FireEye AX
整合版本:3.0
應用實例
對實體執行擴充作業。
在 Google Security Operations 中設定 FireEye AX 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https:/<<ip address>> | 是 | Trellix 惡意軟體分析執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix Malware Analysis 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix Malware Analysis 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,請確認連線至 Trellix Malware Analysis 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix Malware Analysis 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行劇本:
動作應會失敗並停止執行劇本:
|
一般 |
提交網址
說明
使用 Trellix Malware Analysis 中的網址提交檔案以供分析。支援的實體:網址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| VM 設定檔 | 字串 | 不適用 | 是 | 指定分析期間應使用的虛擬機器設定檔。可用的 VM 設定檔位於「Get Appliance Details」動作中 |
| 應用程式 ID | 字串 | 不適用 | 否 | 指定分析檔案時要使用的應用程式 ID。根據預設,Trellix Malware Analysis 會自動選取所需應用程式。如要取得設定檔中的可用應用程式清單,請執行「Get Appliance Details」動作 |
| 優先順序 | DDL | 一般 可能的值: 一般 緊急通知 |
否 | 指定提交內容的優先順序。「一般」會將提交內容放在佇列底部,「緊急」則會放在佇列頂端。 |
| 強制重新掃描 | 核取方塊 | 否 | 啟用後,系統會強制 Trellix Malware Analysis 重新掃描提交的檔案。 | |
| Analysis Type | DDL | 即時 可能的值: 即時 沙箱 |
否 | 指定分析類型。如果選取「Live」,Trellix Malware Analysis 會在 Malware Analysis Multi-Vector Virtual Execution (MVX) 分析引擎中,即時分析可疑檔案。如果選取「沙箱」,Trellix 惡意軟體分析功能會在封閉的受保護環境中分析可疑檔案。 |
| 建立洞察資料 | 核取方塊 | 是 | 如果啟用,動作會建立洞察資料,內含提交檔案的相關資訊。 |
執行時間
這項動作會對網址實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
擴充資料表
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 惡意 | 以 JSON 格式提供時 |
| 嚴重性 | 以 JSON 格式提供時 |
實體洞察
實體洞察範例:
惡意:True
嚴重程度:MINR C&C 服務計數:0 執行的程序計數:0 登錄檔變更計數:0 擷取的檔案計數:0
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行:
如果其中一個資料無法使用 (is_success=true):「Action wasn't able to enrich the following entities using information from Trellix Malware Analysis: {entity.identifier}」(動作無法使用 Trellix 惡意軟體分析的資訊,擴充下列實體:{entity.identifier}) 如果所有實體都沒有資料 (is_success=false):系統不會擴充任何提供的實體。 非同步訊息:等待處理下列檔案:{pending files} 動作應會失敗並停止執行劇本: 如果逾時:「Error executing action "Enrich Entities". 原因:動作逾時。下列檔案仍在處理中:{pending urls}。請在 IDE 中增加逾時時間。注意:新增相同檔案會在 Trellix Malware Analysis 中建立個別的分析工作。 |
一般 |
| 案件總覽表格 | 標題:{entity.identifier} | 實體 |
提交檔案
說明
在 Trellix Malware Analysis 中提交檔案以供分析。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | CSV | 不適用 | 是 | 指定要提交的絕對檔案路徑清單 (以半形逗號分隔)。 |
| VM 設定檔 | 字串 | 不適用 | 是 | 指定分析期間應使用的虛擬機器設定檔。可用的 VM 設定檔位於「Get Appliance Details」動作中 |
| 應用程式 ID | 字串 | 不適用 | 否 | 指定分析檔案時要使用的應用程式 ID。根據預設,Trellix Malware Analysis 會自動選取所需應用程式。如要取得設定檔中的可用應用程式清單,請執行「Get Appliance Details」動作 |
| 優先順序 | DDL | 一般 可能的值: 一般 緊急通知 |
否 | 指定提交內容的優先順序。「一般」會將提交內容放在佇列底部,「緊急」則會放在佇列頂端。 |
| 強制重新掃描 | 核取方塊 | 否 | 啟用後,系統會強制 Trellix Malware Analysis 重新掃描提交的檔案。 | |
| Analysis Type | DDL | 即時 可能的值: 即時 沙箱 |
否 | 指定分析類型。如果選取「Live」,Trellix Malware Analysis 會在 Malware Analysis Multi-Vector Virtual Execution (MVX) 分析引擎中,即時分析可疑檔案。如果選取「沙箱」,Trellix 惡意軟體分析功能會在封閉的受保護環境中分析可疑檔案。 |
| 建立洞察資料 | 核取方塊 | 是 | 如果啟用,動作會建立洞察資料,內含提交檔案的相關資訊。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
實體洞察
實體洞察範例:
惡意:True
嚴重程度:MAJR C&C 服務數量:15 執行的程序數量:0 登錄檔變更數量:13 擷取的檔案數量:10
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行:
非同步訊息:等待處理下列檔案:{pending files} 動作應會失敗並停止執行劇本: 如果逾時:「Error executing action "Submit File". 原因:動作逾時。以下檔案仍在處理中:{pending files}。請在 IDE 中增加逾時時間。注意:新增相同檔案會在 Trellix Malware Analysis 中建立個別的分析工作。 如果找不到至少一個檔案:「Error executing action "Attach File To Case". 原因:找不到下列檔案,或動作沒有足夠的存取權限:{not available files} |
一般 |
取得設備詳細資料
說明
擷取 Trellix Malware Analysis 設備的相關資訊。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行:
動作應會失敗並停止執行劇本:
|
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。