Mengintegrasikan Google Threat Intelligence dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Google Threat Intelligence dengan Google Security Operations (Google SecOps).
Versi integrasi: 1.0
Sebelum memulai
Untuk menggunakan integrasi, Anda memerlukan kunci API. Untuk mengetahui informasi selengkapnya, lihat Kunci API Google Threat Intelligence
Parameter integrasi
Integrasi Google Threat Intelligence memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Root |
Wajib. Root API instance Google Threat Intelligence. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci Google Threat Intelligence API. |
ASM Project Name |
Opsional. Nama project Mandiant Attack Surface Management (ASM) yang akan digunakan dalam integrasi. Parameter ini diperlukan untuk menjalankan tindakan Search ASM Entities, Search ASM Issues, dan Update ASM Issue. Jika tidak ada nilai yang ditetapkan, hanya pemberitahuan dari koleksi di project utama yang ditampilkan. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Google Threat Intelligence. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Tambahkan Komentar Ke Entity
Gunakan tindakan Add Comment To Entity untuk menambahkan komentar ke entitas Google SecOps di Google Threat Intelligence.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Add Comment To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Comment |
Wajib. Komentar yang akan ditambahkan ke semua entitas yang didukung. |
Output tindakan
Tindakan Add Comment To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Komentar ke Entitas:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Comment To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menambahkan Suara ke Entity
Gunakan tindakan Add Comment To Entity untuk menambahkan suara ke entitas Google SecOps di Google Threat Intelligence.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Add Vote To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Vote |
Wajib. Pemungutan suara untuk menambahkan ke semua entitas yang didukung. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Output tindakan
Tindakan Add Vote To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Suara ke Entitas:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Suara ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Download File
Gunakan tindakan Download File untuk mendownload file dari Google Threat Intelligence.
Tindakan ini dijalankan pada entity Hash Google SecOps.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Input tindakan
Tindakan Download File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Download Folder Path |
Wajib. Jalur ke folder untuk menyimpan file yang didownload. |
Overwrite |
Wajib. Jika dipilih, tindakan ini akan menimpa file yang ada dengan file baru jika nama filenya identik. Dipilih secara default. |
Output tindakan
Tindakan Download File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Pesan output
Tindakan Download File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Download File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Memperkaya Entitas
Gunakan tindakan Enrich Entities untuk memperkaya entitas dengan informasi dari Google Threat Intelligence.
Tindakan ini mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainHashHostnameIP AddressURLCVEThreat Actor
Input tindakan
Tindakan Enrich Entities memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Resubmit Entity |
Opsional. Jika dipilih, tindakan akan mengirim ulang entitas untuk dianalisis, bukan menggunakan informasi entitas dari tindakan sebelumnya. Parameter ini hanya mendukung entitas Tidak dipilih secara default. |
Resubmit After (Days) |
Opsional. Jumlah hari yang harus ditunggu sebelum
mengirimkan kembali entitas. Untuk menggunakan parameter ini, pilih parameter
Nilai defaultnya adalah
Parameter ini hanya mendukung entitas |
Sandbox |
Opsional. Daftar nama sandbox yang dipisahkan koma untuk dianalisis,
seperti Parameter ini hanya mendukung entitas Jika Anda tidak menetapkan parameter ini, tindakan akan menggunakan sandbox
default, yaitu |
Retrieve Sandbox Analysis |
Opsional. Jika dipilih, tindakan ini akan mengambil analisis sandbox untuk entitas dan membuat bagian terpisah untuk setiap sandbox dalam hasil JSON. Tindakan ini menampilkan data untuk sandbox yang Anda
konfigurasi dalam parameter Parameter ini hanya
mendukung entitas Tidak dipilih secara default. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan ini akan menampilkan informasi tentang taktik dan teknik MITRE terkait. Parameter ini hanya mendukung
entitas Tidak dipilih secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan teknik MITRE terendah yang akan ditampilkan. Tindakan ini memperlakukan tingkat keparahan Parameter ini hanya mendukung entitas Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar tentang entitas. Parameter ini mendukung entitas berikut:
|
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan ditampilkan untuk setiap jalannya tindakan. Nilai defaultnya adalah |
Output tindakan
Tindakan Enrich Entities memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Link repositori kasus
Tindakan Perkaya Entitas dapat menampilkan link berikut:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionPelaku ancaman:
https://www.virustotal.com/gui/collection/threat-actor--IDKerentanan:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabel pengayaan entitas
- Tindakan Enrich Entities mendukung pengayaan entitas berikut untuk alamat IP:
- Tindakan Perkaya Entitas mendukung pengayaan entitas berikut untuk URL:
- Tindakan Perkaya Entitas mendukung pengayaan entitas berikut untuk Hash:
- Tindakan Perkaya Entitas mendukung pengayaan entitas berikut untuk Domain/Nama Host:
- Tindakan Perkaya Entity mendukung pengayaan entity berikut untuk Aktor Ancaman:
- Tindakan Perkaya Entitas mendukung pengayaan entitas berikut untuk Kerentanan:
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_id |
id |
Jika tersedia di hasil JSON. |
GTI_owner |
as_owner |
Jika tersedia di hasil JSON. |
GTI_asn |
asn |
Jika tersedia di hasil JSON. |
GTI_continent |
continent |
Jika tersedia di hasil JSON. |
GTI_country |
country |
Jika tersedia di hasil JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Jika tersedia di hasil JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Jika tersedia di hasil JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Jika tersedia di hasil JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Jika tersedia di hasil JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Jika tersedia di hasil JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Jika tersedia di hasil JSON. |
GTI_reputation |
reputation |
Jika tersedia di hasil JSON. |
GTI_tags |
Comma-separated list of tags |
Jika tersedia di hasil JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Jika tersedia di hasil JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Jika tersedia di hasil JSON. |
GTI_report_link |
report_link |
Jika tersedia di hasil JSON. |
GTI_widget_link |
widget_url |
Jika tersedia di hasil JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Jika tersedia di hasil JSON. |
GTI_severity |
gti_assessment.severity.value |
Jika tersedia di hasil JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Jika tersedia di hasil JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Jika tersedia di hasil JSON. |
GTI_description |
gti_assessment.description |
Jika tersedia di hasil JSON. |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_id |
id |
Jika tersedia di hasil JSON. |
GTI_title |
title |
Jika tersedia di hasil JSON. |
GTI_last_http_response_code |
last_http_response_code |
Jika tersedia di hasil JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Jika tersedia di hasil JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Jika tersedia di hasil JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Jika tersedia di hasil JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Jika tersedia di hasil JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Jika tersedia di hasil JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Jika tersedia di hasil JSON. |
GTI_reputation |
reputation |
Jika tersedia di hasil JSON. |
GTI_tags |
Comma-separated list of tags |
Jika tersedia di hasil JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Jika tersedia di hasil JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Jika tersedia di hasil JSON. |
GTI_report_link |
report_link |
Jika tersedia di hasil JSON. |
GTI_widget_link |
widget_url |
Jika tersedia di hasil JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Jika tersedia di hasil JSON. |
GTI_severity |
gti_assessment.severity.value |
Jika tersedia di hasil JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Jika tersedia di hasil JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Jika tersedia di hasil JSON. |
GTI_description |
gti_assessment.description |
Jika tersedia di hasil JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Jika tersedia di hasil JSON. |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_id |
id |
Jika tersedia di hasil JSON. |
GTI_magic |
magic |
Jika tersedia di hasil JSON. |
GTI_md5 |
md5 |
Jika tersedia di hasil JSON. |
GTI_sha1 |
sha1 |
Jika tersedia di hasil JSON. |
GTI_sha256 |
sha256 |
Jika tersedia di hasil JSON. |
GTI_ssdeep |
ssdeep |
Jika tersedia di hasil JSON. |
GTI_tlsh |
tlsh |
Jika tersedia di hasil JSON. |
GTI_vhash |
vhash |
Jika tersedia di hasil JSON. |
GTI_meaningful_name |
meaningful_name |
Jika tersedia di hasil JSON. |
GTI_magic |
Comma-separated list of names |
Jika tersedia di hasil JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Jika tersedia di hasil JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Jika tersedia di hasil JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Jika tersedia di hasil JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Jika tersedia di hasil JSON. |
GTI_reputation |
reputation |
Jika tersedia di hasil JSON. |
GTI_tags |
Comma-separated list of tags |
Jika tersedia di hasil JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Jika tersedia di hasil JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Jika tersedia di hasil JSON. |
GTI_report_link |
report_link |
Jika tersedia di hasil JSON. |
GTI_widget_link |
widget_url |
Jika tersedia di hasil JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Jika tersedia di hasil JSON. |
GTI_severity |
gti_assessment.severity.value |
Jika tersedia di hasil JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Jika tersedia di hasil JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Jika tersedia di hasil JSON. |
GTI_description |
gti_assessment.description |
Jika tersedia di hasil JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_id |
id |
Jika tersedia di hasil JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Jika tersedia di hasil JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Jika tersedia di hasil JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Jika tersedia di hasil JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Jika tersedia di hasil JSON. |
GTI_reputation |
reputation |
Jika tersedia di hasil JSON. |
GTI_tags |
Comma-separated list of tags |
Jika tersedia di hasil JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Jika tersedia di hasil JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Jika tersedia di hasil JSON. |
GTI_report_link |
report_link |
Jika tersedia di hasil JSON. |
GTI_widget_link |
widget_url |
Jika tersedia di hasil JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Jika tersedia di hasil JSON. |
GTI_severity |
gti_assessment.severity.value |
Jika tersedia di hasil JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Jika tersedia di hasil JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Jika tersedia di hasil JSON. |
GTI_description |
gti_assessment.description |
Jika tersedia di hasil JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Jika tersedia di hasil JSON. |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Jika tersedia di hasil JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Jika tersedia di hasil JSON. |
GTI_industries |
Csv of targeted_industries/value |
Jika tersedia di hasil JSON. |
GTI_malware |
Csv of malware/name |
Jika tersedia di hasil JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Jika tersedia di hasil JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Jika tersedia di hasil JSON. |
GTI_origin |
origin |
Jika tersedia di hasil JSON. |
GTI_description |
description |
Jika tersedia di hasil JSON. |
GTI_last_activity_time |
last_activity_time |
Jika tersedia di hasil JSON. |
GTI_report_link |
We craft it. |
Jika tersedia di hasil JSON. |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GTI_sources |
Csv of source_name |
Jika tersedia di hasil JSON. |
GTI_exploitation_state |
exploitation_state |
Jika tersedia di hasil JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Jika tersedia di hasil JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Jika tersedia di hasil JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Jika tersedia di hasil JSON. |
GTI_description |
description |
Jika tersedia di hasil JSON. |
GTI_risk_rating |
risk_rating |
Jika tersedia di hasil JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Jika tersedia di hasil JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Jika tersedia di hasil JSON. |
GTI_report_link |
We craft it. |
Jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON untuk IOC (entitas IP, Hash, URL, Domain, dan Hostname) yang diterima saat menggunakan tindakan Perkaya Entitas:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
Contoh berikut menunjukkan output hasil JSON untuk Vulnerabilities yang diterima saat menggunakan tindakan Enrich Entities:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
Contoh berikut menunjukkan output hasil JSON untuk Aktor Ancaman yang diterima saat menggunakan tindakan Enrich Entities:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Pesan output
Tindakan Perkaya Entitas dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya IOC
Gunakan tindakan Perkaya IOC untuk memperkaya indikator gangguan (IoC) menggunakan informasi dari Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Enrich IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOC Type |
Opsional. Jenis IOC yang akan diperkaya. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
IOCs |
Wajib. Daftar IOC yang dipisahkan koma untuk menyerap data. |
Output tindakan
Tindakan Perkaya IOC memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya IOC dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Perkaya IOC dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: IOC_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IOCs:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Pesan output
Tindakan Enrich IOCs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menjalankan Penelusuran IOC
Gunakan tindakan Execute IOC Search untuk menjalankan penelusuran IOC di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute IOC Search memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Search Query |
Wajib. Kueri penelusuran yang akan dijalankan, seperti
|
Max Results To Return |
Opsional. Jumlah hasil maksimum yang akan ditampilkan untuk setiap jalannya tindakan. Nilai maksimum adalah Nilai
defaultnya adalah |
Output tindakan
Tindakan Execute IOC Search memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute IOC Search:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Pesan output
Tindakan Execute IOC Search dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Penelusuran IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Entity ASM
Gunakan tindakan Get ASM Entity Details untuk mendapatkan informasi tentang entitas ASM di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get ASM Entity Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Entity ID |
Wajib. Daftar ID entitas yang dipisahkan koma untuk mendapatkan detail. |
Output tindakan
Tindakan Get ASM Entity Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get ASM Entity Details:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Pesan output
Tindakan Get ASM Entity Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Entitas ASM:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Grafik
Gunakan tindakan Dapatkan Detail Grafik untuk mendapatkan informasi mendetail tentang grafik di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Graph Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Graph ID |
Wajib. Daftar ID grafik yang dipisahkan koma untuk mengambil detail. |
Max Links To Return |
Wajib. Jumlah maksimum link yang akan ditampilkan untuk setiap grafik. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Graph Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Tindakan Dapatkan Detail Grafik dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: Graph GRAPH_ID Links
Kolom tabel:
- Sumber
- Target
- Jenis Koneksi
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Pesan output
Tindakan Get Graph Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Grafik:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan IOC Terkait
Gunakan tindakan Get Related IOCs untuk mendapatkan informasi tentang IOC yang terkait dengan entitas menggunakan informasi dari Google Threat Intelligence.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
IP addressURLHostnameDomainHashThreat Actor
Input tindakan
Tindakan Get Related IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOC Types |
Wajib. Daftar IOC yang dipisahkan koma untuk diekstrak. Nilai
yang mungkin adalah sebagai berikut: |
Max IOCs To Return |
Wajib. Jumlah maksimum IOC yang akan ditampilkan untuk jenis IOC yang dipilih bagi setiap entitas. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related IOCs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related IOCs:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Pesan output
Tindakan Get Related IOCs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related IOCs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menelusuri Entitas ASM
Gunakan tindakan Search ASM Entities untuk menelusuri entitas ASM di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search ASM Entities memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Project Name |
Opsional. Nama project ASM. Jika Anda tidak menetapkan
nilai, tindakan akan menggunakan nilai yang Anda konfigurasi untuk parameter integrasi |
Entity Name |
Opsional. Daftar nama entity yang dipisahkan koma untuk menemukan entity. Tindakan ini memperlakukan nama entitas yang berisi
garis miring |
Minimum Vulnerabilities Count |
Opsional. Jumlah minimum kerentanan yang diperlukan agar tindakan menampilkan entitas. |
Minimum Issues Count |
Opsional. Jumlah minimum masalah yang diperlukan untuk tindakan guna menampilkan entitas. |
Tags |
Opsional. Daftar nama tag yang dipisahkan koma untuk digunakan saat menelusuri entitas. |
Max Entities To Return |
Opsional. Jumlah entity yang akan ditampilkan. Nilai
maksimum adalah |
Critical or High Issue |
Opsional. Jika dipilih, tindakan hanya akan menampilkan masalah dengan tingkat keparahan
Tidak dipilih secara default. |
Output tindakan
Tindakan Search ASM Entities memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search ASM Entities:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Pesan output
Tindakan Search ASM Entities dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search ASM Entities:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menelusuri Masalah ASM
Gunakan tindakan Search ASM Issues untuk menelusuri masalah ASM di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search ASM Issues memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Project Name |
Opsional. Nama project ASM. Jika Anda tidak menetapkan
nilai, tindakan akan menggunakan nilai yang Anda konfigurasi untuk parameter integrasi |
Issue ID |
Opsional. Daftar ID masalah yang dipisahkan koma untuk menampilkan detailnya. |
Entity ID |
Opsional. Daftar ID entitas yang dipisahkan koma untuk menemukan masalah terkait. |
Entity Name |
Opsional. Daftar nama entitas yang dipisahkan koma untuk menemukan masalah terkait. Tindakan ini memperlakukan nama entitas yang berisi
garis miring |
Time Parameter |
Opsional. Opsi filter untuk menyetel waktu masalah. Kemungkinan nilainya adalah Nilai defaultnya adalah |
Time Frame |
Opsional. Periode untuk memfilter masalah. Jika Anda memilih
Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Start Time |
Opsional. Waktu mulai untuk hasil. Jika Anda memilih
Konfigurasi nilai dalam format ISO 8601. |
End Time |
Opsional. Waktu berakhir untuk hasil. Jika Anda memilih
Konfigurasi nilai dalam format ISO 8601. |
Lowest Severity To Return |
Opsional. Tingkat keparahan terendah masalah yang akan ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah Jika Anda memilih |
Status |
Opsional. Filter status untuk penelusuran. Nilai yang mungkin adalah Nilai defaultnya adalah Jika Anda memilih |
Tags |
Opsional. Daftar nama tag yang dipisahkan koma untuk digunakan saat mencari masalah. |
Max Issues To Return |
Wajib. Jumlah masalah yang akan ditampilkan. Nilai
maksimum adalah |
Output tindakan
Tindakan Search ASM Issues memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search ASM Issues:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Pesan output
Tindakan Search ASM Issues dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search ASM Issues:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Grafik Entity Penelusuran
Gunakan tindakan Search Entity Graphs untuk menelusuri grafik yang didasarkan pada entitas Google SecOps di Google Threat Intelligence.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Input tindakan
Tindakan Search Entity Graphs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Sort Field |
Opsional. Nilai kolom untuk mengurutkan hasil. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Output tindakan
Tindakan Search Entity Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Pesan output
Tindakan Search Entity Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Grafik Penelusuran
Gunakan tindakan Search Graphs untuk menelusuri grafik berdasarkan filter kustom di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search Graphs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Filter kueri untuk grafik. Misalnya, untuk menelusuri grafik dalam periode yang dipilih, format
kueri sebagai berikut:
Untuk mengetahui informasi selengkapnya tentang kueri, lihat Cara membuat kueri, Pengubah terkait grafik, dan Pengubah terkait node. |
Sort Field |
Opsional. Nilai kolom untuk mengurutkan grafik VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Cara membuat kueri
Untuk mempertajam hasil penelusuran dari grafik, buat kueri yang berisi pengubah terkait grafik. Untuk meningkatkan penelusuran, Anda dapat menggabungkan
pengubah dengan operator AND, OR, dan NOT.
Kolom tanggal dan numerik mendukung akhiran + plus dan - minus. Sufiks plus
mencocokkan nilai yang lebih besar dari nilai yang diberikan. Sufiks minus cocok dengan
nilai yang kurang dari nilai yang diberikan. Tanpa akhiran, kueri akan menampilkan kecocokan
persis.
Untuk menentukan rentang, Anda dapat menggunakan pengubah yang sama beberapa kali dalam kueri. Misalnya, untuk menelusuri grafik yang dibuat antara 15-11-2018 dan 20-11-2018, gunakan kueri berikut:
creation_date:2018-11-15+ creation_date:2018-11-20-
Untuk tanggal atau bulan yang diawali dengan 0, hapus karakter 0 dalam kueri.
Misalnya, format tanggal 2018-11-01 sebagai 2018-11-1.
Pengubah terkait grafik
Tabel berikut mencantumkan pengubah terkait grafik yang dapat Anda gunakan untuk membuat kueri penelusuran:
| Nama pengubah | Deskripsi | Contoh |
|---|---|---|
id |
Memfilter menurut ID grafik. | id:g675a2fd4c8834e288af |
name |
Memfilter menurut nama grafik. | name:Example-name |
owner |
Memfilter menurut grafik yang dimiliki oleh pengguna. | owner:example_user |
group |
Memfilter menurut grafik yang dimiliki oleh grup. | group:example |
visible_to_user |
Memfilter menurut grafik yang terlihat oleh pengguna. | visible_to_user:example_user |
visible_to_group |
Memfilter menurut grafik yang terlihat oleh grup. | visible_to_group:example |
private |
Memfilter menurut grafik pribadi. | private:true, private:false |
creation_date |
Memfilter berdasarkan tanggal pembuatan grafik. | creation_date:2018-11-15 |
last_modified_date |
Memfilter menurut tanggal modifikasi grafik terbaru. | last_modified_date:2018-11-20 |
total_nodes |
Memfilter menurut grafik yang berisi sejumlah node tertentu. | total_nodes:100 |
comments_count |
Memfilter berdasarkan jumlah komentar dalam grafik. | comments_count:10+ |
views_count |
Memfilter berdasarkan jumlah tampilan grafik. | views_count:1000+ |
Pengubah terkait node
Tabel berikut mencantumkan pengubah terkait grafik yang dapat Anda gunakan untuk membuat kueri penelusuran:
| Nama pengubah | Deskripsi | Contoh |
|---|---|---|
label |
Memfilter menurut grafik yang berisi node dengan label tertentu. | label:Kill switch |
file |
Memfilter menurut grafik yang berisi file tertentu. | file:131f95c51cc819465fa17 |
domain |
Memfilter menurut grafik yang berisi domain tertentu. | domain:example.com |
ip_address |
Memfilter berdasarkan grafik yang berisi alamat IP tertentu. | ip_address:203.0.113.1 |
url |
Memfilter berdasarkan grafik yang berisi URL tertentu. | url:https://example.com/example/ |
actor |
Memfilter menurut grafik yang berisi aktor tertentu. | actor:example actor |
victim |
Memfilter menurut grafik yang berisi korban tertentu. | victim:example_user |
email |
Memfilter menurut grafik yang berisi alamat email tertentu. | email:user@example.com |
department |
Memfilter menurut grafik yang berisi departemen tertentu. | department:engineers |
Output tindakan
Tindakan Search Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Pesan output
Tindakan Search Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search Graphs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menetapkan Analisis Pemberitahuan DTM
Gunakan tindakan Setel Analisis Pemberitahuan DTM untuk menentukan analisis pemberitahuan Pemantauan Ancaman Digital (DTM) di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Setel Analisis Pemberitahuan DTM memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Alert ID |
Wajib. ID pemberitahuan yang akan ditambahkan analisisnya. |
Text |
Wajib. Analisis yang akan ditambahkan ke pemberitahuan. |
Attachment File Paths |
Opsional. Daftar jalur file yang dipisahkan koma untuk dilampirkan ke pemberitahuan. Maksimum 10 lampiran didukung. |
Output tindakan
Tindakan Setel Analisis Pemberitahuan DTM memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Pesan output
Tindakan Setel Analisis Pemberitahuan DTM dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Setel Analisis Peringatan DTM:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Kirim File
Gunakan tindakan Submit File untuk mengirimkan file dan menampilkan hasil dari Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Tindakan ini bersifat asinkron. Sesuaikan nilai waktu tunggu skrip di lingkungan pengembangan terintegrasi (IDE) Google SecOps untuk tindakan sesuai kebutuhan.
Input tindakan
Tindakan Kirim File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
External URLs |
Opsional. Daftar URL publik yang dipisahkan koma untuk file yang akan dikirimkan. Jika "URL Eksternal" dan "Jalur File" diberikan, tindakan akan mengumpulkan file dari kedua input. |
File Paths |
Opsional. Daftar jalur file absolut yang dipisahkan koma. Jika Anda mengonfigurasi parameter **Alamat Server Linux**, tindakan akan mencoba mengambil file dari server jarak jauh. Jika "URL Eksternal" dan "Jalur File" diberikan, tindakan akan mengumpulkan file dari kedua input. |
ZIP Password |
Opsional. Sandi untuk folder ZIP yang berisi file yang akan dikirimkan. |
Private Submission |
Opsional. Jika dipilih, tindakan akan mengirimkan file dalam mode pribadi. Untuk mengirimkan file secara pribadi, VirusTotal Premium API diperlukan. |
Check Hash |
Opsional. Default: Dinonaktifkan. Jika diaktifkan, tindakan akan menghitung hash untuk file dan penelusuran terlebih dahulu, jika ada informasi yang tersedia untuk file tersebut. Jika tersedia, API ini akan menampilkan informasi tanpa alur pengiriman. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar tentang file yang dikirimkan. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan ini akan menampilkan informasi tentang taktik dan teknik MITRE terkait. Tidak dipilih secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan teknik MITRE terendah yang akan ditampilkan. Tindakan ini memperlakukan tingkat keparahan Parameter ini hanya mendukung entitas Hash. Nilai defaultnya adalah |
Retrieve AI Summary |
Opsional. Jika dipilih, tindakan akan mengambil ringkasan AI untuk file yang dikirimkan. Ringkasan AI hanya tersedia untuk pengiriman pribadi. Parameter ini bersifat eksperimental. Tidak dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan ditampilkan di setiap jalannya tindakan. |
Linux Server Address |
Opsional. Alamat IP server Linux jarak jauh tempat file berada. |
Linux Username |
Opsional. Nama pengguna server Linux jarak jauh tempat file berada. |
Linux Password |
Opsional. Sandi server Linux jarak jauh tempat file berada. |
Output tindakan
Tindakan Kirim File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip. | Tersedia |
Link repositori kasus
Tindakan Kirim File dapat menampilkan link berikut:
Link Pelaporan PATH:
URL
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Kirim File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Pesan output
Tindakan Kirim File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Tidak ada nilai "Jalur File" atau "URL Eksternal" Setidaknya salah satu parameter "Jalur File" atau "URL Eksternal" harus memiliki nilai. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Kirim File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperbarui Masalah ASM
Gunakan tindakan Perbarui Masalah ASM untuk memperbarui masalah ASM di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Perbarui Masalah ASM memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Issue ID |
Wajib. ID masalah yang akan diperbarui. |
Status |
Wajib. Status baru yang akan ditetapkan untuk masalah. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Output tindakan
Tindakan Update ASM Issue memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Update ASM Issue:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Pesan output
Tindakan Update ASM Issue dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
Tindakan berhasil. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Masalah ASM:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperbarui Notifikasi DTM
Gunakan tindakan Perbarui Notifikasi DTM untuk memperbarui notifikasi Mandiant Digital Threat Monitoring di Google Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Update DTM Alert memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Alert ID |
Wajib. ID pemberitahuan yang akan diperbarui. |
Status |
Opsional. Status baru yang akan ditetapkan untuk notifikasi. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Output tindakan
Tindakan Update DTM Alert memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Update DTM Alert:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Pesan output
Tindakan Update DTM Alert dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
Tindakan berhasil. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Pemberitahuan DTM:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Google Threat Intelligence - Konektor Pemberitahuan DTM
Gunakan Google Threat Intelligence - DTM Alerts Connector untuk mengambil notifikasi dari Google Threat Intelligence. Untuk menggunakan daftar dinamis, gunakan
parameter alert_type.
Input konektor
Konektor Pemberitahuan DTM - Google Threat Intelligence memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah
|
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah
|
API Root |
Wajib. Root API instance Google Threat Intelligence. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci Google Threat Intelligence API. |
Lowest Severity To Fetch |
Opsional. Tingkat keparahan terendah dari pemberitahuan yang akan diambil. Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. Kemungkinan nilainya adalah sebagai berikut:
|
Monitor ID Filter |
Opsional. Daftar ID monitor yang dipisahkan koma untuk mengambil notifikasi. |
Event Type Filter |
Opsional. Daftar jenis acara yang dipisahkan koma untuk ditampilkan. Input tidak peka huruf besar/kecil. Jika tidak ada nilai yang diberikan, konektor memproses semua jenis peristiwa. Untuk mengecualikan jenis tertentu, awali dengan tanda seru (seperti,
|
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Dipilih secara default. |
Max Hours Backwards |
Wajib. Jumlah jam sebelum saat ini untuk mengambil pemberitahuan. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Alerts To Fetch |
Wajib. Jumlah pemberitahuan yang akan diproses dalam setiap iterasi konektor. Nilai maksimum adalah |
Use dynamic list as a blocklist |
Wajib. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Google Threat Intelligence. Dipilih secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Aturan konektor
Konektor Peringatan DTM - Google Threat Intelligence mendukung proxy.
Peristiwa konektor
Ada dua jenis peristiwa untuk Google Threat Intelligence - DTM Alerts Connector: peristiwa yang didasarkan pada pemberitahuan utama dan peristiwa yang didasarkan pada topik.
Contoh peristiwa konektor berdasarkan pemberitahuan utama adalah sebagai berikut:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Contoh peristiwa konektor berdasarkan topik adalah sebagai berikut:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - Konektor Masalah ASM
Gunakan Google Threat Intelligence - ASM Issues Connector untuk mengambil
informasi tentang masalah ASM dari Google Threat Intelligence. Untuk
menggunakan filter daftar dinamis, gunakan parameter category.
Input konektor
Konektor Masalah ASM - Google Threat Intelligence memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah
|
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah
|
API Root |
Wajib. Root API instance Google Threat Intelligence. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci Google Threat Intelligence API. |
Project Name |
Opsional. Nama project ASM. Jika Anda tidak menetapkan nilai, hanya pemberitahuan dari koleksi di project utama yang ditampilkan. |
Lowest Severity To Fetch |
Opsional. Tingkat keparahan terendah dari pemberitahuan yang akan diambil. Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. Kemungkinan nilainya adalah sebagai berikut:
|
Issue Name Filter |
Opsional. Daftar masalah yang dipisahkan koma untuk diproses. Input peka huruf besar/kecil. Jika nama dicantumkan secara langsung, konektor menggunakan filter penyertaan, yang hanya menyerap masalah yang cocok. Untuk mengecualikan masalah tertentu, awali nama dengan tanda seru
(seperti, Jika tidak ada nilai yang diberikan, filter tidak diterapkan, dan semua masalah akan diperiksa. |
Status Filter |
Opsional. Daftar status masalah yang dipisahkan koma untuk diproses. Jika tidak ada nilai yang diberikan, konektor hanya memproses masalah terbuka. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Event Type Filter |
Opsional. Daftar jenis acara yang dipisahkan koma untuk ditampilkan. Input tidak peka huruf besar/kecil. Jika tidak ada nilai yang diberikan, konektor memproses semua jenis peristiwa. Untuk mengecualikan jenis tertentu, awali dengan tanda seru (seperti,
|
Max Hours Backwards |
Wajib. Jumlah jam sebelum saat ini untuk mengambil pemberitahuan. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Issues To Fetch |
Wajib. Jumlah masalah yang akan diproses dalam setiap iterasi konektor. Nilai maksimum adalah |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Dipilih secara default. |
Use dynamic list as a blocklist |
Wajib. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Google Threat Intelligence. Dipilih secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Peristiwa konektor
Contoh peristiwa Google Threat Intelligence - ASM Issues Connector adalah sebagai berikut:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt Connector
Gunakan Google Threat Intelligence - Livehunt Connector untuk mengambil
informasi tentang notifikasi Livehunt dan file terkaitnya dari
Google Threat Intelligence. Untuk menggunakan daftar dinamis, gunakan parameter
rule_name.
Input konektor
Google Threat Intelligence - Livehunt Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah
|
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah
|
API Root |
Wajib. Root API instance Google Threat Intelligence. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci Google Threat Intelligence API. |
Max Hours Backwards |
Wajib. Jumlah jam sebelum saat ini untuk mengambil pemberitahuan. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Notifications To Fetch |
Wajib. Jumlah notifikasi yang akan diproses dalam setiap iterasi konektor. Nilai defaultnya adalah |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Dipilih secara default. |
Use dynamic list as a blocklist |
Wajib. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Google Threat Intelligence. Dipilih secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Aturan konektor
Google Threat Intelligence - Livehunt Connector mendukung proxy.
Peristiwa konektor
Contoh peristiwa Google Threat Intelligence - Livehunt Connector adalah sebagai berikut:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.