Google Threat Intelligence in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Google Threat Intelligence in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 1.0
Hinweise
Für die Integration benötigen Sie einen API-Schlüssel. Weitere Informationen finden Sie unter Google Threat Intelligence API-Schlüssel.
Integrationsparameter
Für die Google Threat Intelligence-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich. Der API-Stamm der Google Threat Intelligence-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der Google Threat Intelligence API-Schlüssel. |
ASM Project Name |
Optional. Der Name des Mandiant Attack Surface Management-Projekts (ASM), das in der Integration verwendet werden soll. Dieser Parameter ist erforderlich, um die Aktionen Search ASM Entities, Search ASM Issues und Update ASM Issue auszuführen. Wenn kein Wert festgelegt ist, werden nur Benachrichtigungen aus Sammlungen im primären Projekt zurückgegeben. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google Threat Intelligence-Server validiert. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Kommentar zu Entität hinzufügen
Mit der Aktion Add Comment To Entity (Kommentar zu Entität hinzufügen) können Sie Kommentare zu Google SecOps-Entitäten in Google Threat Intelligence hinzufügen.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Comment |
Erforderlich. Ein Kommentar, der allen unterstützten Einheiten hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Add Comment To Entity (Kommentar zur Entität hinzufügen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) empfangen werden:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabemeldungen
Die Aktion Add Comment To Entity kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Add Comment To Entity (Kommentar zu Einheit hinzufügen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entität eine Stimme geben
Mit der Aktion Add Comment To Entity (Kommentar zu Entität hinzufügen) können Sie Google SecOps-Entitäten in Google Threat Intelligence Bewertungen hinzufügen.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Add Vote To Entity sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Vote |
Erforderlich. Eine Stimme, die allen unterstützten Entitäten hinzugefügt wird. Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ausgabe, die bei Verwendung der Aktion Add Vote To Entity (Stimme für Rechtssubjekt hinzufügen) zurückgegeben wird:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabemeldungen
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Vote To Entity verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei herunterladen
Mit der Aktion Datei herunterladen können Sie eine Datei aus Google Threat Intelligence herunterladen.
Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Aktionseingaben
Für die Aktion Datei herunterladen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Download Folder Path |
Erforderlich. Der Pfad zum Ordner, in dem heruntergeladene Dateien gespeichert werden sollen. |
Overwrite |
Erforderlich. Wenn diese Option ausgewählt ist, wird eine vorhandene Datei mit der neuen Datei überschrieben, wenn die Dateinamen identisch sind. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Datei herunterladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Datei herunterladen empfangen wird:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Ausgabemeldungen
Die Aktion Datei herunterladen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Download File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Entitäten anreichern
Mit der Aktion Enrich Entities (Entitäten anreichern) können Sie Entitäten mit Informationen aus Google Threat Intelligence anreichern.
Diese Aktion unterstützt die Hashes MD5, SHA-1 und SHA-256.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainHashHostnameIP AddressURLCVEThreat Actor
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Resubmit Entity |
Optional. Wenn diese Option ausgewählt ist, werden Entitäten zur Analyse noch einmal eingereicht, anstatt die Entitätsinformationen aus dem vorherigen Aktionslauf zu verwenden. Dieser Parameter unterstützt nur die Einheiten Diese Option ist standardmäßig nicht ausgewählt. |
Resubmit After (Days) |
Optional. Die Anzahl der Tage, die gewartet werden soll, bevor die Einheit noch einmal eingereicht wird. Wenn Sie diesen Parameter verwenden möchten, wählen Sie den Parameter Der Standardwert ist Dieser Parameter unterstützt nur die Einheiten |
Sandbox |
Optional. Eine durch Kommas getrennte Liste der zu analysierenden Sandboxes, z. B. Dieser Parameter unterstützt nur die Wenn Sie diesen Parameter nicht festlegen, wird die Standardsandbox verwendet, die |
Retrieve Sandbox Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion die Sandbox-Analyse für die Einheit ab und erstellt im JSON-Ergebnis einen separaten Bereich für jede Sandbox. Die Aktion gibt Daten für Sandboxes zurück, die Sie im Parameter Dieser Parameter unterstützt nur die Diese Option ist standardmäßig nicht ausgewählt. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, gibt die Aktion Informationen zu den zugehörigen MITRE-Techniken und ‑Taktiken zurück. Dieser Parameter unterstützt nur die Diese Option ist standardmäßig nicht ausgewählt. |
Lowest MITRE Technique Severity |
Optional. Der niedrigste Schweregrad der MITRE-Technik, der zurückgegeben werden soll. Bei der Aktion wird die Schwere Dieser Parameter unterstützt nur die Folgende Werte sind möglich:
Der Standardwert ist |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden Kommentare zur Entität abgerufen. Dieser Parameter unterstützt die folgenden Einheiten:
|
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis. | Verfügbar |
Link zum Fall‑Repository
Die Aktion Enrich Entities (Entitäten anreichern) kann die folgenden Links zurückgeben:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionBedrohungsakteur:
https://www.virustotal.com/gui/collection/threat-actor--IDSicherheitslücke:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabelle zur Elementanreicherung
- Die Aktion Enrich Entities unterstützt die folgenden Anreicherungen von Entitäten für IP-Adressen:
- Die Aktion Enrich Entities unterstützt die folgenden Entitätsanreicherungen für URL:
- Die Aktion Entitäten anreichern unterstützt die folgenden Entitätenanreicherungen für Hash:
- Die Aktion Entitäten anreichern unterstützt die folgenden Entitätenanreicherungen für Domain/Hostname:
- Die Aktion Enrich Entities (Entitäten anreichern) unterstützt die folgenden Entitätenanreicherungen für Threat Actor (Bedrohungsakteur):
- Die Aktion Enrich Entities unterstützt die folgenden Entitätsanreicherungen für Vulnerability:
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_id |
id |
Wenn im JSON-Ergebnis verfügbar. |
GTI_owner |
as_owner |
Wenn im JSON-Ergebnis verfügbar. |
GTI_asn |
asn |
Wenn im JSON-Ergebnis verfügbar. |
GTI_continent |
continent |
Wenn im JSON-Ergebnis verfügbar. |
GTI_country |
country |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_count |
last_analysis_stats/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_count |
last_analysis_stats/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_undetected_count |
last_analysis_stats/undetected |
Wenn im JSON-Ergebnis verfügbar. |
GTI_certificate_valid_not_after |
validity/not_after |
Wenn im JSON-Ergebnis verfügbar. |
GTI_certificate_valid_not_before |
validity/not_before |
Wenn im JSON-Ergebnis verfügbar. |
GTI_reputation |
reputation |
Wenn im JSON-Ergebnis verfügbar. |
GTI_tags |
Comma-separated list of tags |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_vote_count |
total_votes/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_vote_count |
total_votes/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
report_link |
Wenn im JSON-Ergebnis verfügbar. |
GTI_widget_link |
widget_url |
Wenn im JSON-Ergebnis verfügbar. |
GTI_threat_score |
gti_assessment.threat_score.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_severity |
gti_assessment.severity.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Wenn im JSON-Ergebnis verfügbar. |
GTI_verdict |
gti_assessment.verdict.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
gti_assessment.description |
Wenn im JSON-Ergebnis verfügbar. |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_id |
id |
Wenn im JSON-Ergebnis verfügbar. |
GTI_title |
title |
Wenn im JSON-Ergebnis verfügbar. |
GTI_last_http_response_code |
last_http_response_code |
Wenn im JSON-Ergebnis verfügbar. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Wenn im JSON-Ergebnis verfügbar. |
GTI_threat_names |
Comma-separated list of threat_names |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_count |
last_analysis_stats/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_count |
last_analysis_stats/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_undetected_count |
last_analysis_stats/undetected |
Wenn im JSON-Ergebnis verfügbar. |
GTI_reputation |
reputation |
Wenn im JSON-Ergebnis verfügbar. |
GTI_tags |
Comma-separated list of tags |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_vote_count |
total_votes/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_vote_count |
total_votes/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
report_link |
Wenn im JSON-Ergebnis verfügbar. |
GTI_widget_link |
widget_url |
Wenn im JSON-Ergebnis verfügbar. |
GTI_threat_score |
gti_assessment.threat_score.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_severity |
gti_assessment.severity.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Wenn im JSON-Ergebnis verfügbar. |
GTI_verdict |
gti_assessment.verdict.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
gti_assessment.description |
Wenn im JSON-Ergebnis verfügbar. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Wenn im JSON-Ergebnis verfügbar. |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_id |
id |
Wenn im JSON-Ergebnis verfügbar. |
GTI_magic |
magic |
Wenn im JSON-Ergebnis verfügbar. |
GTI_md5 |
md5 |
Wenn im JSON-Ergebnis verfügbar. |
GTI_sha1 |
sha1 |
Wenn im JSON-Ergebnis verfügbar. |
GTI_sha256 |
sha256 |
Wenn im JSON-Ergebnis verfügbar. |
GTI_ssdeep |
ssdeep |
Wenn im JSON-Ergebnis verfügbar. |
GTI_tlsh |
tlsh |
Wenn im JSON-Ergebnis verfügbar. |
GTI_vhash |
vhash |
Wenn im JSON-Ergebnis verfügbar. |
GTI_meaningful_name |
meaningful_name |
Wenn im JSON-Ergebnis verfügbar. |
GTI_magic |
Comma-separated list of names |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_count |
last_analysis_stats/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_count |
last_analysis_stats/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_undetected_count |
last_analysis_stats/undetected |
Wenn im JSON-Ergebnis verfügbar. |
GTI_reputation |
reputation |
Wenn im JSON-Ergebnis verfügbar. |
GTI_tags |
Comma-separated list of tags |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_vote_count |
total_votes/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_vote_count |
total_votes/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
report_link |
Wenn im JSON-Ergebnis verfügbar. |
GTI_widget_link |
widget_url |
Wenn im JSON-Ergebnis verfügbar. |
GTI_threat_score |
gti_assessment.threat_score.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_severity |
gti_assessment.severity.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Wenn im JSON-Ergebnis verfügbar. |
GTI_verdict |
gti_assessment.verdict.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
gti_assessment.description |
Wenn im JSON-Ergebnis verfügbar. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_id |
id |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_count |
last_analysis_stats/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_count |
last_analysis_stats/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_undetected_count |
last_analysis_stats/undetected |
Wenn im JSON-Ergebnis verfügbar. |
GTI_reputation |
reputation |
Wenn im JSON-Ergebnis verfügbar. |
GTI_tags |
Comma-separated list of tags |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malicious_vote_count |
total_votes/malicious |
Wenn im JSON-Ergebnis verfügbar. |
GTI_harmless_vote_count |
total_votes/harmless |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
report_link |
Wenn im JSON-Ergebnis verfügbar. |
GTI_widget_link |
widget_url |
Wenn im JSON-Ergebnis verfügbar. |
GTI_threat_score |
gti_assessment.threat_score.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_severity |
gti_assessment.severity.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Wenn im JSON-Ergebnis verfügbar. |
GTI_verdict |
gti_assessment.verdict.value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
gti_assessment.description |
Wenn im JSON-Ergebnis verfügbar. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Wenn im JSON-Ergebnis verfügbar. |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Wenn im JSON-Ergebnis verfügbar. |
GTI_aliases |
Csv of alt_names_details/value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_industries |
Csv of targeted_industries/value |
Wenn im JSON-Ergebnis verfügbar. |
GTI_malware |
Csv of malware/name |
Wenn im JSON-Ergebnis verfügbar. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Wenn im JSON-Ergebnis verfügbar. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Wenn im JSON-Ergebnis verfügbar. |
GTI_origin |
origin |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
description |
Wenn im JSON-Ergebnis verfügbar. |
GTI_last_activity_time |
last_activity_time |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
We craft it. |
Wenn im JSON-Ergebnis verfügbar. |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GTI_sources |
Csv of source_name |
Wenn im JSON-Ergebnis verfügbar. |
GTI_exploitation_state |
exploitation_state |
Wenn im JSON-Ergebnis verfügbar. |
GTI_date_of_disclosure |
date_of_disclosure |
Wenn im JSON-Ergebnis verfügbar. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Wenn im JSON-Ergebnis verfügbar. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Wenn im JSON-Ergebnis verfügbar. |
GTI_description |
description |
Wenn im JSON-Ergebnis verfügbar. |
GTI_risk_rating |
risk_rating |
Wenn im JSON-Ergebnis verfügbar. |
GTI_available_mitigation |
CSV of available_mitigation |
Wenn im JSON-Ergebnis verfügbar. |
GTI_exploitation_consequence |
exploitation_consequence |
Wenn im JSON-Ergebnis verfügbar. |
GTI_report_link |
We craft it. |
Wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe für IOCs (IP-, Hash-, URL-, Domain- und Hostname-Entitäten), die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen werden:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe für „Vulnerabilities received“ (Empfangene Sicherheitslücken) bei Verwendung der Aktion Enrich Entities (Entitäten anreichern):
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe für Threat Actors, die bei Verwendung der Aktion Enrich Entities empfangen wurden:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Ausgabemeldungen
Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs anreichern
Mit der Aktion IOCs anreichern können Sie die Bedrohungsindikatoren (Indicators of Compromise, IoCs) mit Informationen aus Google Threat Intelligence anreichern.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOCs anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Type |
Optional. Der Typ des anzureichernden IOC. Folgende Werte sind möglich:
Der Standardwert ist |
IOCs |
Erforderlich. Eine durch Kommas getrennte Liste von IOCs, für die Daten aufgenommen werden sollen. |
Aktionsausgaben
Die Aktion IOCs anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion IOCs anreichern kann für jede angereicherte Einheit den folgenden Link bereitstellen:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion IOCs anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitstellen:
Tabellenname: IOC_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion IOCs anreichern empfangen wird:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Ausgabemeldungen
Die Aktion IOCs anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOC-Suche ausführen
Verwenden Sie die Aktion Execute IOC Search (IOC-Suche ausführen), um die IOC-Suche in Google Threat Intelligence auszuführen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOC-Suche ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Search Query |
Erforderlich. Eine Suchanfrage, die ausgeführt werden soll, z. B. |
Max Results To Return |
Optional. Die maximale Anzahl der Ergebnisse, die für jeden Aktionslauf zurückgegeben werden sollen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion IOC-Suche ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Execute IOC Search (IOC-Suche ausführen) empfangen wird:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Ausgabemeldungen
Die Aktion IOC-Suche ausführen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOC-Suche ausführen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
ASM-Entitätsdetails abrufen
Mit der Aktion ASM-Entitätsdetails abrufen können Sie Informationen zu einer ASM-Entität in Google Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion ASM-Entitätsdetails abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Entity ID |
Erforderlich. Eine durch Kommas getrennte Liste von Entitäts-IDs, für die Details abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Get ASM Entity Details (ASM-Entitätsdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get ASM Entity Details (ASM-Entitätsdetails abrufen) empfangen wird:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Ausgabemeldungen
Die Aktion ASM-Entitätsdetails abrufen kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get ASM Entity Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Diagrammdetails abrufen
Mit der Aktion Get Graph Details (Grafikdetails abrufen) können Sie detaillierte Informationen zu Grafiken in Google Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Graph-Details abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Graph ID |
Erforderlich. Eine durch Kommas getrennte Liste von Diagramm-IDs, für die Details abgerufen werden sollen. |
Max Links To Return |
Erforderlich. Die maximale Anzahl der Links, die für jedes Diagramm zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Graph Details (Diagrammdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion Get Graph Details (Graph-Details abrufen) kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: Graph GRAPH_ID Links
Tabellenspalten:
- Quelle
- Ziel-
- Verbindungstyp
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get Graph Details (Diagrammdetails abrufen) empfangen wird:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Ausgabemeldungen
Die Aktion Get Graph Details (Grafikdetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Graph Details (Diagrammdetails abrufen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige IOCs abrufen
Mit der Aktion Get Related IOCs (Zugehörige IOCs abrufen) können Sie Informationen zu IOCs abrufen, die sich auf Entitäten beziehen. Dazu werden Informationen aus Google Threat Intelligence verwendet.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP addressURLHostnameDomainHashThreat Actor
Aktionseingaben
Für die Aktion Get Related IOCs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Types |
Erforderlich. Eine durch Kommas getrennte Liste der zu extrahierenden IOCs. Mögliche Werte: |
Max IOCs To Return |
Erforderlich. Die maximale Anzahl von IOCs, die für ausgewählte IOC-Typen für jede Entität zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related IOCs (Zugehörige IOCs abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis. | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related IOCs (Zugehörige IOCs abrufen) empfangen wird:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Ausgabemeldungen
Die Aktion Get Related IOCs (Zugehörige IOCs abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related IOCs (Zugehörige IOCs abrufen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Google Threat Intelligence zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis. | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nach ASM-Entitäten suchen
Mit der Aktion ASM-Entitäten suchen können Sie in Google Threat Intelligence nach ASM-Entitäten suchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion ASM-Entitäten suchen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Project Name |
Optional. Der Name des ASM-Projekts. Wenn Sie keinen Wert festlegen, wird der Wert verwendet, den Sie für den Integrationsparameter |
Entity Name |
Optional. Eine durch Kommas getrennte Liste von Entitätsnamen, nach denen gesucht werden soll. Bei der Aktion werden Entitätsnamen, die |
Minimum Vulnerabilities Count |
Optional. Die Mindestanzahl an Sicherheitslücken, die erforderlich sind, damit die Aktion die Entität zurückgibt. |
Minimum Issues Count |
Optional. Die Mindestanzahl von Problemen, die für die Aktion erforderlich sind, um die Einheit zurückzugeben. |
Tags |
Optional. Eine durch Kommas getrennte Liste von Tagnamen, die bei der Suche nach Einheiten verwendet werden sollen. |
Max Entities To Return |
Optional. Die Anzahl der zurückzugebenden Entitäten. Der Höchstwert ist |
Critical or High Issue |
Optional. Wenn diese Option ausgewählt ist, werden nur Probleme mit dem Schweregrad Standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion ASM-Entitäten durchsuchen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion ASM-Entitäten suchen empfangen wird:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Ausgabemeldungen
Die Aktion Search ASM Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Search ASM Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nach ASM-Problemen suchen
Mit der Aktion Search ASM Issues (ASM-Probleme suchen) können Sie in Google Threat Intelligence nach ASM-Problemen suchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Search ASM Issues sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Project Name |
Optional. Der Name des ASM-Projekts. Wenn Sie keinen Wert festlegen, wird der Wert verwendet, den Sie für den Integrationsparameter |
Issue ID |
Optional. Eine durch Kommas getrennte Liste von Problem-IDs, für die die Details zurückgegeben werden sollen. |
Entity ID |
Optional. Eine durch Kommas getrennte Liste von Entitäts-IDs, für die zugehörige Probleme gefunden werden sollen. |
Entity Name |
Optional. Eine durch Kommas getrennte Liste von Entitätsnamen, nach denen ähnliche Probleme gesucht werden soll. Bei der Aktion werden Entitätsnamen, die |
Time Parameter |
Optional. Eine Filteroption zum Festlegen der Problemzeit. Die möglichen Werte sind Der Standardwert ist |
Time Frame |
Optional. Ein Zeitraum, nach dem Probleme gefiltert werden sollen. Wenn Sie Folgende Werte sind möglich:
Der Standardwert ist |
Start Time |
Optional. Die Startzeit für die Ergebnisse. Wenn Sie für den Parameter Konfigurieren Sie den Wert im ISO 8601-Format. |
End Time |
Optional. Die Endzeit für die Ergebnisse. Wenn Sie Konfigurieren Sie den Wert im ISO 8601-Format. |
Lowest Severity To Return |
Optional. Der niedrigste Schweregrad der zurückzugebenden Probleme. Folgende Werte sind möglich:
Der Standardwert ist Wenn Sie |
Status |
Optional. Der Statusfilter für die Suche. Die möglichen Werte sind Der Standardwert ist Wenn Sie |
Tags |
Optional. Eine durch Kommas getrennte Liste von Tagnamen, die bei der Suche nach Problemen verwendet werden sollen. |
Max Issues To Return |
Erforderlich. Die Anzahl der zurückzugebenden Probleme. Der Höchstwert ist |
Aktionsausgaben
Die Aktion ASM-Probleme suchen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Search ASM Issues (ASM-Probleme suchen) empfangen wird:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Ausgabemeldungen
Die Aktion Search ASM Issues kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Search ASM Issues verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entitätsdiagramme durchsuchen
Mit der Aktion Search Entity Graphs können Sie in Google Threat Intelligence nach Diagrammen suchen, die auf Google SecOps-Entitäten basieren.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Aktionseingaben
Für die Aktion Search Entity Graphs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Sort Field |
Optional. Der Feldwert, nach dem die Ergebnisse sortiert werden sollen. Folgende Werte sind möglich:
Der Standardwert ist |
Max Graphs To Return |
Optional. Die maximale Anzahl der Diagramme, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Search Entity Graphs (Objektgrafiken durchsuchen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Entity Graphs empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Ausgabemeldungen
Die Aktion Search Entity Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Grafiken durchsuchen
Mit der Aktion Search Graphs (Diagramme durchsuchen) können Sie Diagramme basierend auf benutzerdefinierten Filtern in Google Threat Intelligence durchsuchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Search Graphs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Der Abfragefilter für das Diagramm. Wenn Sie beispielsweise nach Grafiken im ausgewählten Zeitraum suchen möchten, formatieren Sie die Anfrage so:
Weitere Informationen zu Abfragen finden Sie unter Abfragen erstellen, Diagrammbezogene Modifizierer und Knotenbezogene Modifizierer. |
Sort Field |
Optional. Der Feldwert, nach dem die VirusTotal-Diagramme sortiert werden sollen. Folgende Werte sind möglich:
Der Standardwert ist |
Max Graphs To Return |
Optional. Die maximale Anzahl der Diagramme, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Abfragen erstellen
Wenn Sie Suchergebnisse aus Grafiken eingrenzen möchten, erstellen Sie Abfragen, die grafikbezogene Modifikatoren enthalten. Sie können Modifikatoren mit den Operatoren AND, OR und NOT kombinieren, um die Suche zu verbessern.
Datums- und numerische Felder unterstützen die Suffixe + (plus) und - (minus). Ein Pluszeichen am Ende entspricht Werten, die größer als der angegebene Wert sind. Ein Minuszeichen als Suffix entspricht Werten, die kleiner als der angegebene Wert sind. Ohne Suffix werden bei der Abfrage genaue Übereinstimmungen zurückgegeben.
Sie können denselben Modifikator mehrmals in einer Abfrage verwenden, um Bereiche zu definieren. Wenn Sie beispielsweise nach Grafiken suchen möchten, die zwischen dem 15.11.2018 und dem 20.11.2018 erstellt wurden, verwenden Sie die folgende Abfrage:
creation_date:2018-11-15+ creation_date:2018-11-20-
Entfernen Sie bei Datumsangaben oder Monaten, die mit 0 beginnen, das Zeichen 0 in der Abfrage.
Formatieren Sie beispielsweise das Datum 2018-11-01 als 2018-11-1.
Diagrammbezogene Modifikatoren
In der folgenden Tabelle sind die diagrammbezogenen Modifikatoren aufgeführt, die Sie zum Erstellen der Suchanfrage verwenden können:
| Name des Modifikators | Beschreibung | Beispiel |
|---|---|---|
id |
Filtert nach der Diagrammkennung. | id:g675a2fd4c8834e288af |
name |
Filtert nach dem Namen des Diagramms. | name:Example-name |
owner |
Filtert nach Diagrammen, die dem Nutzer gehören. | owner:example_user |
group |
Filtert nach Diagrammen, die einer Gruppe gehören. | group:example |
visible_to_user |
Filtert nach Diagrammen, die für den Nutzer sichtbar sind. | visible_to_user:example_user |
visible_to_group |
Filtert nach Diagrammen, die für die Gruppe sichtbar sind. | visible_to_group:example |
private |
Filtert nach privaten Grafiken. | private:true, private:false |
creation_date |
Filtert nach dem Erstellungsdatum des Diagramms. | creation_date:2018-11-15 |
last_modified_date |
Filtert nach dem Datum der letzten Änderung des Diagramms. | last_modified_date:2018-11-20 |
total_nodes |
Filtert nach Grafiken, die eine bestimmte Anzahl von Knoten enthalten. | total_nodes:100 |
comments_count |
Filtert nach der Anzahl der Kommentare im Diagramm. | comments_count:10+ |
views_count |
Filtert nach der Anzahl der Diagrammansichten. | views_count:1000+ |
Knotenbezogene Modifikatoren
In der folgenden Tabelle sind die diagrammbezogenen Modifikatoren aufgeführt, die Sie zum Erstellen der Suchanfrage verwenden können:
| Name des Modifikators | Beschreibung | Beispiel |
|---|---|---|
label |
Filtert nach Grafiken, die Knoten mit einem bestimmten Label enthalten. | label:Kill switch |
file |
Filtert nach Diagrammen, die die angegebene Datei enthalten. | file:131f95c51cc819465fa17 |
domain |
Filtert nach Grafiken, die die angegebene Domain enthalten. | domain:example.com |
ip_address |
Filtert nach Grafiken, die die angegebene IP-Adresse enthalten. | ip_address:203.0.113.1 |
url |
Filtert nach Grafiken, die die angegebene URL enthalten. | url:https://example.com/example/ |
actor |
Filtert nach Grafiken, die den angegebenen Schauspieler enthalten. | actor:example actor |
victim |
Filtert nach Grafiken, die das jeweilige Opfer enthalten. | victim:example_user |
email |
Filtert nach Grafiken, die die angegebene E-Mail-Adresse enthalten. | email:user@example.com |
department |
Filtert nach Grafiken, die die angegebene Abteilung enthalten. | department:engineers |
Aktionsausgaben
Die Aktion Search Graphs (Diagramme durchsuchen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Graphs (Graphen durchsuchen) empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Ausgabemeldungen
Die Aktion Search Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search Graphs aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
DTM-Benachrichtigungsanalyse einrichten
Mit der Aktion DTM-Benachrichtigungsanalyse festlegen können Sie eine Analyse für eine DTM-Benachrichtigung (Digital Threat Monitoring) in Google Threat Intelligence definieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion DTM-Benachrichtigungsanalyse festlegen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Alert ID |
Erforderlich. Die ID der Benachrichtigung, der die Analyse hinzugefügt werden soll. |
Text |
Erforderlich. Die Analyse, die der Benachrichtigung hinzugefügt werden soll. |
Attachment File Paths |
Optional. Eine durch Kommas getrennte Liste von Dateipfaden, die an die Benachrichtigung angehängt werden sollen. Es werden maximal 10 Anhänge unterstützt. |
Aktionsausgaben
Die Aktion DTM-Benachrichtigungsanalyse festlegen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis. | Verfügbar |
Ausgabemeldungen
Die Aktion Set DTM Alert Analysis kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion DTM-Warnungsanalyse festlegen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei einreichen
Mit der Aktion Datei einreichen können Sie eine Datei einreichen und Ergebnisse von Google Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Diese Aktion ist asynchron. Passen Sie den Wert für das Script-Zeitlimit in der integrierten Entwicklungsumgebung (IDE) von Google SecOps für die Aktion nach Bedarf an.
Aktionseingaben
Für die Aktion Datei einreichen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
External URLs |
Optional. Eine durch Kommas getrennte Liste mit öffentlichen URLs für die einzureichenden Dateien. Wenn sowohl „Externe URL“ als auch „Dateipfade“ angegeben werden, werden Dateien aus beiden Eingaben erfasst. |
File Paths |
Optional. Eine durch Kommas getrennte Liste absoluter Dateipfade. Wenn Sie den Parameter **Linux Server Address** konfigurieren, versucht die Aktion, die Datei von einem Remoteserver abzurufen. Wenn sowohl „Externe URL“ als auch „Dateipfade“ angegeben werden, werden Dateien aus beiden Eingaben erfasst. |
ZIP Password |
Optional. Ein Passwort für den komprimierten Ordner, der die einzureichenden Dateien enthält. |
Private Submission |
Optional. Wenn diese Option ausgewählt ist, wird die Datei im privaten Modus gesendet. Für das private Einreichen von Dateien ist die VirusTotal Premium API erforderlich. |
Check Hash |
Optional. Standardeinstellung: Deaktiviert. Wenn diese Option aktiviert ist, werden zuerst die Hashes für die Dateien berechnet und dann wird nach verfügbaren Informationen gesucht. Falls verfügbar, werden die Informationen ohne den Einreichungsprozess zurückgegeben. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion Kommentare zur eingereichten Datei ab. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, gibt die Aktion Informationen zu den zugehörigen MITRE-Techniken und ‑Taktiken zurück. Diese Option ist standardmäßig nicht ausgewählt. |
Lowest MITRE Technique Severity |
Optional. Der niedrigste Schweregrad der MITRE-Technik, der zurückgegeben werden soll. Bei der Aktion wird die Schwere Dieser Parameter unterstützt nur die Hash-Entität. Der Standardwert ist |
Retrieve AI Summary |
Optional. Wenn diese Option ausgewählt ist, wird für die eingereichte Datei eine KI-Zusammenfassung abgerufen. Die KI-Zusammenfassung ist nur für private Einsendungen verfügbar. Dieser Parameter wird noch getestet. Standardmäßig nicht ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die bei jeder Ausführung der Aktion zurückgegeben werden sollen. |
Linux Server Address |
Optional. Die IP-Adresse des Remote-Linux-Servers, auf dem sich die Datei befindet. |
Linux Username |
Optional. Der Nutzername des Remote-Linux-Servers, auf dem sich die Datei befindet. |
Linux Password |
Optional. Das Passwort des Remote-Linux-Servers, auf dem sich die Datei befindet. |
Aktionsausgaben
Die Aktion Datei einreichen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis. | Verfügbar |
Link zum Fall‑Repository
Die Aktion Datei einreichen kann den folgenden Link zurückgeben:
Berichtslink PATH:
URL
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Datei einreichen empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Ausgabemeldungen
Die Aktion Datei einreichen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Keine Werte für „Dateipfade“ oder „Externe URLs“ Mindestens einer der Parameter „Dateipfade“ oder „Externe URLs“ muss einen Wert haben. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei senden verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
ASM-Problem aktualisieren
Verwenden Sie die Aktion Update ASM Issue (ASM-Problem aktualisieren), um ein ASM-Problem in Google Threat Intelligence zu aktualisieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update ASM Issue sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Issue ID |
Erforderlich. Die ID des zu aktualisierenden Problems. |
Status |
Erforderlich. Der neue Status, der für das Problem festgelegt werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion ASM-Problem aktualisieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Update ASM Issue (ASM-Problem aktualisieren) empfangen wird:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Ausgabemeldungen
Die Aktion Update ASM Issue kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
Die Aktion wurde ausgeführt. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update ASM Issue aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
DTM-Benachrichtigung aktualisieren
Verwenden Sie die Aktion DTM-Benachrichtigung aktualisieren, um eine Mandiant Digital Threat Monitoring-Benachrichtigung in Google Threat Intelligence zu aktualisieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion DTM-Benachrichtigung aktualisieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Alert ID |
Erforderlich. Die ID der zu aktualisierenden Benachrichtigung. |
Status |
Optional. Der neue Status, der für die Benachrichtigung festgelegt werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion DTM-Benachrichtigung aktualisieren liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion DTM-Benachrichtigung aktualisieren empfangen wird:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Ausgabemeldungen
Die Aktion DTM-Benachrichtigung aktualisieren kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
Aktion erfolgreich. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update DTM Alert verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Google Threat Intelligence – DTM Alerts Connector
Mit dem Google Threat Intelligence – DTM Alerts Connector können Sie Benachrichtigungen aus Google Threat Intelligence abrufen. Verwenden Sie den Parameter alert_type, um mit einer dynamischen Liste zu arbeiten.
Connector-Eingaben
Für den Google Threat Intelligence – DTM Alerts Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich. Der API-Stamm der Google Threat Intelligence-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der Google Threat Intelligence API-Schlüssel. |
Lowest Severity To Fetch |
Optional. Der niedrigste Schweregrad der abzurufenden Benachrichtigungen. Wenn Sie diesen Parameter nicht konfigurieren, werden Warnungen mit allen Schweregraden aufgenommen. Folgende Werte sind möglich:
|
Monitor ID Filter |
Optional. Eine durch Kommas getrennte Liste von Monitor-IDs, für die die Benachrichtigungen abgerufen werden sollen. |
Event Type Filter |
Optional. Eine durch Kommas getrennte Liste der zurückzugebenden Ereignistypen. Bei der Eingabe wird die Groß-/Kleinschreibung nicht berücksichtigt. Wenn kein Wert angegeben ist, verarbeitet der Connector alle Ereignistypen. Wenn Sie einen bestimmten Typ ausschließen möchten, stellen Sie ihm ein Ausrufezeichen voran (z. B. |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig ausgewählt. |
Max Hours Backwards |
Erforderlich. Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Benachrichtigungen abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. Der Standardwert ist |
Max Alerts To Fetch |
Erforderlich. Die Anzahl der Benachrichtigungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist |
Use dynamic list as a blocklist |
Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google Threat Intelligence-Server validiert. Standardmäßig ausgewählt. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Google Threat Intelligence – DTM Alerts Connector unterstützt Proxys.
Connector-Ereignisse
Es gibt zwei Arten von Ereignissen für den Google Threat Intelligence – DTM Alerts Connector: ein Ereignis, das auf der Hauptbenachrichtigung basiert, und ein Ereignis, das auf einem Thema basiert.
Hier ist ein Beispiel für das Connector-Ereignis basierend auf der Hauptbenachrichtigung:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Ein Beispiel für das Connector-Ereignis basierend auf einem Thema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence – ASM Issues Connector
Mit dem Google Threat Intelligence – ASM Issues Connector können Sie Informationen zu ASM-Problemen aus Google Threat Intelligence abrufen. Wenn Sie den dynamischen Listenfilter verwenden möchten, nutzen Sie den Parameter category.
Connector-Eingaben
Für den Google Threat Intelligence – ASM Issues Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich. Der API-Stamm der Google Threat Intelligence-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der Google Threat Intelligence API-Schlüssel. |
Project Name |
Optional. Der Name des ASM-Projekts. Wenn Sie keinen Wert festlegen, werden nur Benachrichtigungen aus Sammlungen im primären Projekt zurückgegeben. |
Lowest Severity To Fetch |
Optional. Der niedrigste Schweregrad der abzurufenden Benachrichtigungen. Wenn Sie diesen Parameter nicht konfigurieren, werden Warnungen mit allen Schweregraden aufgenommen. Folgende Werte sind möglich:
|
Issue Name Filter |
Optional. Eine durch Kommas getrennte Liste der aufzunehmenden Probleme. Bei der Eingabe wird zwischen Groß- und Kleinschreibung unterschieden. Wenn Namen direkt aufgeführt sind, verwendet der Connector einen Einschlussfilter und nimmt nur die entsprechenden Probleme auf. Wenn Sie bestimmte Probleme ausschließen möchten, stellen Sie dem Namen ein Ausrufezeichen voran (z. B. Wenn kein Wert angegeben ist, wird der Filter nicht angewendet und alle Probleme werden aufgenommen. |
Status Filter |
Optional. Eine durch Kommas getrennte Liste der aufzunehmenden Problemstatus. Wenn kein Wert angegeben ist, werden nur offene Probleme verarbeitet. Folgende Werte sind möglich:
Der Standardwert ist |
Event Type Filter |
Optional. Eine durch Kommas getrennte Liste der zurückzugebenden Ereignistypen. Bei der Eingabe wird die Groß-/Kleinschreibung nicht berücksichtigt. Wenn kein Wert angegeben ist, verarbeitet der Connector alle Ereignistypen. Wenn Sie einen bestimmten Typ ausschließen möchten, stellen Sie ihm ein Ausrufezeichen voran (z. B. |
Max Hours Backwards |
Erforderlich. Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Benachrichtigungen abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. Der Standardwert ist |
Max Issues To Fetch |
Erforderlich. Die Anzahl der Probleme, die in jeder Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig ausgewählt. |
Use dynamic list as a blocklist |
Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google Threat Intelligence-Server validiert. Standardmäßig ausgewählt. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Connector-Ereignisse
Das Beispiel für das Ereignis Google Threat Intelligence – ASM Issues Connector sieht so aus:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence – Livehunt Connector
Mit dem Google Threat Intelligence – Livehunt Connector können Sie Informationen zu Livehunt-Benachrichtigungen und den zugehörigen Dateien aus Google Threat Intelligence abrufen. Verwenden Sie den Parameter rule_name, um mit der dynamischen Liste zu arbeiten.
Connector-Eingaben
Für den Google Threat Intelligence – Livehunt Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich. Der API-Stamm der Google Threat Intelligence-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der Google Threat Intelligence API-Schlüssel. |
Max Hours Backwards |
Erforderlich. Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Benachrichtigungen abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. Der Standardwert ist |
Max Notifications To Fetch |
Erforderlich. Die Anzahl der Benachrichtigungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig ausgewählt. |
Use dynamic list as a blocklist |
Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google Threat Intelligence-Server validiert. Standardmäßig ausgewählt. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Google Threat Intelligence – Livehunt Connector unterstützt Proxys.
Connector-Ereignisse
Das Beispiel für das Ereignis Google Threat Intelligence – Livehunt Connector sieht so aus:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten