Halaman ini diterjemahkan oleh Cloud Translation API.

FireEye AX

Versi integrasi: 3.0

Kasus Penggunaan

Melakukan pengayaan entity.

Mengonfigurasi integrasi FireEye AX di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root API	String	https:/<<ip address>>	Ya	Root API instance Trellix Malware Analysis.
Nama pengguna	String	T/A	Ya	Nama pengguna akun Trellix Malware Analysis.
Sandi	Sandi	T/A	Ya	Sandi akun Trellix Malware Analysis.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Trellix Malware Analysis valid.

Tindakan

Ping

Deskripsi

Uji konektivitas ke Trellix Malware Analysis dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Successfully connected to the Trellix Malware Analysis server with the provided connection parameters!" (Berhasil terhubung ke server Trellix Malware Analysis dengan parameter koneksi yang diberikan.) Tindakan akan gagal dan menghentikan eksekusi playbook: if not successful: "Failed to connect to the Trellix Malware Analysis server! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the Trellix Malware Analysis server with the provided connection parameters!" (Berhasil terhubung ke server Trellix Malware Analysis dengan parameter koneksi yang diberikan.)

Tindakan akan gagal dan menghentikan eksekusi playbook:
if not successful: "Failed to connect to the Trellix Malware Analysis server! Error adalah {0}".format(exception.stacktrace)

Umum

Kirimkan URL

Deskripsi

Mengirimkan file untuk dianalisis menggunakan URL di Trellix Malware Analysis. Entitas yang didukung: URL.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Profil VM	String	T/A	Ya	Tentukan profil virtual machine yang harus digunakan selama analisis. Profil VM yang tersedia ada di tindakan "Get Appliance Details"
ID aplikasi	String	T/A	Tidak	Tentukan ID aplikasi yang perlu digunakan selama analisis file. Secara default, Trellix Malware Analysis akan memilih aplikasi yang diperlukan secara otomatis. Untuk mendapatkan daftar aplikasi yang tersedia di profil, jalankan tindakan "Dapatkan Detail Peralatan"
Prioritas	DDL	Normal Nilai yang Mungkin: Normal Sangat Penting	Tidak	Tentukan prioritas untuk pengiriman. "Normal" menempatkan pengiriman di bagian bawah antrean, sedangkan "Mendesak" menempatkan pengiriman di bagian atas antrean.
Pindai Ulang Paksa	Kotak centang		Tidak	Jika diaktifkan, tindakan ini akan memaksa Trellix Malware Analysis untuk memindai ulang file yang dikirimkan.
Jenis Analisis	DDL	Aktif Nilai yang Mungkin: Aktif Sandbox	Tidak	Tentukan jenis analisis. Jika "Live" dipilih, Trellix Malware Analysis akan menganalisis file yang dicurigai secara langsung dalam mesin analisis Malware Analysis Multi-Vector Virtual Execution (MVX). Jika "Sandbox" dipilih, Trellix Malware Analysis akan menganalisis file yang dicurigai di lingkungan yang tertutup dan terlindungi.
Buat Insight	Kotak centang		Ya	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang file yang dikirimkan.

Run On

Tindakan ini dijalankan pada entity URL.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

 {
    "details":
        {
            "explanation": {
                "malwareDetected": {
                    "malware": [
                        {
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
                        },
                        {
                            "note": "",
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
                            "application": "application:0",
                            "user": "xxxxx",
                            "original": "vlc-3.0.16-win64.exe",
                            "type": "exe",
                            "origid": 176
                        }
                    ]
                },
                "osChanges": [],
                "staticAnalysis": {
                    "static": [
                        {}
                    ]
                },
                "stolenData": {
                    "info": {
                        "field": []
                    }
                }
            },
            "src": {},
            "alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
            "action": "notified",
            "attackTime": "2021-09-13 11:15:56 +0000",
            "dst": {},
            "applianceId": "AC1F6B7A7C8C",
            "id": 177,
            "name": "xxxxx_xxxxx",
            "severity": "MINR",
            "uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
            "ack": "no",
            "product": "MAS",
            "vlan": 0,
            "malicious": "no"
        }
    ],
    "appliance": "MAS",
    "version": "MAS (MAS) 9.1.0.950877",
    "msg": "extended",
    "alertsCount": 1
}

Tabel Pengayaan

Nama Kolom Pengayaan	Logika - Kapan harus diterapkan
berbahaya	Jika tersedia dalam JSON
tingkat keseriusan,	Jika tersedia dalam JSON

Insight Entitas

Contoh insight entitas:

Berbahaya: Benar

Tingkat Keparahan: MINR Jumlah Layanan C&C: 0 Jumlah Proses yang Dieksekusi: 0 Jumlah Perubahan Registry: 0 Jumlah File yang Diekstrak: 0

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika data tersedia untuk satu(is_success = true): "Berhasil memperkaya entitas berikut menggunakan informasi dari Trellix Malware Analysis: {entity.identifier}". Jika data tidak tersedia untuk satu (is_success=true): "Action wasn't able to enrich the following entities using information from Trellix Malware Analysis: {entity.identifier}" (Tindakan tidak dapat memperkaya entitas berikut menggunakan informasi dari Trellix Malware Analysis: {entity.identifier}) Jika data tidak tersedia untuk semua (is_success=false): Tidak ada entitas yang disediakan yang diperkaya. Pesan Asinkron: Menunggu file berikut diproses: {pending files} Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Enrich Entities". Alasan: {0}''.format(error.Stacktrace) Jika waktu tunggu habis: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: tindakan mengalami waktu tunggu habis. File berikut masih diproses: {pending urls}. Harap tingkatkan waktu tunggu di IDE. Catatan: menambahkan file yang sama akan membuat tugas analisis terpisah di Trellix Malware Analysis.	Umum
Tabel Repositori Kasus	Judul: {entity.identifier}	Entity

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika data tersedia untuk satu(is_success = true): "Berhasil memperkaya entitas berikut menggunakan informasi dari Trellix Malware Analysis: {entity.identifier}".

Jika data tidak tersedia untuk satu (is_success=true): "Action wasn't able to enrich the following entities using information from Trellix Malware Analysis: {entity.identifier}" (Tindakan tidak dapat memperkaya entitas berikut menggunakan informasi dari Trellix Malware Analysis: {entity.identifier})

Jika data tidak tersedia untuk semua (is_success=false): Tidak ada entitas yang disediakan yang diperkaya.

Pesan Asinkron: Menunggu file berikut diproses: {pending files}

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Enrich Entities". Alasan: {0}''.format(error.Stacktrace)

Jika waktu tunggu habis: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: tindakan mengalami waktu tunggu habis. File berikut masih diproses: {pending urls}. Harap tingkatkan waktu tunggu di IDE. Catatan: menambahkan file yang sama akan membuat tugas analisis terpisah di Trellix Malware Analysis.

Umum

Tabel Repositori Kasus

Judul: {entity.identifier}

Entity

Kirim File

Deskripsi

Kirim file untuk dianalisis di Trellix Malware Analysis.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Jalur File	CSV	T/A	Ya	Tentukan daftar jalur file absolut yang dipisahkan koma untuk pengiriman.
Profil VM	String	T/A	Ya	Tentukan profil virtual machine yang harus digunakan selama analisis. Profil VM yang tersedia ada di tindakan "Get Appliance Details"
ID aplikasi	String	T/A	Tidak	Tentukan ID aplikasi yang perlu digunakan selama analisis file. Secara default, Trellix Malware Analysis akan memilih aplikasi yang diperlukan secara otomatis. Untuk mendapatkan daftar aplikasi yang tersedia di profil, jalankan tindakan "Dapatkan Detail Peralatan"
Prioritas	DDL	Normal Nilai yang Mungkin: Normal Sangat Penting	Tidak	Tentukan prioritas untuk pengiriman. "Normal" menempatkan pengiriman di bagian bawah antrean, sedangkan "Mendesak" menempatkan pengiriman di bagian atas antrean.
Pindai Ulang Paksa	Kotak centang		Tidak	Jika diaktifkan, tindakan ini akan memaksa Trellix Malware Analysis untuk memindai ulang file yang dikirimkan.
Jenis Analisis	DDL	Aktif Nilai yang Mungkin: Aktif Sandbox	Tidak	Tentukan jenis analisis. Jika "Live" dipilih, Trellix Malware Analysis akan menganalisis file yang dicurigai secara langsung dalam mesin analisis Malware Analysis Multi-Vector Virtual Execution (MVX). Jika "Sandbox" dipilih, Trellix Malware Analysis akan menganalisis file yang dicurigai di lingkungan yang tertutup dan terlindungi.
Buat Insight	Kotak centang		Ya	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang file yang dikirimkan.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "absolute_path": "/opt/wow/koko.exe",
    "details":
        {
            "explanation": {
                "malwareDetected": {
                    "malware": [
                        {
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
                        },
                        {
                            "note": "",
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
                            "application": "application:0",
                            "user": "xxxxx",
                            "original": "vlc-3.0.16-win64.exe",
                            "type": "exe",
                            "origid": 176
                        }
                    ]
                },
                "osChanges": [],
                "staticAnalysis": {
                    "static": [
                        {}
                    ]
                },
                "stolenData": {
                    "info": {
                        "field": []
                    }
                }
            },
            "src": {},
            "alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
            "action": "notified",
            "attackTime": "2021-09-13 11:15:56 +0000",
            "dst": {},
            "applianceId": "AC1F6B7A7C8C",
            "id": 177,
            "name": "xxxxx_xxxxx",
            "severity": "MINR",
            "uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
            "ack": "no",
            "product": "MAS",
            "vlan": 0,
            "malicious": "no"
        }
    ],
    "appliance": "MAS",
    "version": "MAS (MAS) 9.1.0.950877",
    "msg": "extended",
    "alertsCount": 1
}

Insight Entitas

Contoh insight entitas:

Berbahaya: Benar

Tingkat Keparahan: MAJR Jumlah Layanan C&C: 15 Jumlah Proses yang Dieksekusi: 0 Jumlah Perubahan Registry: 13 Jumlah File yang Diekstrak: 10

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika selesai untuk satu jalur file (is_success = true): "Berhasil mengambil detail untuk file berikut di Trellix Malware Analysis: {submitted files}.". Pesan Asinkron: Menunggu file berikut diproses: {pending files} Tindakan harus gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Kirim File". Alasan: {0}''.format(error.Stacktrace) Jika waktu tunggu habis: "Error saat menjalankan tindakan "Kirim File". Alasan: tindakan mengalami waktu tunggu habis. File berikut masih diproses: {pending files}. Harap tingkatkan waktu tunggu di IDE. Catatan: menambahkan file yang sama akan membuat tugas analisis terpisah di Trellix Malware Analysis. Jika setidaknya satu file tidak ditemukan: "Error saat menjalankan tindakan "Lampirkan File ke Kasus". Alasan: file berikut tidak ditemukan atau tindakan tidak memiliki izin yang memadai untuk mengaksesnya: {not available files}'	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Jika selesai untuk satu jalur file (is_success = true): "Berhasil mengambil detail untuk file berikut di Trellix Malware Analysis: {submitted files}.".

Pesan Asinkron: Menunggu file berikut diproses: {pending files}

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Kirim File". Alasan: {0}''.format(error.Stacktrace)

Jika waktu tunggu habis: "Error saat menjalankan tindakan "Kirim File". Alasan: tindakan mengalami waktu tunggu habis. File berikut masih diproses: {pending files}. Harap tingkatkan waktu tunggu di IDE. Catatan: menambahkan file yang sama akan membuat tugas analisis terpisah di Trellix Malware Analysis.

Jika setidaknya satu file tidak ditemukan: "Error saat menjalankan tindakan "Lampirkan File ke Kasus". Alasan: file berikut tidak ditemukan atau tindakan tidak memiliki izin yang memadai untuk mengaksesnya: {not available files}'

Umum

Mendapatkan Detail Perangkat

Deskripsi

Mengambil informasi tentang perlengkapan Trellix Malware Analysis.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai
is_success	is_success=False
is_success	is_success=True

Hasil JSON

{
    "absolute_path": "/opt/wow/koko.exe",
    "details":
        {
            "explanation": {
                "malwareDetected": {
                    "malware": [
                        {
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
                        },
                        {
                            "note": "",
                            "md5Sum": "29ef299c80d00ee4340b3694d870fe82",
                            "sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
                            "application": "application:0",
                            "user": "xxxxx",
                            "original": "vlc-3.0.16-win64.exe",
                            "type": "exe",
                            "origid": 176
                        }
                    ]
                },
                "osChanges": [],
                "staticAnalysis": {
                    "static": [
                        {}
                    ]
                },
                "stolenData": {
                    "info": {
                        "field": []
                    }
                }
            },
            "src": {},
            "alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
            "action": "notified",
            "attackTime": "2021-09-13 11:15:56 +0000",
            "dst": {},
            "applianceId": "AC1F6B7A7C8C",
            "id": 177,
            "name": "xxxxx_xxxxx",
            "severity": "MINR",
            "uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
            "ack": "no",
            "product": "MAS",
            "vlan": 0,
            "malicious": "no"
        }
    ],
    "appliance": "MAS",
    "version": "MAS (MAS) 9.1.0.950877",
    "msg": "extended",
    "alertsCount": 1
}

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika selesai untuk satu jalur file (is_success = true): "Successfully retrieved details about Trellix Malware Analysis.". Tindakan harus gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error executing action "Get Appliance Details". Alasan: {0}''.format(error.Stacktrace)	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Jika selesai untuk satu jalur file (is_success = true): "Successfully retrieved details about Trellix Malware Analysis.".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error executing action "Get Appliance Details". Alasan: {0}''.format(error.Stacktrace)

Umum

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.