FireEye AX
統合バージョン: 3.0
ユースケース
エンティティの拡充を実行します。
Google Security Operations で FireEye AX の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https:/<<ip address>> | はい | Trellix Malware Analysis インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Trellix Malware Analysis アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | Trellix Malware Analysis アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Trellix マルウェア分析サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
Google Security Operations Marketplace タブの統合構成ページで提供されるパラメータを使用して、Trellix Malware Analysis への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
URL を送信
説明
Trellix Malware Analysis の URL を使用して、分析用にファイルを送信します。サポートされるエンティティ: URL。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| VM プロファイル | 文字列 | なし | はい | 分析中に使用する仮想マシン プロファイルを指定します。利用可能な VM プロファイルは、アクション「アプライアンスの詳細を取得」で確認できます |
| アプリケーション ID | 文字列 | なし | いいえ | ファイルの分析中に使用する必要があるアプリケーションの ID を指定します。デフォルトでは、Trellix Malware Analysis が必要なアプリケーションを自動的に選択します。プロファイルで使用可能なアプリケーションのリストを取得するには、「アプライアンスの詳細を取得」アクションを実行してください。 |
| 優先度 | DDL | 標準 有効な値: 標準 緊急 |
いいえ | 送信の優先度を指定します。[Normal] はキューの末尾に送信を配置し、[Urgent] はキューの先頭に送信を配置します。 |
| 強制再スキャン | チェックボックス | いいえ | 有効にすると、アクションは Trellix Malware Analysis に送信されたファイルの再スキャンを強制的に実行します。 | |
| Analysis Type | DDL | ライブ 有効な値: ライブ サンドボックス |
いいえ | 分析のタイプを指定します。[Live] を選択すると、Trellix Malware Analysis は、Malware Analysis Multi-Vector Virtual Execution(MVX)分析エンジン内で疑わしいファイルをライブで分析します。[Sandbox] を選択すると、Trellix Malware Analysis は、閉鎖された保護環境で疑わしいファイルを分析します。 |
| インサイトの作成 | チェックボックス | はい | 有効にすると、アクションによって送信されたファイルに関する情報を含む分析情報が作成されます。 |
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
拡充テーブル
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 悪意のあるリクエスト | JSON で利用可能な場合 |
| 重要度 | JSON で利用可能な場合 |
エンティティの分析情報
エンティティの分析情報の例:
Malicious: True
重大度: MINR C&C サービスの数: 0 実行されたプロセスの数: 0 レジストリの変更数: 0 抽出されたファイルの数: 0
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
1 つのデータがない場合(is_success=true): 「アクションは、Trellix Malware Analysis の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 すべてのデータが利用できない場合(is_success=false): 指定されたエンティティのいずれも拡充されませんでした。 非同期メッセージ: 次のファイルの処理を待機しています: {保留中のファイル} アクションが失敗し、ハンドブックの実行が停止します: タイムアウトの場合: 「アクション「エンティティを拡充」の実行中にエラーが発生しました。理由: アクションがタイムアウトしました。次のファイルがまだ処理中です: {pending urls}。IDE でタイムアウトを長くしてください。注: 同じファイルを追加すると、Trellix Malware Analysis で別の分析ジョブが作成されます。 |
全般 |
| Case Wall テーブル | タイトル: {entity.identifier} | エンティティ |
ファイルの送信
説明
Trellix Malware Analysis で分析用にファイルを送信します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| File Paths | CSV | なし | はい | 送信する絶対ファイルパスのカンマ区切りリストを指定します。 |
| VM プロファイル | 文字列 | なし | はい | 分析中に使用する仮想マシン プロファイルを指定します。利用可能な VM プロファイルは、アクション「アプライアンスの詳細を取得」で確認できます |
| アプリケーション ID | 文字列 | なし | いいえ | ファイルの分析中に使用する必要があるアプリケーションの ID を指定します。デフォルトでは、Trellix Malware Analysis が必要なアプリケーションを自動的に選択します。プロファイルで使用可能なアプリケーションのリストを取得するには、「アプライアンスの詳細を取得」アクションを実行してください。 |
| 優先度 | DDL | 標準 有効な値: 標準 緊急 |
いいえ | 送信の優先度を指定します。[Normal] はキューの末尾に送信を配置し、[Urgent] はキューの先頭に送信を配置します。 |
| 強制再スキャン | チェックボックス | いいえ | 有効にすると、アクションは Trellix Malware Analysis に送信されたファイルの再スキャンを強制的に実行します。 | |
| Analysis Type | DDL | ライブ 有効な値: ライブ サンドボックス |
いいえ | 分析のタイプを指定します。[Live] を選択すると、Trellix Malware Analysis は、Malware Analysis Multi-Vector Virtual Execution(MVX)分析エンジン内で疑わしいファイルをライブで分析します。[Sandbox] を選択すると、Trellix Malware Analysis は、閉鎖された保護環境で疑わしいファイルを分析します。 |
| インサイトの作成 | チェックボックス | はい | 有効にすると、アクションによって送信されたファイルに関する情報を含む分析情報が作成されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
エンティティの分析情報
エンティティの分析情報の例:
Malicious: True
重大度: MAJR C&C サービスの数: 15 実行されたプロセスの数: 0 レジストリの変更数: 13 抽出されたファイルの数: 10
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
非同期メッセージ: 次のファイルの処理を待機しています: {保留中のファイル} アクションが失敗し、ハンドブックの実行が停止します: タイムアウトの場合: 「アクション「ファイルを送信」の実行エラー。理由: アクションがタイムアウトしました。次のファイルがまだ処理中です: {pending files}。IDE でタイムアウトを長くしてください。注: 同じファイルを追加すると、Trellix Malware Analysis で別の分析ジョブが作成されます。 1 つ以上のファイルが見つからない場合: アクション「ケースにファイルを添付」の実行エラー。理由: 次のファイルが見つからなかったか、アクションにアクセスするための十分な権限がありません: {利用できないファイル}」 |
全般 |
アプライアンスの詳細を取得する
説明
Trellix Malware Analysis アプライアンスに関する情報を取得します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します:
|
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。