debe usar durante el análisis del archivo. De forma predeterminada, Trellix Malware Analysis seleccionará automáticamente la aplicación necesaria. Para obtener una lista de las aplicaciones disponibles en el perfil, ejecuta la acción "Get Appliance Details" (Obtener detalles del dispositivo). |
| Prioridad | DDL | Normal Valores posibles: Normal Urgente |
No | Especifica la prioridad del envío. "Normal" coloca el envío en la parte inferior de la cola, mientras que "Urgente" lo coloca en la parte superior. |
| Forzar nuevo análisis | Casilla | No | Si se habilita, la acción obligará a Trellix Malware Analysis a volver a analizar el archivo enviado. | |
| Tipo de análisis | DDL | En directo Valores posibles: En directo Entorno aislado |
No | Especifica el tipo de análisis. Si se selecciona "En directo", Trellix Malware Analysis analizará los archivos sospechosos en directo en el motor de análisis Malware Analysis Multi-Vector Virtual Execution (MVX). Si se selecciona "Entorno aislado", Trellix Malware Analysis analizará los archivos sospechosos en un entorno cerrado y protegido. |
| Crear estadística | Casilla | Sí | Si está habilitada, la acción creará una estadística que contenga información sobre el archivo enviado. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Información valiosa sobre las entidades
Ejemplo de estadística de entidad:
Malicioso: True
Gravedad: MAJR Número de servicios de C&C: 15 Número de procesos ejecutados: 0 Número de cambios en el registro: 13 Número de archivos extraídos: 10
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas:
Mensaje asíncrono: esperando a que se procesen los siguientes archivos: {pending files} La acción debería fallar y detener la ejecución de un libro de jugadas: Si se agota el tiempo de espera: "Error al ejecutar la acción "Enviar archivo". Motivo: la acción ha agotado el tiempo de espera. Los siguientes archivos aún se están procesando: {pending files}. Aumenta el tiempo de espera en el IDE. Nota: Si añade los mismos archivos, se creará un trabajo de análisis independiente en Trellix Malware Analysis. Si no se encuentra al menos un archivo: "Error al ejecutar la acción "Adjuntar archivo a caso". Motivo: no se han encontrado los siguientes archivos o la acción no tiene permisos suficientes para acceder a ellos: {not available files}' |
General |
Obtener detalles del dispositivo
Descripción
Recupera información sobre el dispositivo Trellix Malware Analysis.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas:
La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
|
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.