FireEye AX
Versión de la integración: 3.0
Casos de uso
Realiza el enriquecimiento de entidades.
Configura la integración de FireEye AX en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https:/<<dirección IP>> | Sí | Es la raíz de la API de la instancia de Trellix Malware Analysis. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix Malware Analysis. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Malware Analysis. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Trellix Malware Analysis sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Malware Analysis con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debe fallar y detener la ejecución de la guía:
|
General |
Enviar URL
Descripción
Envía el archivo para su análisis con la URL en Trellix Malware Analysis. Entidades admitidas: URL.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Perfil de VM | String | N/A | Sí | Especifica el perfil de la máquina virtual que se debe usar durante el análisis. Los perfiles de VM disponibles se encuentran en la acción "Get Appliance Details". |
| ID de aplicación | String | N/A | No | Especifica el ID de la aplicación que se debe usar durante el análisis del archivo. De forma predeterminada, Trellix Malware Analysis seleccionará automáticamente la aplicación necesaria. Para obtener una lista de las aplicaciones disponibles en el perfil, ejecuta la acción "Get Appliance Details". |
| Prioridad | DDL | Normal Valores posibles: Normal Urgente |
No | Especifica la prioridad del envío. "Normal" coloca el envío en la parte inferior de la fila, mientras que "Urgente" lo coloca en la parte superior. |
| Forzar reanálisis | Casilla de verificación | No | Si se habilita, la acción forzará a Trellix Malware Analysis a volver a analizar el archivo enviado. | |
| Analysis Type | DDL | En vivo Valores posibles: En vivo Zona de pruebas |
No | Especifica el tipo de análisis. Si se selecciona "En vivo", Trellix Malware Analysis analizará los archivos sospechosos en vivo dentro del motor de análisis Multi-Vector Virtual Execution (MVX) de Malware Analysis. Si se selecciona "Zona de pruebas", Trellix Malware Analysis analizará los archivos sospechosos en un entorno cerrado y protegido. |
| Crear estadística | Casilla de verificación | Sí | Si está habilitada, la acción creará una estadística que contendrá información sobre el archivo enviado. |
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Tabla de enriquecimiento
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| malicioso | Cuando está disponible en JSON |
| gravedad, | Cuando está disponible en JSON |
Estadísticas de la entidad
Ejemplo de estadística de entidad:
Malicioso: Verdadero
Gravedad: MINR Cantidad de servicios de C&C: 0 Cantidad de procesos ejecutados: 0 Cantidad de cambios en el registro: 0 Cantidad de archivos extraídos: 0
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook:
Si no hay datos disponibles para uno (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información del análisis de software malicioso de Trellix: {entity.identifier}" Si los datos no están disponibles para todos (is_success=false): No se enriqueció ninguna de las entidades proporcionadas. Mensaje asíncrono: Se está esperando a que se procesen los siguientes archivos: {pending files} La acción debe fallar y detener la ejecución de un playbook: Si se agota el tiempo de espera: "Error al ejecutar la acción "Enrich Entities". Motivo: La acción agotó el tiempo de espera. Aún se están procesando los siguientes archivos: {pending urls}. Aumenta el tiempo de espera en el IDE. Nota: Si agregas los mismos archivos, se creará un trabajo de análisis independiente en Trellix Malware Analysis. |
General |
| Tabla del muro de casos | Título: {entity.identifier} | Entidad |
Enviar archivo
Descripción
Envía el archivo para su análisis en Trellix Malware Analysis.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Rutas de acceso de los archivos | CSV | N/A | Sí | Especifica una lista separada por comas de las rutas de acceso absolutas a los archivos que se enviarán. |
| Perfil de VM | String | N/A | Sí | Especifica el perfil de la máquina virtual que se debe usar durante el análisis. Los perfiles de VM disponibles se encuentran en la acción "Get Appliance Details". |
| ID de aplicación | String | N/A | No | Especifica el ID de la aplicación que se debe usar durante el análisis del archivo. De forma predeterminada, Trellix Malware Analysis seleccionará automáticamente la aplicación necesaria. Para obtener una lista de las aplicaciones disponibles en el perfil, ejecuta la acción "Get Appliance Details". |
| Prioridad | DDL | Normal Valores posibles: Normal Urgente |
No | Especifica la prioridad del envío. "Normal" coloca el envío en la parte inferior de la fila, mientras que "Urgente" lo coloca en la parte superior. |
| Forzar reanálisis | Casilla de verificación | No | Si se habilita, la acción forzará a Trellix Malware Analysis a volver a analizar el archivo enviado. | |
| Analysis Type | DDL | En vivo Valores posibles: En vivo Zona de pruebas |
No | Especifica el tipo de análisis. Si se selecciona "En vivo", Trellix Malware Analysis analizará los archivos sospechosos en vivo dentro del motor de análisis Multi-Vector Virtual Execution (MVX) de Malware Analysis. Si se selecciona "Zona de pruebas", Trellix Malware Analysis analizará los archivos sospechosos en un entorno cerrado y protegido. |
| Crear estadística | Casilla de verificación | Sí | Si está habilitada, la acción creará una estadística que contendrá información sobre el archivo enviado. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Estadísticas de la entidad
Ejemplo de estadística de entidad:
Malicioso: Verdadero
Gravedad: MAJR Recuento de servicios de C&C: 15 Recuento de procesos ejecutados: 0 Recuento de cambios en el registro: 13 Recuento de archivos extraídos: 10
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook:
Mensaje asíncrono: Se está esperando a que se procesen los siguientes archivos: {pending files} La acción debe fallar y detener la ejecución de un playbook: Si se agota el tiempo de espera: "Error al ejecutar la acción "Enviar archivo". Motivo: La acción agotó el tiempo de espera. Aún se están procesando los siguientes archivos: {pending files}. Aumenta el tiempo de espera en el IDE. Nota: Si agregas los mismos archivos, se creará un trabajo de análisis independiente en Trellix Malware Analysis. Si no se encuentra al menos un archivo, se mostrará el mensaje "Error al ejecutar la acción "Adjuntar archivo al caso". Motivo: No se encontraron los siguientes archivos o la acción no tiene permisos suficientes para acceder a ellos: {not available files}". |
General |
Obtén detalles del dispositivo
Descripción
Recupera información sobre el dispositivo de análisis de software malicioso de Trellix.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook:
La acción debe fallar y detener la ejecución de un playbook:
|
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.