Integrar o Google Threat Intelligence ao Google SecOps
Este documento explica como integrar a Inteligência contra ameaças do Google ao Google Security Operations (Google SecOps).
Versão da integração: 1.0
Antes de começar
Para usar a integração, você precisa de uma chave de API. Para mais informações, consulte Chaves de API do Google Threat Intelligence.
Parâmetros de integração
A integração do Google Threat Intelligence exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor padrão é |
API Key |
Obrigatório. A chave de API do Google Threat Intelligence. |
ASM Project Name |
Opcional. O nome do projeto do Mandiant Attack Surface Management (ASM) a ser usado na integração. Esse parâmetro é necessário para executar as ações Pesquisar entidades do ASM, Pesquisar problemas do ASM e Atualizar problema do ASM. Se nenhum valor for definido, apenas os alertas de coleções no projeto principal serão retornados. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google Threat Intelligence. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar comentário à entidade
Use a ação Adicionar comentário à entidade para adicionar comentários às entidades do Google SecOps na Inteligência contra ameaças do Google.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação Adicionar comentário à entidade exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. Um comentário a ser adicionado a todas as entidades compatíveis. |
Saídas de ação
A ação Adicionar comentário à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Adicionar comentário à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddCommentToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar voto à entidade
Use a ação Adicionar comentário à entidade para adicionar votos às entidades do Google SecOps na Inteligência contra ameaças do Google.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação AddVoteToEntity exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. Um voto para adicionar a todas as entidades compatíveis. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Adicionar voto à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Adicionar voto à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar voto à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Baixar o arquivo
Use a ação Fazer o download do arquivo para baixar um arquivo do Google Threat Intelligence.
Essa ação é executada na entidade Hash do Google SecOps.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Entradas de ação
A ação Fazer o download do arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta em que os arquivos baixados serão armazenados. |
Overwrite |
Obrigatório. Se selecionada, a ação vai substituir um arquivo existente pelo novo se os nomes forem idênticos. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Fazer o download do arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Fazer o download do arquivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Fazer o download do arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Enriquecer entidades
Use a ação Aprimorar entidades para adicionar informações da Google Threat Intelligence.
Essa ação é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainHashHostnameIP AddressURLCVEThreat Actor
Entradas de ação
A ação Enriquecer entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Resubmit Entity |
Opcional. Se selecionada, a ação reenvia entidades para análise em vez de usar as informações da execução anterior. Esse parâmetro só é compatível com as entidades Não selecionada por padrão. |
Resubmit After (Days) |
Opcional. O número de dias que a ação deve aguardar antes de
enviar a entidade novamente. Para usar esse parâmetro, selecione o parâmetro O valor padrão é Esse parâmetro só é compatível com as entidades |
Sandbox |
Opcional. Uma lista separada por vírgulas de nomes de sandbox a serem analisados, como Esse parâmetro só é compatível com a entidade Se você não definir esse parâmetro, a ação vai usar o sandbox padrão, que é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação vai recuperar a análise da sandbox para a entidade e criar uma seção separada para cada sandbox no resultado JSON. A ação retorna dados para sandboxes que você
configurou no parâmetro Esse parâmetro só é compatível com a entidade Não selecionada por padrão. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação retorna informações sobre as técnicas e táticas relacionadas do MITRE. Esse parâmetro só é compatível com a entidade Não selecionada por padrão. |
Lowest MITRE Technique Severity |
Opcional. A menor gravidade da técnica MITRE a ser retornada. A ação trata a gravidade Esse parâmetro só é compatível com a entidade Os valores possíveis são:
O valor padrão é |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários sobre a entidade. Esse parâmetro é compatível com as seguintes entidades:
|
Max Comments To Return |
Opcional. O número máximo de comentários a serem retornados para cada execução de ação. O valor padrão é |
Saídas de ação
A ação Enriquecer entidades fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Link do Painel de Casos
A ação Enriquecer entidades pode retornar os seguintes links:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionAgente de ameaça:
https://www.virustotal.com/gui/collection/threat-actor--IDVulnerabilidade:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabela de enriquecimento de entidades
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para endereços IP:
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para URL:
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para Hash:
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para Domínio/Nome do host:
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para Elemento de ameaça:
- A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades para Vulnerabilidade:
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando disponível no resultado JSON. |
GTI_owner |
as_owner |
Quando disponível no resultado JSON. |
GTI_asn |
asn |
Quando disponível no resultado JSON. |
GTI_continent |
continent |
Quando disponível no resultado JSON. |
GTI_country |
country |
Quando disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponível no resultado JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Quando disponível no resultado JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Quando disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponível no resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando disponível no resultado JSON. |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando disponível no resultado JSON. |
GTI_title |
title |
Quando disponível no resultado JSON. |
GTI_last_http_response_code |
last_http_response_code |
Quando disponível no resultado JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Quando disponível no resultado JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Quando disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponível no resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando disponível no resultado JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando disponível no resultado JSON. |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando disponível no resultado JSON. |
GTI_magic |
magic |
Quando disponível no resultado JSON. |
GTI_md5 |
md5 |
Quando disponível no resultado JSON. |
GTI_sha1 |
sha1 |
Quando disponível no resultado JSON. |
GTI_sha256 |
sha256 |
Quando disponível no resultado JSON. |
GTI_ssdeep |
ssdeep |
Quando disponível no resultado JSON. |
GTI_tlsh |
tlsh |
Quando disponível no resultado JSON. |
GTI_vhash |
vhash |
Quando disponível no resultado JSON. |
GTI_meaningful_name |
meaningful_name |
Quando disponível no resultado JSON. |
GTI_magic |
Comma-separated list of names |
Quando disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponível no resultado JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Quando disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando disponível no resultado JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponível no resultado JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando disponível no resultado JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando disponível no resultado JSON. |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Quando disponível no resultado JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Quando disponível no resultado JSON. |
GTI_industries |
Csv of targeted_industries/value |
Quando disponível no resultado JSON. |
GTI_malware |
Csv of malware/name |
Quando disponível no resultado JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Quando disponível no resultado JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Quando disponível no resultado JSON. |
GTI_origin |
origin |
Quando disponível no resultado JSON. |
GTI_description |
description |
Quando disponível no resultado JSON. |
GTI_last_activity_time |
last_activity_time |
Quando disponível no resultado JSON. |
GTI_report_link |
We craft it. |
Quando disponível no resultado JSON. |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_sources |
Csv of source_name |
Quando disponível no resultado JSON. |
GTI_exploitation_state |
exploitation_state |
Quando disponível no resultado JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Quando disponível no resultado JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Quando disponível no resultado JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Quando disponível no resultado JSON. |
GTI_description |
description |
Quando disponível no resultado JSON. |
GTI_risk_rating |
risk_rating |
Quando disponível no resultado JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Quando disponível no resultado JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Quando disponível no resultado JSON. |
GTI_report_link |
We craft it. |
Quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON para IOCs (entidades IP, Hash, URL, Domain e Hostname) recebida ao usar a ação Enriquecer entidades:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
O exemplo a seguir mostra a saída do resultado JSON para "Vulnerabilidades recebidas" ao usar a ação Enriquecer entidades:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
O exemplo a seguir mostra a saída de resultado JSON para atores de ameaças recebidos ao usar a ação Enriquecer entidades:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Mensagens de saída
A ação Enriquecer entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer entidades:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IOCs
Use a ação Enriquecer IOCs para enriquecer os indicadores de comprometimento (IOCs) com informações do Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enriquecer IOCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IOC a ser enriquecido. Os valores possíveis são:
O valor padrão é |
IOCs |
Obrigatório. Uma lista separada por vírgulas de IOCs para ingerir dados. |
Saídas de ação
A ação Enriquecer IOCs fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer IOCs pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer IOCs pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IOCs:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Enriquecer IOCs pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar pesquisa de IOC
Use a ação Executar pesquisa de IOC para fazer a pesquisa de IOC no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar pesquisa de IOC exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Search Query |
Obrigatório. Uma consulta de pesquisa a ser executada, como
|
Max Results To Return |
Opcional. O número máximo de resultados a serem retornados para cada execução de ação. O valor máximo é O valor padrão é |
Saídas de ação
A ação Executar pesquisa de IOC fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar pesquisa de IOC:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Mensagens de saída
A ação Executar pesquisa de IOC pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar pesquisa de IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes da entidade do ASM
Use a ação Receber detalhes da entidade do ASM para obter informações sobre uma entidade do ASM no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes da entidade do ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity ID |
Obrigatório. Uma lista separada por vírgulas de IDs de entidades para receber detalhes. |
Saídas de ação
A ação Receber detalhes da entidade do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Receber detalhes da entidade do ASM:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensagens de saída
A ação Get ASM Entity Details pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes da entidade do ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mais detalhes de gráfico
Use a ação Receber detalhes do gráfico para obter informações detalhadas sobre os gráficos no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do gráfico exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista separada por vírgulas de IDs de gráficos para recuperar detalhes. |
Max Links To Return |
Obrigatório. O número máximo de links a serem retornados para cada gráfico. O valor padrão é |
Saídas de ação
A ação Extrair detalhes do gráfico fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes do gráfico pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links do gráfico GRAPH_ID
Colunas da tabela:
- Origem
- Objetivo
- Tipo de conexão
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do gráfico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Receber detalhes do gráfico pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do gráfico:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber IOCs relacionados
Use a ação Receber IOCs relacionados para ter informações sobre IOCs relacionados a entidades usando informações do Google Threat Intelligence.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP addressURLHostnameDomainHashThreat Actor
Entradas de ação
A ação Receber IOCs relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Types |
Obrigatório. Uma lista separada por vírgulas de IOCs a serem extraídos. Os valores possíveis são: |
Max IOCs To Return |
Obrigatório. O número máximo de IOCs a serem retornados para os tipos de IOC selecionados de cada entidade. O valor padrão é |
Saídas de ação
A ação Receber IOCs relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber IOCs relacionados:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Mensagens de saída
A ação Receber IOCs relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber IOCs relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com a inteligência de ameaças do Google.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar entidades do ASM
Use a ação Pesquisar entidades da ASM para procurar entidades da ASM no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar entidades da ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Project Name |
Opcional. O nome do projeto do ASM. Se você não definir um valor, a ação vai usar o valor configurado para o parâmetro de integração |
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar entidades. A ação trata nomes de entidades que contêm
|
Minimum Vulnerabilities Count |
Opcional. O número mínimo de vulnerabilidades necessárias para que a ação retorne a entidade. |
Minimum Issues Count |
Opcional. O número mínimo de problemas necessários para que a ação retorne a entidade. |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar entidades. |
Max Entities To Return |
Opcional. O número de entidades a serem retornadas. O valor máximo é |
Critical or High Issue |
Opcional. Se selecionada, a ação só vai retornar problemas com gravidade Não selecionada por padrão. |
Saídas de ação
A ação Pesquisar entidades do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar entidades do ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensagens de saída
A ação Pesquisar entidades da ASM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar entidades da ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar problemas do ASM
Use a ação Pesquisar problemas do ASM para procurar problemas do ASM no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar problemas do ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Project Name |
Opcional. O nome do projeto do ASM. Se você não definir um valor, a ação vai usar o valor configurado para o parâmetro de integração |
Issue ID |
Opcional. Uma lista separada por vírgulas de IDs de problemas para retornar os detalhes. |
Entity ID |
Opcional. Uma lista separada por vírgulas de IDs de entidades para encontrar problemas relacionados. |
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar problemas relacionados. A ação trata nomes de entidades que contêm
|
Time Parameter |
Opcional. Uma opção de filtro para definir o horário do problema. Os valores possíveis são O valor padrão é |
Time Frame |
Opcional. Um período para filtrar problemas. Se você selecionar Os valores possíveis são:
O valor padrão é |
Start Time |
Opcional. O horário de início dos resultados. Se você selecionou Configure o valor no formato ISO 8601. |
End Time |
Opcional. O horário de término dos resultados. Se você selecionou Configure o valor no formato ISO 8601. |
Lowest Severity To Return |
Opcional. A gravidade mínima dos problemas a serem retornados. Os valores possíveis são:
O valor padrão é Se você selecionar |
Status |
Opcional. O filtro de status da pesquisa. Os valores possíveis são O valor padrão é Se você selecionar |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar problemas. |
Max Issues To Return |
Obrigatório. O número de problemas a serem retornados. O valor máximo é |
Saídas de ação
A ação Pesquisar problemas do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar problemas do ASM:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensagens de saída
A ação Pesquisar problemas do ASM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar problemas do ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar gráficos de entidades
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos com base em entidades do Google SecOps no Google Threat Intelligence.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de ação
A ação Pesquisar gráficos de entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O valor do campo para classificar os resultados. Os valores possíveis são:
O valor padrão é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados para cada execução de ação. O valor padrão é |
Saídas de ação
A ação Pesquisar gráficos de entidades fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensagens de saída
A ação Pesquisar gráficos de entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar gráficos exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consulta do gráfico. Por exemplo, para pesquisar gráficos no período selecionado, formate a consulta da seguinte maneira:
Para mais informações sobre consultas, consulte Como criar consultas, Modificadores relacionados a gráficos e Modificadores relacionados a nós. |
Sort Field |
Opcional. O valor do campo para classificar os gráficos do VirusTotal. Os valores possíveis são:
O valor padrão é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados para cada execução de ação. O valor padrão é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores relacionados a gráficos. Para melhorar a pesquisa, combine modificadores com operadores AND, OR e NOT.
Os campos de data e numéricos são compatíveis com os sufixos + mais e - menos. Um sufixo "mais" corresponde a valores maiores que o valor fornecido. Um sufixo de subtração corresponde a valores menores que o valor fornecido. Sem um sufixo, a consulta retorna correspondências exatas.
Para definir intervalos, use o mesmo modificador várias vezes em uma consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caractere 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados a gráficos
A tabela a seguir lista os modificadores relacionados a gráficos que podem ser usados para criar a consulta de pesquisa:
| Nome do modificador | Descrição | Exemplo |
|---|---|---|
id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
name |
Filtra pelo nome do gráfico. | name:Example-name |
owner |
Filtra por gráficos de propriedade do usuário. | owner:example_user |
group |
Filtra por gráficos pertencentes a um grupo. | group:example |
visible_to_user |
Filtra por gráficos visíveis para o usuário. | visible_to_user:example_user |
visible_to_group |
Filtra por gráficos visíveis ao grupo. | visible_to_group:example |
private |
Filtra por gráficos particulares. | private:true, private:false |
creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data da última modificação do gráfico. | last_modified_date:2018-11-20 |
total_nodes |
Filtra por gráficos que contêm um número específico de nós. | total_nodes:100 |
comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
views_count |
Filtra pelo número de visualizações de gráfico. | views_count:1000+ |
Modificadores relacionados a nós
A tabela a seguir lista os modificadores relacionados a gráficos que podem ser usados para criar a consulta de pesquisa:
| Nome do modificador | Descrição | Exemplo |
|---|---|---|
label |
Filtra por gráficos que contêm nós com um rótulo específico. | label:Kill switch |
file |
Filtra por gráficos que contêm o arquivo específico. | file:131f95c51cc819465fa17 |
domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
email |
Filtra por gráficos que contêm o endereço de e-mail específico. | email:user@example.com |
department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Saídas de ação
A ação Pesquisar gráficos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensagens de saída
A ação Pesquisar gráficos pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar gráficos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Definir análise de alertas do DTM
Use a ação Definir análise de alerta de DTM para definir uma análise de um alerta de Digital Threat Monitoring (DTM) no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Definir análise de alerta do DTM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta a que a análise será adicionada. |
Text |
Obrigatório. A análise a ser adicionada ao alerta. |
Attachment File Paths |
Opcional. Uma lista separada por vírgulas de caminhos de arquivos a serem anexados ao alerta. É possível anexar até 10 arquivos. |
Saídas de ação
A ação Definir análise de alerta de DTM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Mensagens de saída
A ação Definir análise de alerta do DTM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir análise de alerta do DTM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar arquivo
Use a ação Enviar arquivo para enviar um arquivo e receber resultados do Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Essa ação é assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado (IDE) do Google SecOps para a ação conforme necessário.
Entradas de ação
A ação Enviar arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
External URLs |
Opcional. Uma lista separada por vírgulas de URLs públicos dos arquivos a serem enviados. Se "URL externo" e "Caminhos de arquivo" forem fornecidos, a ação vai coletar arquivos das duas entradas. |
File Paths |
Opcional. Uma lista separada por vírgulas de caminhos absolutos de arquivos. Se você configurar o parâmetro **Endereço do servidor Linux**, a ação tentará recuperar o arquivo de um servidor remoto. Se "URL externo" e "Caminhos de arquivo" forem fornecidos, a ação vai coletar arquivos das duas entradas. |
ZIP Password |
Opcional. Uma senha para a pasta compactada que contém os arquivos a serem enviados. |
Private Submission |
Opcional. Se selecionada, a ação envia o arquivo em um modo particular. Para enviar arquivos de forma particular, é necessário usar a API Premium do VirusTotal. |
Check Hash |
Opcional. Padrão: desativado. Se ativada, a ação primeiro vai calcular os hashes dos arquivos e pesquisar se há informações disponíveis para eles. Se estiver disponível, ele vai retornar as informações sem o fluxo de envio. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários sobre o arquivo enviado. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação retorna as informações sobre as técnicas e táticas relacionadas do MITRE. Não selecionada por padrão. |
Lowest MITRE Technique Severity |
Opcional. A menor gravidade da técnica MITRE a ser retornada. A ação trata a gravidade Esse parâmetro só aceita a entidade "Hash". O valor padrão é |
Retrieve AI Summary |
Opcional. Se selecionada, a ação vai recuperar um resumo de IA para o arquivo enviado. O resumo gerado por IA está disponível apenas para envios particulares. Esse parâmetro é experimental. Não selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem retornados em cada execução de ação. |
Linux Server Address |
Opcional. O endereço IP do servidor Linux remoto em que o arquivo está localizado. |
Linux Username |
Opcional. O nome de usuário do servidor Linux remoto em que o arquivo está localizado. |
Linux Password |
Opcional. A senha do servidor Linux remoto em que o arquivo está localizado. |
Saídas de ação
A ação Enviar arquivo oferece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Link do Painel de Casos
A ação Enviar arquivo pode retornar o seguinte link:
Link do relatório PATH:
URL
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enviar arquivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Mensagens de saída
A ação Enviar arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Não há valores em "Caminhos de arquivo" ou "URLs externos" Pelo menos um dos parâmetros "Caminhos de arquivo" ou "URLs externos" precisa ter um valor. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Problema de atualização do ASM
Use a ação Atualizar problema do ASM para atualizar um problema do ASM no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar problema do ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Obrigatório. O ID do problema a ser atualizado. |
Status |
Obrigatório. O novo status a ser definido para o problema. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Atualizar problema do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Atualizar problema do ASM:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Mensagens de saída
A ação Atualizar problema do ASM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
A ação foi concluída. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar problema do ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar alerta do DTM
Use a ação Atualizar alerta de DTM para atualizar um alerta de monitoramento de ameaças digitais da Mandiant no Google Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar alerta do DTM exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta a ser atualizado. |
Status |
Opcional. O novo status a ser definido para o alerta. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Atualizar alerta de DTM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Atualizar alerta do DTM:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensagens de saída
A ação Atualizar alerta de DTM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
A ação foi concluída. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar alerta do DTM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de alertas da DTM do Google Threat Intelligence
Use o conector de alertas do Google Threat Intelligence - DTM para recuperar alertas do Google Threat Intelligence. Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.
Entradas do conector
O conector de alertas do Google Threat Intelligence - DTM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor padrão é |
API Key |
Obrigatório. A chave de API do Google Threat Intelligence. |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
|
Monitor ID Filter |
Opcional. Uma lista separada por vírgulas de IDs de monitor para recuperar os alertas. |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a serem retornados. A entrada não diferencia maiúsculas de minúsculas. Se nenhum valor for fornecido, o conector vai processar todos os tipos de eventos. Para excluir um tipo específico, coloque um ponto de exclamação antes dele (por exemplo, |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Essa opção é selecionada por padrão. |
Max Hours Backwards |
Obrigatório. O número de horas antes do momento atual para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Alerts To Fetch |
Obrigatório. O número de alertas a serem processados em cada iteração do conector. O valor máximo é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google Threat Intelligence. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector de alertas do DTM do Google Threat Intelligence é compatível com proxies.
Eventos do conector
Há dois tipos de eventos para o conector de alertas do Google Threat Intelligence - DTM: um evento com base no alerta principal e outro com base em um tópico.
Confira um exemplo do evento do conector com base no alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Confira um exemplo de evento do conector com base em um tema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Conector de problemas do ASM do Google Threat Intelligence
Use o conector de problemas do ASM do Google Threat Intelligence para recuperar informações sobre os problemas do ASM do Google Threat Intelligence. Para
trabalhar com o filtro de lista dinâmica, use o parâmetro category.
Entradas do conector
O Conector de problemas do Google Threat Intelligence - ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor padrão é |
API Key |
Obrigatório. A chave de API do Google Threat Intelligence. |
Project Name |
Opcional. O nome do projeto do ASM. Se você não definir um valor, apenas os alertas de coleções no projeto principal serão retornados. |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
|
Issue Name Filter |
Opcional. Uma lista separada por vírgulas de problemas a serem ingeridos. A entrada diferencia maiúsculas de minúsculas. Se os nomes forem listados diretamente, o conector usará um filtro de inclusão, ingerindo apenas os problemas correspondentes. Para excluir problemas específicos, coloque um ponto de exclamação antes do nome (por exemplo, Se nenhum valor for fornecido, o filtro não será aplicado, e todos os problemas serão ingeridos. |
Status Filter |
Opcional. Uma lista separada por vírgulas de status de problemas a serem ingeridos. Se nenhum valor for fornecido, o conector vai processar apenas problemas abertos. Os valores possíveis são:
O valor padrão é |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a serem retornados. A entrada não diferencia maiúsculas de minúsculas. Se nenhum valor for fornecido, o conector vai processar todos os tipos de eventos. Para excluir um tipo específico, coloque um ponto de exclamação antes dele (por exemplo, |
Max Hours Backwards |
Obrigatório. O número de horas antes do momento atual para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Issues To Fetch |
Obrigatório. O número de problemas a serem processados em cada iteração do conector. O valor máximo é |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Essa opção é selecionada por padrão. |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google Threat Intelligence. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Eventos do conector
Exemplo do evento Conector de problemas do ASM da Google Threat Intelligence:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence: conector Livehunt
Use o Conector do Google Threat Intelligence - Livehunt para recuperar informações sobre as notificações do Livehunt e os arquivos relacionados do Google Threat Intelligence. Para trabalhar com a lista dinâmica, use o parâmetro rule_name.
Entradas do conector
O conector do Google Threat Intelligence - Livehunt exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor padrão é |
API Key |
Obrigatório. A chave de API do Google Threat Intelligence. |
Max Hours Backwards |
Obrigatório. O número de horas antes do momento atual para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Notifications To Fetch |
Obrigatório. O número de notificações a serem processadas em cada iteração do conector. O valor padrão é |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Essa opção é selecionada por padrão. |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google Threat Intelligence. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector do Google Threat Intelligence - Livehunt oferece suporte a proxies.
Eventos do conector
Confira um exemplo do evento Google Threat Intelligence - Livehunt Connector:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.