FireEye AX
통합 버전: 3.0
사용 사례
항목 보강을 수행합니다.
Google Security Operations에서 FireEye AX 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https:/<<IP 주소>> | 예 | Trellix Malware Analysis 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Trellix Malware Analysis 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Trellix Malware Analysis 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Trellix Malware Analysis 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Trellix Malware Analysis에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행이 중지되어야 합니다.
|
일반 |
URL 제출
설명
Trellix 멀웨어 분석에서 URL을 사용하여 분석을 위해 파일을 제출합니다. 지원되는 항목: URL
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| VM 프로필 | 문자열 | 해당 사항 없음 | 예 | 분석 중에 사용할 가상 머신 프로필을 지정합니다. 사용 가능한 VM 프로필은 '어플라이언스 세부정보 가져오기' 작업에서 확인할 수 있습니다. |
| 애플리케이션 ID | 문자열 | 해당 사항 없음 | 아니요 | 파일 분석 중에 사용해야 하는 애플리케이션의 ID를 지정합니다. 기본적으로 Trellix Malware Analysis는 필요한 애플리케이션을 자동으로 선택합니다. 프로필에서 사용 가능한 애플리케이션 목록을 가져오려면 '기기 세부정보 가져오기' 작업을 실행하세요. |
| 우선순위 | DDL | 보통 가능한 값은 다음과 같습니다. 보통 긴급 |
아니요 | 제출의 우선순위를 지정합니다. '일반'은 제출을 대기열 하단에 배치하고 '긴급'은 제출을 대기열 상단에 배치합니다. |
| 강제 다시 스캔 | 체크박스 | 아니요 | 사용 설정하면 Trellix Malware Analysis에서 제출된 파일을 강제로 다시 검사합니다. | |
| Analysis Type(분석 유형) | DDL | 실시간 가능한 값은 다음과 같습니다. 실시간 샌드박스 |
아니요 | 분석 유형을 지정합니다. '실시간'을 선택하면 Trellix 악성코드 분석이 악성코드 분석 다중 벡터 가상 실행 (MVX) 분석 엔진 내에서 의심스러운 파일을 실시간으로 분석합니다. '샌드박스'를 선택하면 Trellix Malware Analysis가 보호된 폐쇄형 환경에서 의심스러운 파일을 분석합니다. |
| 통계 만들기 | 체크박스 | 예 | 사용 설정하면 작업에서 제출된 파일에 대한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
보강 테이블
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 악성 요청 | JSON으로 제공되는 경우 |
| 줄이는 것을 | JSON으로 제공되는 경우 |
항목 통계
항목 통계 예:
악의적: True
심각도: MINR C&C 서비스 수: 0 실행된 프로세스 수: 0 레지스트리 변경 수: 0 추출된 파일 수: 0
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
하나에 대해 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Trellix Malware Analysis: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모두에 대해 데이터를 사용할 수 없는 경우 (is_success=false): 제공된 항목이 보강되지 않았습니다. 비동기 메시지: 다음 파일의 처리를 기다리는 중: {pending files} 작업이 실패하고 플레이북 실행을 중지해야 합니다. 제한 시간이 초과된 경우: ''항목 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 작업 제한 시간이 초과되었습니다. 다음 파일은 아직 처리 중입니다. {대기 중인 URL} IDE에서 제한 시간을 늘리세요. 참고: 동일한 파일을 추가하면 Trellix Malware Analysis에서 별도의 분석 작업이 생성됩니다. |
일반 |
| 케이스 월 테이블 | 제목: {entity.identifier} | 항목 |
파일 제출
설명
Trellix 멀웨어 분석에서 분석을 위해 파일을 제출합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| File Paths | CSV | 해당 사항 없음 | 예 | 제출할 절대 파일 경로를 쉼표로 구분된 목록으로 지정합니다. |
| VM 프로필 | 문자열 | 해당 사항 없음 | 예 | 분석 중에 사용할 가상 머신 프로필을 지정합니다. 사용 가능한 VM 프로필은 '어플라이언스 세부정보 가져오기' 작업에서 확인할 수 있습니다. |
| 애플리케이션 ID | 문자열 | 해당 사항 없음 | 아니요 | 파일 분석 중에 사용해야 하는 애플리케이션의 ID를 지정합니다. 기본적으로 Trellix Malware Analysis는 필요한 애플리케이션을 자동으로 선택합니다. 프로필에서 사용 가능한 애플리케이션 목록을 가져오려면 '기기 세부정보 가져오기' 작업을 실행하세요. |
| 우선순위 | DDL | 보통 가능한 값은 다음과 같습니다. 보통 긴급 |
아니요 | 제출의 우선순위를 지정합니다. '일반'은 제출을 대기열 하단에 배치하고 '긴급'은 제출을 대기열 상단에 배치합니다. |
| 강제 다시 스캔 | 체크박스 | 아니요 | 사용 설정하면 Trellix Malware Analysis에서 제출된 파일을 강제로 다시 검사합니다. | |
| Analysis Type(분석 유형) | DDL | 실시간 가능한 값은 다음과 같습니다. 실시간 샌드박스 |
아니요 | 분석 유형을 지정합니다. '실시간'을 선택하면 Trellix 악성코드 분석이 악성코드 분석 다중 벡터 가상 실행 (MVX) 분석 엔진 내에서 의심스러운 파일을 실시간으로 분석합니다. '샌드박스'를 선택하면 Trellix Malware Analysis가 보호된 폐쇄형 환경에서 의심스러운 파일을 분석합니다. |
| 통계 만들기 | 체크박스 | 예 | 사용 설정하면 작업에서 제출된 파일에 대한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
항목 통계
항목 통계 예:
악의적: True
심각도: MAJR C&C 서비스 수: 15 실행된 프로세스 수: 0 레지스트리 변경 수: 13 추출된 파일 수: 10
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
비동기 메시지: 다음 파일의 처리를 기다리는 중: {pending files} 작업이 실패하고 플레이북 실행을 중지해야 합니다. 제한 시간이 초과된 경우: "Error executing action "Submit File". 이유: 작업 제한 시간이 초과되었습니다. 다음 파일은 아직 처리 중입니다. {대기 중인 파일} IDE에서 제한 시간을 늘리세요. 참고: 동일한 파일을 추가하면 Trellix Malware Analysis에서 별도의 분석 작업이 생성됩니다. 파일을 하나 이상 찾을 수 없는 경우: ''케이스에 파일 첨부' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 다음 파일을 찾을 수 없거나 작업에 액세스할 권한이 충분하지 않습니다. {not available files}' |
일반 |
어플라이언스 세부정보 가져오기
설명
Trellix 멀웨어 분석 어플라이언스에 관한 정보를 가져옵니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.