FireEye AX
Version de l'intégration : 3.0
Cas d'utilisation
Enrichir les entités.
Configurer l'intégration FireEye AX dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https:/<<ip address>> | Oui | Racine de l'API de l'instance Trellix Malware Analysis. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Malware Analysis. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix Malware Analysis. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trellix Malware Analysis est valide. |
Actions
Ping
Description
Testez la connectivité à Trellix Malware Analysis avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Envoyer une URL
Description
Envoyez le fichier à analyser à l'aide de l'URL dans Trellix Malware Analysis. Entités acceptées : URL.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Profil de VM | Chaîne | N/A | Oui | Spécifiez le profil de machine virtuelle à utiliser lors de l'analyse. Les profils de VM disponibles sont accessibles dans l'action "Obtenir les détails de l'appliance". |
| ID de l'application | Chaîne | N/A | Non | Spécifiez l'ID de l'application à utiliser lors de l'analyse du fichier. Par défaut, Trellix Malware Analysis sélectionne automatiquement l'application requise. Pour obtenir la liste des applications disponibles sur le profil, veuillez exécuter l'action "Get Appliance Details" (Obtenir les détails de l'appareil). |
| Priorité | LDD | Normal Valeurs possibles : Normal Urgent |
Non | Spécifiez la priorité de l'envoi. Si vous sélectionnez "Normale", votre demande sera placée en bas de la file d'attente. Si vous sélectionnez "Urgente", elle sera placée en haut de la file d'attente. |
| Forcer le réexamen | Case à cocher | Non | Si cette option est activée, l'action forcera Trellix Malware Analysis à réanalyser le fichier envoyé. | |
| Analysis Type (Type d'analyse) | LDD | En direct Valeurs possibles : En direct Bac à sable |
Non | Spécifiez le type d'analyse. Si l'option "En direct" est sélectionnée, Trellix Malware Analysis analysera les fichiers suspects en direct dans le moteur d'analyse MVX (Multi-Vector Virtual Execution). Si "Sandbox" est sélectionné, Trellix Malware Analysis analysera les fichiers suspects dans un environnement fermé et protégé. |
| Créer un insight | Case à cocher | Oui | Si cette option est activée, l'action créera un insight contenant des informations sur le fichier envoyé. |
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Table d'enrichissement
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| malveillant | Lorsqu'il est disponible au format JSON |
| de gravité, | Lorsqu'il est disponible au format JSON |
Insight sur l'entité
Exemple d'insight sur une entité :
Malicious : True
Gravité : MINR Nombre de services C&C : 0 Nombre de processus exécutés : 0 Nombre de modifications du registre : 0 Nombre de fichiers extraits : 0
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Trellix Malware Analysis : {entity.identifier}" Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : aucune des entités fournies n'a été enrichie. Message asynchrone : en attente du traitement des fichiers suivants : {pending files} L'action doit échouer et arrêter l'exécution d'un playbook : Si le délai expire : "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : l'action a expiré. Les fichiers suivants sont toujours en cours de traitement : {pending urls}. Veuillez augmenter le délai avant expiration dans l'IDE. Remarque : Si vous ajoutez les mêmes fichiers, une tâche d'analyse distincte sera créée dans Trellix Malware Analysis. |
Général |
| Tableau du mur des cas | Titre : {entity.identifier} | Entité |
Envoyer le fichier
Description
Envoyez le fichier à analyser dans Trellix Malware Analysis.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemins des fichiers | CSV | N/A | Oui | Spécifiez une liste de chemins d'accès absolus aux fichiers à envoyer, séparés par une virgule. |
| Profil de VM | Chaîne | N/A | Oui | Spécifiez le profil de machine virtuelle à utiliser lors de l'analyse. Les profils de VM disponibles sont accessibles dans l'action "Obtenir les détails de l'appliance". |
| ID de l'application | Chaîne | N/A | Non | Spécifiez l'ID de l'application à utiliser lors de l'analyse du fichier. Par défaut, Trellix Malware Analysis sélectionne automatiquement l'application requise. Pour obtenir la liste des applications disponibles sur le profil, veuillez exécuter l'action "Get Appliance Details" (Obtenir les détails de l'appareil). |
| Priorité | LDD | Normal Valeurs possibles : Normal Urgent |
Non | Spécifiez la priorité de l'envoi. Si vous sélectionnez "Normale", votre demande sera placée en bas de la file d'attente. Si vous sélectionnez "Urgente", elle sera placée en haut de la file d'attente. |
| Forcer le réexamen | Case à cocher | Non | Si cette option est activée, l'action forcera Trellix Malware Analysis à réanalyser le fichier envoyé. | |
| Analysis Type (Type d'analyse) | LDD | En direct Valeurs possibles : En direct Bac à sable |
Non | Spécifiez le type d'analyse. Si l'option "En direct" est sélectionnée, Trellix Malware Analysis analysera les fichiers suspects en direct dans le moteur d'analyse MVX (Multi-Vector Virtual Execution). Si "Sandbox" est sélectionné, Trellix Malware Analysis analysera les fichiers suspects dans un environnement fermé et protégé. |
| Créer un insight | Case à cocher | Oui | Si cette option est activée, l'action créera un insight contenant des informations sur le fichier envoyé. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Insight sur l'entité
Exemple d'insight sur une entité :
Malicious : True
Gravité : MAJR Nombre de services C&C : 15 Nombre de processus exécutés : 0 Nombre de modifications du registre : 13 Nombre de fichiers extraits : 10
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Message asynchrone : en attente du traitement des fichiers suivants : {pending files} L'action doit échouer et arrêter l'exécution d'un playbook : Si le délai expire : "Erreur lors de l'exécution de l'action "Envoyer le fichier". Motif : l'action a expiré. Les fichiers suivants sont toujours en cours de traitement : {pending files}. Veuillez augmenter le délai avant expiration dans l'IDE. Remarque : Si vous ajoutez les mêmes fichiers, une tâche d'analyse distincte sera créée dans Trellix Malware Analysis. Si au moins un fichier est introuvable : "Erreur lors de l'exécution de l'action "Joindre un fichier à la demande". Motif : les fichiers suivants sont introuvables ou l'action ne dispose pas des autorisations nécessaires pour y accéder : {not available files}' |
Général |
Obtenir les détails de l'appareil
Description
Récupérez des informations sur l'appliance Trellix Malware Analysis.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.