FireEye AX
Versão da integração: 3.0
Exemplos de utilização
Realizar o enriquecimento de entidades.
Configure a integração do FireEye AX no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https:/<<ip address>> | Sim | Raiz da API da instância de análise de software malicioso da Trellix. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta de análise de software malicioso da Trellix. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Trellix Malware Analysis. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor de análise de software malicioso da Trellix é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade à análise de software malicioso da Trellix com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia:
A ação deve falhar e parar a execução de um guia:
|
Geral |
Enviar URL
Descrição
Envie o ficheiro para análise através do URL na análise de software malicioso da Trellix. Entidades suportadas: URL.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Perfil da VM | String | N/A | Sim | Especifique o perfil da máquina virtual que deve ser usado durante a análise. Os perfis de VMs disponíveis estão disponíveis na ação "Get Appliance Details" |
| ID da aplicação | String | N/A | Não | Especifique o ID da aplicação que tem de ser usado durante a análise do ficheiro. Por predefinição, a Trellix Malware Analysis seleciona automaticamente a aplicação necessária. Para receber uma lista de aplicações disponíveis no perfil, execute a ação "Get Appliance Details" (Obter detalhes do dispositivo) |
| Prioridade | LDD | Normal Valores possíveis: Normal Urgente |
Não | Especifique a prioridade do envio. "Normal" coloca o envio na parte inferior da fila, enquanto "Urgente" coloca o envio na parte superior da fila. |
| Forçar nova análise | Caixa de verificação | Não | Se estiver ativada, a ação força a análise de software malicioso da Trellix a voltar a analisar o ficheiro enviado. | |
| Tipo de análise | LDD | Em direto Valores possíveis: Em direto Sandbox |
Não | Especifique o tipo de análise. Se a opção "Em direto" estiver selecionada, a análise de software malicioso da Trellix analisa os ficheiros suspeitos em direto no motor de análise de execução virtual (MVX) de vários vetores de análise de software malicioso. Se "Sandbox" estiver selecionado, a análise de software malicioso da Trellix analisa os ficheiros suspeitos num ambiente fechado e protegido. |
| Crie estatísticas | Caixa de verificação | Sim | Se estiver ativada, a ação cria uma estatística com informações sobre o ficheiro enviado. |
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Tabela de enriquecimento
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| malicioso | Quando estiver disponível em JSON |
| gravidade | Quando estiver disponível em JSON |
Estatísticas de entidades
Exemplo de estatísticas de entidades:
Malicioso: verdadeiro
Gravidade: MINR C&C Services Count: 0 Executed Processes Count: 0 Registry Changes Count: 0 Extracted Files Count: 0
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos:
Se os dados não estiverem disponíveis para um (is_success=true): "Action wasn't able to enrich the following entities using information from Trellix Malware Analysis: {entity.identifier}" (A ação não conseguiu enriquecer as seguintes entidades com informações da análise de software malicioso da Trellix: {entity.identifier}) Se os dados não estiverem disponíveis para todos (is_success=false): nenhuma das entidades fornecidas foi enriquecida. Mensagem assíncrona: a aguardar o processamento dos seguintes ficheiros: {pending files} A ação deve falhar e parar a execução de um playbook: Se o tempo limite for excedido: "Erro ao executar a ação "Enriquecer entidades". Motivo: a ação atingiu o limite de tempo. Os seguintes ficheiros ainda estão a ser processados: {pending urls}. Aumente o limite de tempo no IDE. Nota: a adição dos mesmos ficheiros cria uma tarefa de análise separada na Trellix Malware Analysis. |
Geral |
| Tabela de parede da caixa | Título: {entity.identifier} | Entidade |
Enviar ficheiro
Descrição
Envie o ficheiro para análise no Trellix Malware Analysis.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de ficheiros | CSV | N/A | Sim | Especifique uma lista de caminhos de ficheiros absolutos separados por vírgulas para envio. |
| Perfil da VM | String | N/A | Sim | Especifique o perfil da máquina virtual que deve ser usado durante a análise. Os perfis de VMs disponíveis estão disponíveis na ação "Get Appliance Details" |
| ID da aplicação | String | N/A | Não | Especifique o ID da aplicação que tem de ser usado durante a análise do ficheiro. Por predefinição, a Trellix Malware Analysis seleciona automaticamente a aplicação necessária. Para receber uma lista de aplicações disponíveis no perfil, execute a ação "Get Appliance Details" (Obter detalhes do dispositivo) |
| Prioridade | LDD | Normal Valores possíveis: Normal Urgente |
Não | Especifique a prioridade do envio. "Normal" coloca o envio na parte inferior da fila, enquanto "Urgente" coloca o envio na parte superior da fila. |
| Forçar nova análise | Caixa de verificação | Não | Se estiver ativada, a ação força a análise de software malicioso da Trellix a voltar a analisar o ficheiro enviado. | |
| Tipo de análise | LDD | Em direto Valores possíveis: Em direto Sandbox |
Não | Especifique o tipo de análise. Se a opção "Em direto" estiver selecionada, a análise de software malicioso da Trellix analisa os ficheiros suspeitos em direto no motor de análise de execução virtual (MVX) de vários vetores de análise de software malicioso. Se "Sandbox" estiver selecionado, a análise de software malicioso da Trellix analisa os ficheiros suspeitos num ambiente fechado e protegido. |
| Crie estatísticas | Caixa de verificação | Sim | Se estiver ativada, a ação cria uma estatística com informações sobre o ficheiro enviado. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Estatísticas de entidades
Exemplo de estatísticas de entidades:
Malicioso: verdadeiro
Gravidade: MAJR C&C Services Count: 15 Executed Processes Count: 0 Registry Changes Count: 13 Extracted Files Count: 10
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook:
Mensagem assíncrona: a aguardar o processamento dos seguintes ficheiros: {pending files} A ação deve falhar e parar a execução de um guião: Se o tempo limite for excedido: "Erro ao executar a ação "Enviar ficheiro". Motivo: a ação atingiu o limite de tempo. Os seguintes ficheiros ainda estão a ser processados: {pending files}. Aumente o limite de tempo no IDE. Nota: a adição dos mesmos ficheiros cria uma tarefa de análise separada na Trellix Malware Analysis. Se não for encontrado, pelo menos, um ficheiro: "Erro ao executar a ação "Anexar ficheiro ao registo". Motivo: não foram encontrados os seguintes ficheiros ou a ação não tem autorizações suficientes para aceder aos mesmos: {not available files}' |
Geral |
Obtenha detalhes de eletrodomésticos
Descrição
Obtenha informações sobre o dispositivo de análise de software malicioso da Trellix.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook:
A ação deve falhar e parar a execução de um manual de soluções:
|
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.