FireEye AX
Versão da integração: 3.0
Casos de uso
Realizar o enriquecimento de entidades.
Configurar a integração do FireEye AX no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https:/<<ip address>> | Sim | Raiz da API da instância de análise de malware da Trellix. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix Malware Analysis. |
| Senha | Senha | N/A | Sim | Senha da conta do Trellix Malware Analysis. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor do Trellix Malware Analysis é válido. |
Ações
Ping
Descrição
Teste a conectividade com a análise de malware da Trellix usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação vai falhar e interromper a execução de um playbook: |
Geral |
Enviar URL
Descrição
Envie o arquivo para análise usando o URL no Trellix Malware Analysis. Entidades compatíveis: URL.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Perfil da VM | String | N/A | Sim | Especifique o perfil da máquina virtual que será usado durante a análise. Os perfis de VM disponíveis estão na ação "Get Appliance Details" |
| ID do aplicativo | String | N/A | Não | Especifique o ID do aplicativo que precisa ser usado durante a análise do arquivo. Por padrão, o Trellix Malware Analysis seleciona automaticamente o aplicativo necessário. Para receber uma lista de aplicativos disponíveis no perfil, execute a ação "Get Appliance Details" |
| Prioridade | DDL | Normal Valores possíveis: Normal Urgente |
Não | Especifique a prioridade do envio. "Normal" coloca o envio na parte de baixo da fila, enquanto "Urgente" coloca na parte de cima. |
| Forçar nova verificação | Caixa de seleção | Não | Se ativada, a ação vai forçar a Trellix Malware Analysis a verificar novamente o arquivo enviado. | |
| Analysis Type | DDL | Ao vivo Valores possíveis: Ao vivo Sandbox |
Não | Especifique o tipo de análise. Se a opção "Ao vivo" estiver selecionada, a Trellix Malware Analysis vai analisar os arquivos suspeitos ao vivo no mecanismo de análise de execução virtual multivetorial (MVX). Se "Sandbox" estiver selecionado, a Trellix Malware Analysis vai analisar os arquivos suspeitos em um ambiente fechado e protegido. |
| Criar insight | Caixa de seleção | Sim | Se ativada, a ação vai criar um insight com informações sobre o arquivo enviado. |
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Tabela de enriquecimento
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| malicioso | Quando disponível em JSON |
| gravidade, | Quando disponível em JSON |
Insight de entidade
Exemplo de insight de entidade:
Malicioso:True
Gravidade:MINR Contagem de serviços de C&C:0 Contagem de processos executados:0 Contagem de mudanças no registro:0 Contagem de arquivos extraídos:0
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
Se os dados não estiverem disponíveis para um (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações da Trellix Malware Analysis: {entity.identifier}" Se os dados não estiverem disponíveis para todos (is_success=false): nenhuma das entidades fornecidas foi enriquecida. Mensagem assíncrona:aguardando o processamento dos seguintes arquivos: {pending files} A ação precisa falhar e interromper a execução de um playbook: Se o tempo limite for atingido: "Erro ao executar a ação "Enriquecer entidades". Motivo: a ação atingiu o tempo limite. Os seguintes arquivos ainda estão sendo processados: {pending urls}. Aumente o tempo limite no IDE. Observação: adicionar os mesmos arquivos cria um job de análise separado no Trellix Malware Analysis. |
Geral |
| Tabela do painel de casos | Título: {entity.identifier} | Entidade |
Enviar arquivo
Descrição
Envie o arquivo para análise no Trellix Malware Analysis.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminhos de arquivos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de caminhos absolutos de arquivos para envio. |
| Perfil da VM | String | N/A | Sim | Especifique o perfil da máquina virtual que será usado durante a análise. Os perfis de VM disponíveis estão na ação "Get Appliance Details" |
| ID do aplicativo | String | N/A | Não | Especifique o ID do aplicativo que precisa ser usado durante a análise do arquivo. Por padrão, o Trellix Malware Analysis seleciona automaticamente o aplicativo necessário. Para receber uma lista de aplicativos disponíveis no perfil, execute a ação "Get Appliance Details" |
| Prioridade | DDL | Normal Valores possíveis: Normal Urgente |
Não | Especifique a prioridade do envio. "Normal" coloca o envio na parte de baixo da fila, enquanto "Urgente" coloca na parte de cima. |
| Forçar nova verificação | Caixa de seleção | Não | Se ativada, a ação vai forçar a Trellix Malware Analysis a verificar novamente o arquivo enviado. | |
| Analysis Type | DDL | Ao vivo Valores possíveis: Ao vivo Sandbox |
Não | Especifique o tipo de análise. Se a opção "Ao vivo" estiver selecionada, a Trellix Malware Analysis vai analisar os arquivos suspeitos ao vivo no mecanismo de análise de execução virtual multivetorial (MVX). Se "Sandbox" estiver selecionado, a Trellix Malware Analysis vai analisar os arquivos suspeitos em um ambiente fechado e protegido. |
| Criar insight | Caixa de seleção | Sim | Se ativada, a ação vai criar um insight com informações sobre o arquivo enviado. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Insight de entidade
Exemplo de insight de entidade:
Malicioso:True
Gravidade:MAJR Contagem de serviços de C&C:15 Contagem de processos executados:0 Contagem de alterações no registro:13 Contagem de arquivos extraídos:10
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
Mensagem assíncrona:aguardando o processamento dos seguintes arquivos: {pending files} A ação precisa falhar e interromper a execução de um playbook: Se houver tempo limite: "Erro ao executar a ação "Enviar arquivo". Motivo: a ação atingiu o tempo limite. Os seguintes arquivos ainda estão sendo processados: {pending files}. Aumente o tempo limite no IDE. Observação: adicionar os mesmos arquivos cria um job de análise separado no Trellix Malware Analysis. Se pelo menos um arquivo não for encontrado: "Erro ao executar a ação "Anexar arquivo ao caso". Motivo: os seguintes arquivos não foram encontrados ou a ação não tem permissões suficientes para acessá-los: {not available files}' |
Geral |
Receber detalhes do Appliance
Descrição
Recupera informações sobre o appliance de análise de malware da Trellix.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.