Integra Google Threat Intelligence con Google SecOps
En este documento, se explica cómo integrar Google Threat Intelligence en Google Security Operations (Google SecOps).
Versión de la integración: 1.0
Antes de comenzar
Para usar la integración, necesitas una clave de API. Para obtener más información, consulta Claves de la API de Google Threat Intelligence.
Parámetros de integración
La integración de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Es la raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de la API de Google Threat Intelligence. |
ASM Project Name |
Opcional. Nombre del proyecto de Mandiant Attack Surface Management (ASM) que se usará en la integración. Este parámetro es obligatorio para ejecutar las acciones Search ASM Entities, Search ASM Issues y Update ASM Issue. Si no se establece ningún valor, solo se devuelven las alertas de las colecciones del proyecto principal. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Google Threat Intelligence. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Agregar comentario a la entidad
Usa la acción Add Comment To Entity para agregar comentarios a las entidades de Google SecOps en Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Add Comment To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. Es un comentario que se agregará a todas las entidades admitidas. |
Resultados de la acción
La acción Add Comment To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Comment To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Comment To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Agregar voto a la entidad
Usa la acción Add Comment To Entity para agregar votos a las entidades de Google SecOps en Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Add Vote To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. Es un voto para agregar a todas las entidades compatibles. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Add Vote To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Vote To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Descargar archivo para descargar un archivo de Google Threat Intelligence.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acción
La acción Download File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta de acceso a la carpeta en la que se almacenarán los archivos descargados. |
Overwrite |
Obligatorio. Si se selecciona esta opción, la acción reemplaza un archivo existente por el archivo nuevo si los nombres de archivo son idénticos. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Download File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Enriquece entidades
Usa la acción Enrich Entities para enriquecer entidades con información de Google Threat Intelligence.
Esta acción admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainHashHostnameIP AddressURLCVEThreat Actor
Entradas de acción
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Resubmit Entity |
Opcional. Si se selecciona, la acción vuelve a enviar entidades para su análisis en lugar de usar la información de la entidad de la ejecución de la acción anterior. Este parámetro solo admite las entidades No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Cantidad de días que la acción debe esperar antes de volver a enviar la entidad. Para usar este parámetro, selecciona el parámetro El valor predeterminado es Este parámetro solo admite las entidades |
Sandbox |
Opcional. Es una lista separada por comas de los nombres de las zonas de pruebas que se analizarán, como Este parámetro solo admite la entidad Si no estableces este parámetro, la acción usará la zona de pruebas predeterminada, que es |
Retrieve Sandbox Analysis |
Opcional. Si se selecciona, la acción recupera el análisis de zona de pruebas para la entidad y crea una sección separada para cada zona de pruebas en el resultado JSON. La acción devuelve datos para los entornos de pruebas que configuraste en el parámetro Este parámetro solo admite la entidad No está seleccionada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción devuelve información sobre las técnicas y tácticas de MITRE relacionadas. Este parámetro solo admite la entidad No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Es la gravedad más baja de la técnica de MITRE que se devolverá. La acción trata la gravedad Este parámetro solo admite la entidad Los valores posibles son los siguientes:
El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera comentarios sobre la entidad. Este parámetro admite las siguientes entidades:
|
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se devolverán para cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Enrich Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Es el resultado de la secuencia de comandos. | Disponible |
Vínculo al muro de casos
La acción Enrich Entities puede devolver los siguientes vínculos:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionAgente de amenazas:
https://www.virustotal.com/gui/collection/threat-actor--IDVulnerabilidad:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabla de enriquecimiento de entidades
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para las direcciones IP:
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para la URL:
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para Hash:
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para Domain/Hostname:
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para Threat Actor:
- La acción Enrich Entities admite el siguiente enriquecimiento de entidades para Vulnerability:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando está disponible en el resultado JSON. |
GTI_owner |
as_owner |
Cuando está disponible en el resultado JSON. |
GTI_asn |
asn |
Cuando está disponible en el resultado JSON. |
GTI_continent |
continent |
Cuando está disponible en el resultado JSON. |
GTI_country |
country |
Cuando está disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando está disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando está disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando está disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando está disponible en el resultado JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Cuando está disponible en el resultado JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Cuando está disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando está disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando está disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando está disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando está disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando está disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando está disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando está disponible en el resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando está disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando está disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando está disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando está disponible en el resultado JSON. |
GTI_title |
title |
Cuando está disponible en el resultado JSON. |
GTI_last_http_response_code |
last_http_response_code |
Cuando está disponible en el resultado JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Cuando está disponible en el resultado JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Cuando está disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando está disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando está disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando está disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando está disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando está disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando está disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando está disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando está disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando está disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando está disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando está disponible en el resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando está disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando está disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando está disponible en el resultado JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Cuando está disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando está disponible en el resultado JSON. |
GTI_magic |
magic |
Cuando está disponible en el resultado JSON. |
GTI_md5 |
md5 |
Cuando está disponible en el resultado JSON. |
GTI_sha1 |
sha1 |
Cuando está disponible en el resultado JSON. |
GTI_sha256 |
sha256 |
Cuando está disponible en el resultado JSON. |
GTI_ssdeep |
ssdeep |
Cuando está disponible en el resultado JSON. |
GTI_tlsh |
tlsh |
Cuando está disponible en el resultado JSON. |
GTI_vhash |
vhash |
Cuando está disponible en el resultado JSON. |
GTI_meaningful_name |
meaningful_name |
Cuando está disponible en el resultado JSON. |
GTI_magic |
Comma-separated list of names |
Cuando está disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando está disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando está disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando está disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando está disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando está disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando está disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando está disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando está disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando está disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando está disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando está disponible en el resultado JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Cuando está disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando está disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando está disponible en el resultado JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando está disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando está disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando está disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando está disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando está disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando está disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando está disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando está disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando está disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando está disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando está disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando está disponible en el resultado JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando está disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando está disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando está disponible en el resultado JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Cuando está disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Cuando está disponible en el resultado JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Cuando está disponible en el resultado JSON. |
GTI_industries |
Csv of targeted_industries/value |
Cuando está disponible en el resultado JSON. |
GTI_malware |
Csv of malware/name |
Cuando está disponible en el resultado JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Cuando está disponible en el resultado JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Cuando está disponible en el resultado JSON. |
GTI_origin |
origin |
Cuando está disponible en el resultado JSON. |
GTI_description |
description |
Cuando está disponible en el resultado JSON. |
GTI_last_activity_time |
last_activity_time |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
We craft it. |
Cuando está disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_sources |
Csv of source_name |
Cuando está disponible en el resultado JSON. |
GTI_exploitation_state |
exploitation_state |
Cuando está disponible en el resultado JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Cuando está disponible en el resultado JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Cuando está disponible en el resultado JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Cuando está disponible en el resultado JSON. |
GTI_description |
description |
Cuando está disponible en el resultado JSON. |
GTI_risk_rating |
risk_rating |
Cuando está disponible en el resultado JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Cuando está disponible en el resultado JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Cuando está disponible en el resultado JSON. |
GTI_report_link |
We craft it. |
Cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado de JSON para los IOC (entidades IP, Hash, URL, Domain y Hostname) que se reciben cuando se usa la acción Enrich Entities:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
En el siguiente ejemplo, se muestra el resultado JSON de las vulnerabilidades recibidas cuando se usa la acción Enrich Entities:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
En el siguiente ejemplo, se muestra el resultado JSON de los actores de amenazas recibidos cuando se usa la acción Enrich Entities:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquece los IOC
Usa la acción Enrich IOCs para enriquecer los indicadores de compromiso (IoCs) con información de Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Opcional. Es el tipo de IOC que se enriquecerá. Los valores posibles son los siguientes:
El valor predeterminado es |
IOCs |
Obligatorio. Es una lista separada por comas de los IOC para los que se deben incorporar datos. |
Resultados de la acción
La acción Enrich IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich IOCs puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich IOCs puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IOCs:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecuta la búsqueda de IOC
Usa la acción Execute IOC Search para ejecutar la búsqueda de IOC en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar búsqueda de IOC requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Search Query |
Obligatorio. Es una búsqueda para ejecutar, como |
Max Results To Return |
Opcional. Es la cantidad máxima de resultados que se devolverán para cada ejecución de acción. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar búsqueda de IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Execute IOC Search:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Mensajes de salida
La acción Execute IOC Search puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Execute IOC Search:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles de la entidad de ASM
Usa la acción Get ASM Entity Details para obtener información sobre una entidad de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get ASM Entity Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity ID |
Obligatorio. Es una lista separada por comas de los IDs de entidades de las que se obtendrán detalles. |
Resultados de la acción
La acción Get ASM Entity Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get ASM Entity Details:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensajes de salida
La acción Get ASM Entity Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get ASM Entity Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles del gráfico
Usa la acción Get Graph Details para obtener información detallada sobre los gráficos en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Graph Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Es una lista separada por comas de los IDs de gráficos para recuperar detalles. |
Max Links To Return |
Obligatorio. Es la cantidad máxima de vínculos que se devolverán para cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Get Graph Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Graph Details puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: Vínculos de Graph GRAPH_ID
Columnas de la tabla:
- Origen
- Target
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Get Graph Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Graph Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén IOC relacionados
Usa la acción Get Related IOCs para obtener información sobre los IOC relacionados con entidades a partir de la información de Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressURLHostnameDomainHashThreat Actor
Entradas de acción
La acción Get Related IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Types |
Obligatorio. Es una lista separada por comas de los IOC que se extraerán. Los valores posibles son los siguientes: |
Max IOCs To Return |
Obligatorio. Es la cantidad máxima de IOCs que se devolverán para los tipos de IOCs seleccionados de cada entidad. El valor predeterminado es |
Resultados de la acción
La acción Get Related IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Es el resultado de la secuencia de comandos. | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related IOCs:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Mensajes de salida
La acción Get Related IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Es el resultado de la secuencia de comandos. | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo buscar entidades de ASM
Usa la acción Search ASM Entities para buscar entidades de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search ASM Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Project Name |
Opcional. Es el nombre del proyecto de ASM. Si no estableces un valor, la acción usa el valor que configuraste para el parámetro de integración |
Entity Name |
Opcional. Es una lista separada por comas de los nombres de las entidades que se deben buscar. La acción trata los nombres de entidades que contienen barras diagonales |
Minimum Vulnerabilities Count |
Opcional. Es la cantidad mínima de vulnerabilidades necesarias para que la acción devuelva la entidad. |
Minimum Issues Count |
Opcional. Es la cantidad mínima de problemas requeridos para que la acción devuelva la entidad. |
Tags |
Opcional. Es una lista separada por comas de los nombres de las etiquetas que se usarán cuando se busquen entidades. |
Max Entities To Return |
Opcional. Es la cantidad de entidades que se devolverán. El valor máximo es |
Critical or High Issue |
Opcional. Si se selecciona, la acción solo devuelve problemas con gravedad No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Search ASM Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search ASM Entities:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensajes de salida
La acción Search ASM Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Search ASM Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Buscar problemas de ASM
Usa la acción Search ASM Issues para buscar problemas de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search ASM Issues requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Project Name |
Opcional. Es el nombre del proyecto de ASM. Si no estableces un valor, la acción usa el valor que configuraste para el parámetro de integración |
Issue ID |
Opcional. Es una lista de IDs de problemas separados por comas para devolver los detalles. |
Entity ID |
Opcional. Es una lista de IDs de entidades separados por comas para encontrar problemas relacionados. |
Entity Name |
Opcional. Lista separada por comas de los nombres de las entidades para encontrar problemas relacionados. La acción trata los nombres de entidades que contienen barras diagonales |
Time Parameter |
Opcional. Opción de filtro para establecer la hora del problema. Los valores posibles son El valor predeterminado es |
Time Frame |
Opcional. Es un período para filtrar problemas. Si seleccionas Los valores posibles son los siguientes:
El valor predeterminado es |
Start Time |
Opcional. Es la hora de inicio de los resultados. Si seleccionaste Configura el valor en formato ISO 8601. |
End Time |
Opcional. Es la hora de finalización de los resultados. Si seleccionaste Configura el valor en formato ISO 8601. |
Lowest Severity To Return |
Opcional. Es la gravedad más baja de los problemas que se devolverán. Los valores posibles son los siguientes:
El valor predeterminado es Si seleccionas |
Status |
Opcional. Es el filtro de estado de la búsqueda. Los valores posibles son El valor predeterminado es Si seleccionas |
Tags |
Opcional. Es una lista separada por comas de los nombres de las etiquetas que se usarán cuando se busquen problemas. |
Max Issues To Return |
Obligatorio. Es la cantidad de problemas que se devolverán. El valor máximo es |
Resultados de la acción
La acción Search ASM Issues proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search ASM Issues:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensajes de salida
La acción Search ASM Issues puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Search ASM Issues:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Gráficos de entidades de búsqueda
Usa la acción Search Entity Graphs para buscar gráficos basados en entidades de Google SecOps en Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de acción
La acción Search Entity Graphs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Opcional. Es el valor del campo según el cual se ordenan los resultados. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Es la cantidad máxima de gráficos que se mostrarán para cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Search Entity Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensajes de salida
La acción Search Entity Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Gráficos de búsqueda
Usa la acción Search Graphs para buscar gráficos basados en filtros personalizados en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search Graphs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es el filtro de consulta del gráfico. Por ejemplo, para buscar gráficos en el período seleccionado, formatea la consulta de la siguiente manera:
Para obtener más información sobre las consultas, consulta Cómo crear consultas, Modificadores relacionados con el gráfico y Modificadores relacionados con el nodo. |
Sort Field |
Opcional. Es el valor del campo por el que se ordenarán los gráficos de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Es la cantidad máxima de gráficos que se mostrarán para cada ejecución de acción. El valor predeterminado es |
Cómo crear consultas
Para definir mejor los resultados de la búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos numéricos y de fecha admiten los sufijos + más y - menos. Un sufijo de signo más coincide con los valores mayores que el valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Sin un sufijo, la búsqueda devuelve coincidencias exactas.
Para definir rangos, puedes usar el mismo modificador varias veces en una búsqueda. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre de 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que comienzan con 0, quita el carácter 0 de la búsqueda.
Por ejemplo, dale formato a la fecha 2018-11-01 como 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla, se enumeran los modificadores relacionados con los gráficos que puedes usar para crear la búsqueda:
| Nombre del modificador | Descripción | Ejemplo |
|---|---|---|
id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
name |
Filtra por nombre del gráfico. | name:Example-name |
owner |
Filtra por los gráficos que son propiedad del usuario. | owner:example_user |
group |
Filtra los gráficos que son propiedad de un grupo. | group:example |
visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
private |
Filtra por gráficos privados. | private:true, private:false |
creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de la modificación más reciente del gráfico. | last_modified_date:2018-11-20 |
total_nodes |
Filtra por gráficos que contienen una cantidad específica de nodos. | total_nodes:100 |
comments_count |
Filtra por la cantidad de comentarios en el gráfico. | comments_count:10+ |
views_count |
Filtra por la cantidad de vistas del gráfico. | views_count:1000+ |
Modificadores relacionados con el nodo
En la siguiente tabla, se enumeran los modificadores relacionados con los gráficos que puedes usar para crear la búsqueda:
| Nombre del modificador | Descripción | Ejemplo |
|---|---|---|
label |
Filtra los gráficos que contienen nodos con una etiqueta específica. | label:Kill switch |
file |
Filtra los gráficos que contienen el archivo específico. | file:131f95c51cc819465fa17 |
domain |
Filtra los gráficos que contienen el dominio específico. | domain:example.com |
ip_address |
Filtra por los gráficos que contienen la dirección IP específica. | ip_address:203.0.113.1 |
url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
actor |
Filtra los gráficos que contienen el actor específico. | actor:example actor |
victim |
Se filtra por los gráficos que contienen a la víctima específica. | victim:example_user |
email |
Filtra por los gráficos que contienen la dirección de correo electrónico específica. | email:user@example.com |
department |
Filtra los gráficos que contienen el departamento específico. | department:engineers |
Resultados de la acción
La acción Search Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensajes de salida
La acción Search Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Search Graphs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Análisis de alertas de DTM
Usa la acción Set DTM Alert Analysis para definir un análisis de una alerta de Supervisión de amenazas digitales (DTM) en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Set DTM Alert Analysis requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. Es el ID de la alerta a la que se agregará el análisis. |
Text |
Obligatorio. Es el análisis que se agregará a la alerta. |
Attachment File Paths |
Opcional. Lista separada por comas de las rutas de acceso a los archivos que se adjuntarán a la alerta. Se admite un máximo de 10 archivos adjuntos. |
Resultados de la acción
La acción Set DTM Alert Analysis proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Es el resultado de la secuencia de comandos. | Disponible |
Mensajes de salida
La acción Set DTM Alert Analysis puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set DTM Alert Analysis:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Enviar archivo para enviar un archivo y devolver resultados de Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Esta acción es asíncrona. Ajusta el valor de tiempo de espera del script en el entorno de desarrollo integrado (IDE) de Google SecOps para la acción según sea necesario.
Entradas de acción
La acción Submit File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
External URLs |
Opcional. Es una lista separada por comas de las URLs públicas de los archivos que se enviarán. Si se proporcionan tanto la "URL externa" como las "Rutas de acceso a archivos", la acción recopilará archivos de ambas entradas. |
File Paths |
Opcional. Es una lista separada por comas de rutas de acceso absolutas a archivos. Si configuras el parámetro **Dirección del servidor Linux**, la acción intentará recuperar el archivo de un servidor remoto. Si se proporcionan tanto la "URL externa" como las "Rutas de acceso a archivos", la acción recopilará archivos de ambas entradas. |
ZIP Password |
Opcional. Es una contraseña para la carpeta comprimida que contiene los archivos que se enviarán. |
Private Submission |
Opcional. Si se selecciona, la acción envía el archivo en modo privado. Para enviar archivos de forma privada, se requiere la API de VirusTotal Premium. |
Check Hash |
Opcional. Valor predeterminado: Inhabilitado. Si está habilitada, la acción primero calculará los hashes de los archivos y buscará si hay información disponible para ellos. Si está disponible, devolverá la información sin el flujo de envío. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera comentarios sobre el archivo enviado. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción devuelve información sobre las técnicas y tácticas relacionadas de MITRE. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Es la gravedad más baja de la técnica de MITRE que se devolverá. La acción trata la gravedad Este parámetro solo admite la entidad Hash. El valor predeterminado es |
Retrieve AI Summary |
Opcional. Si se selecciona, la acción recupera un resumen generado por IA para el archivo enviado. El resumen de IA solo está disponible para las presentaciones privadas. Este parámetro es experimental. No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se devolverán en cada ejecución de acción. |
Linux Server Address |
Opcional. Dirección IP del servidor Linux remoto en el que se encuentra el archivo. |
Linux Username |
Opcional. Nombre de usuario del servidor Linux remoto en el que se encuentra el archivo. |
Linux Password |
Opcional. Contraseña del servidor Linux remoto en el que se encuentra el archivo. |
Resultados de la acción
La acción Submit File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Es el resultado de la secuencia de comandos. | Disponible |
Vínculo al muro de casos
La acción Submit File puede devolver el siguiente vínculo:
Vínculo del informe PATH:
URL
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Submit File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Mensajes de salida
La acción Submit File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No hay valores de "Rutas de archivo" ni "URLs externas". Al menos uno de los parámetros "Rutas de archivo" o "URLs externas" debe tener un valor. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Submit File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualización del problema de ASM
Usa la acción Update ASM Issue para actualizar un problema de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update ASM Issue requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Obligatorio. Es el ID del problema que se actualizará. |
Status |
Obligatorio. Es el nuevo estado que se establecerá para el problema. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update ASM Issue proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Update ASM Issue:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Mensajes de salida
La acción Update ASM Issue puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
La acción se completó correctamente. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update ASM Issue:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta de DTM
Usa la acción Update DTM Alert para actualizar una alerta de Mandiant Digital Threat Monitoring en Google Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update DTM Alert requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio. Es el ID de la alerta que se actualizará. |
Status |
Opcional. Es el nuevo estado que se establecerá para la alerta. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update DTM Alert proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Update DTM Alert:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensajes de salida
La acción Update DTM Alert puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
La acción se completó correctamente. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Update DTM Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Google Threat Intelligence: conector de alertas de DTM
Usa el conector de alertas de DTM de Google Threat Intelligence para recuperar alertas de Google Threat Intelligence. Para trabajar con una lista dinámica, usa el parámetro alert_type.
Entradas del conector
El conector de alertas de Digital Threat Monitoring de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de la API de Google Threat Intelligence. |
Lowest Severity To Fetch |
Opcional. Es la gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector transferirá alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Monitor ID Filter |
Opcional. Es una lista de IDs de supervisores separados por comas para recuperar las alertas. |
Event Type Filter |
Opcional. Es una lista de tipos de eventos separados por comas que se devolverán. La entrada no distingue mayúsculas de minúsculas. Si no se proporciona ningún valor, el conector procesa todos los tipos de eventos. Para excluir un tipo específico, agrega un signo de exclamación como prefijo (por ejemplo, |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. Esta opción se selecciona de forma predeterminada. |
Max Hours Backwards |
Obligatorio. Cantidad de horas previas al momento actual para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Alerts To Fetch |
Obligatorio. Es la cantidad de alertas que se procesarán en cada iteración del conector. El valor máximo es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Inteligencia sobre amenazas de Google. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Reglas del conector
El conector de alertas de DTM de Google Threat Intelligence admite proxies.
Eventos del conector
Existen dos tipos de eventos para el conector de alertas de DTM de Google Threat Intelligence: un evento basado en la alerta principal y un evento basado en un tema.
A continuación, se muestra un ejemplo del evento del conector basado en la alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
A continuación, se muestra un ejemplo del evento del conector basado en un tema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence: conector de problemas de ASM
Usa el conector de problemas de ASM de Google Threat Intelligence para recuperar información sobre los problemas de ASM de Google Threat Intelligence. Para trabajar con el filtro de lista dinámico, usa el parámetro category.
Entradas del conector
El conector de problemas de ASM de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de la API de Google Threat Intelligence. |
Project Name |
Opcional. Es el nombre del proyecto de ASM. Si no estableces un valor, solo se mostrarán las alertas de las colecciones del proyecto principal. |
Lowest Severity To Fetch |
Opcional. Es la gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector transferirá alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Issue Name Filter |
Opcional. Es una lista de problemas separados por comas que se deben transferir. La entrada distingue mayúsculas de minúsculas. Si los nombres se enumeran directamente, el conector usa un filtro de inclusión y solo ingiere los problemas coincidentes. Para excluir problemas específicos, agrega un signo de exclamación al principio del nombre (por ejemplo, Si no se proporciona ningún valor, no se aplica el filtro y se incorporan todos los problemas. |
Status Filter |
Opcional. Es una lista separada por comas de los estados de los problemas que se deben transferir. Si no se proporciona ningún valor, el conector solo procesará los problemas abiertos. Los valores posibles son los siguientes:
El valor predeterminado es |
Event Type Filter |
Opcional. Es una lista de tipos de eventos separados por comas que se devolverán. La entrada no distingue mayúsculas de minúsculas. Si no se proporciona ningún valor, el conector procesa todos los tipos de eventos. Para excluir un tipo específico, agrega un signo de exclamación como prefijo (por ejemplo, |
Max Hours Backwards |
Obligatorio. Cantidad de horas previas al momento actual para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Issues To Fetch |
Obligatorio. Es la cantidad de problemas que se procesarán en cada iteración del conector. El valor máximo es |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. Esta opción se selecciona de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Inteligencia sobre amenazas de Google. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Eventos del conector
El ejemplo del evento Google Threat Intelligence - ASM Issues Connector es el siguiente:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence: conector de Livehunt
Usa el conector de Google Threat Intelligence - Livehunt para recuperar información sobre las notificaciones de Livehunt y sus archivos relacionados de Google Threat Intelligence. Para trabajar con la lista dinámica, usa el parámetro rule_name.
Entradas del conector
El conector de Google Threat Intelligence - Livehunt requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de la API de Google Threat Intelligence. |
Max Hours Backwards |
Obligatorio. Cantidad de horas previas al momento actual para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Notifications To Fetch |
Obligatorio. Es la cantidad de notificaciones que se procesarán en cada iteración del conector. El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. Esta opción se selecciona de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Inteligencia sobre amenazas de Google. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Reglas del conector
El conector de Google Threat Intelligence - Livehunt admite proxies.
Eventos del conector
El ejemplo del evento Google Threat Intelligence - Livehunt Connector es el siguiente:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.