Google Threat Intelligence를 Google SecOps와 통합
이 문서에서는 Google 위협 인텔리전스를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 1.0
시작하기 전에
통합을 사용하려면 API 키가 필요합니다. 자세한 내용은 Google Threat Intelligence API 키를 참고하세요.
통합 매개변수
Google 위협 인텔리전스 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Root |
필수 항목입니다. Google Threat Intelligence 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수 항목입니다. Google Threat Intelligence API 키입니다. |
ASM Project Name |
(선택사항) 통합에서 사용할 Mandiant Attack Surface Management (ASM) 프로젝트 이름입니다. 이 매개변수는 ASM 항목 검색, ASM 문제 검색, ASM 문제 업데이트 작업을 실행하는 데 필요합니다. 값이 설정되지 않은 경우 기본 프로젝트의 컬렉션에서만 알림이 반환됩니다. |
Verify SSL |
필수 항목입니다. 선택하면 Google 위협 인텔리전스 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
항목에 댓글 추가
Add Comment To Entity 작업을 사용하여 Google 위협 인텔리전스의 Google SecOps 엔티티에 댓글을 추가합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
Add Comment To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Comment |
필수 항목입니다. 지원되는 모든 항목에 추가할 댓글입니다. |
작업 출력
엔티티에 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 엔티티에 댓글 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Comment To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
항목에 투표 추가
엔티티에 댓글 추가 작업을 사용하여 Google 위협 인텔리전스의 Google SecOps 엔티티에 투표를 추가합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
Add Vote To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Vote |
필수 항목입니다. 지원되는 모든 항목에 추가하기 위한 투표입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
Add Vote To Entity 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 엔티티에 투표 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 투표 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
파일 다운로드
파일 다운로드 작업을 사용하여 Google 위협 인텔리전스에서 파일을 다운로드합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
작업 입력
파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Download Folder Path |
필수 항목입니다. 다운로드한 파일을 저장할 폴더의 경로입니다. |
Overwrite |
필수 항목입니다. 선택하면 파일 이름이 동일한 경우 작업에서 기존 파일을 새 파일로 덮어씁니다. 기본적으로 선택되어 있습니다. |
작업 출력
파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
출력 메시지
파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
항목 보강
항목 보강 작업을 사용하여 Google 위협 인텔리전스의 정보로 항목을 보강합니다.
이 작업은 MD5, SHA-1, SHA-256 해시를 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainHashHostnameIP AddressURLCVEThreat Actor
작업 입력
Enrich Entities 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Resubmit Entity |
(선택사항) 선택하면 이전 작업 실행의 항목 정보를 사용하는 대신 분석을 위해 항목을 다시 제출합니다. 이 파라미터는 기본적으로 선택되지 않습니다. |
Resubmit After (Days) |
(선택사항) 작업이 엔티티를 다시 제출하기 전에 대기할 일수입니다. 이 매개변수를 사용하려면 기본값은 이 파라미터는 |
Sandbox |
(선택사항) 분석할 샌드박스 이름의 쉼표로 구분된 목록입니다(예: 이 파라미터는 이 매개변수를 설정하지 않으면 작업에서 기본 샌드박스( |
Retrieve Sandbox Analysis |
(선택사항) 선택하면 이 작업은 엔티티의 샌드박스 분석을 가져오고 JSON 결과에서 각 샌드박스에 대해 별도의 섹션을 만듭니다. 이 작업은 이 파라미터는 기본적으로 선택되지 않습니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업에서 관련 MITRE 기법 및 전략에 관한 정보를 반환합니다. 이 파라미터는 기본적으로 선택되지 않습니다. |
Lowest MITRE Technique Severity |
(선택사항) 반환할 가장 낮은 MITRE 기법 심각도입니다. 이 작업은 이 파라미터는 가능한 값은 다음과 같습니다.
기본값은 |
Retrieve Comments |
(선택사항) 선택하면 작업이 항목에 관한 의견을 가져옵니다. 이 매개변수는 다음 항목을 지원합니다.
|
Max Comments To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 댓글 수입니다. 기본값은 |
작업 출력
Enrich Entities 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
케이스 월 링크
엔티티 보강 작업은 다음 링크를 반환할 수 있습니다.
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detection공격자:
https://www.virustotal.com/gui/collection/threat-actor--ID취약점:
https://www.virustotal.com/gui/collection/vulnerability--ID
항목 보강 테이블
- 엔티티 보강 작업은 IP 주소에 대해 다음 엔티티 보강을 지원합니다.
- Enrich Entities 작업은 URL에 대해 다음과 같은 엔티티 보강을 지원합니다.
- Enrich Entities 작업은 Hash에 대해 다음과 같은 엔티티 강화를 지원합니다.
- 엔티티 보강 작업은 도메인/호스트 이름에 대해 다음과 같은 엔티티 보강을 지원합니다.
- Enrich Entities 작업은 Threat Actor에 대해 다음과 같은 엔티티 강화를 지원합니다.
- Enrich Entities 작업은 Vulnerability에 대해 다음과 같은 엔티티 강화를 지원합니다.
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_id |
id |
JSON 결과에서 사용할 수 있는 경우 |
GTI_owner |
as_owner |
JSON 결과에서 사용할 수 있는 경우 |
GTI_asn |
asn |
JSON 결과에서 사용할 수 있는 경우 |
GTI_continent |
continent |
JSON 결과에서 사용할 수 있는 경우 |
GTI_country |
country |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 결과에서 사용할 수 있는 경우 |
GTI_certificate_valid_not_after |
validity/not_after |
JSON 결과에서 사용할 수 있는 경우 |
GTI_certificate_valid_not_before |
validity/not_before |
JSON 결과에서 사용할 수 있는 경우 |
GTI_reputation |
reputation |
JSON 결과에서 사용할 수 있는 경우 |
GTI_tags |
Comma-separated list of tags |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
report_link |
JSON 결과에서 사용할 수 있는 경우 |
GTI_widget_link |
widget_url |
JSON 결과에서 사용할 수 있는 경우 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_severity |
gti_assessment.severity.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 결과에서 사용할 수 있는 경우 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
gti_assessment.description |
JSON 결과에서 사용할 수 있는 경우 |
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_id |
id |
JSON 결과에서 사용할 수 있는 경우 |
GTI_title |
title |
JSON 결과에서 사용할 수 있는 경우 |
GTI_last_http_response_code |
last_http_response_code |
JSON 결과에서 사용할 수 있는 경우 |
GTI_last_http_response_content_length |
last_http_response_content_length |
JSON 결과에서 사용할 수 있는 경우 |
GTI_threat_names |
Comma-separated list of threat_names |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 결과에서 사용할 수 있는 경우 |
GTI_reputation |
reputation |
JSON 결과에서 사용할 수 있는 경우 |
GTI_tags |
Comma-separated list of tags |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
report_link |
JSON 결과에서 사용할 수 있는 경우 |
GTI_widget_link |
widget_url |
JSON 결과에서 사용할 수 있는 경우 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_severity |
gti_assessment.severity.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 결과에서 사용할 수 있는 경우 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
gti_assessment.description |
JSON 결과에서 사용할 수 있는 경우 |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON 결과에서 사용할 수 있는 경우 |
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_id |
id |
JSON 결과에서 사용할 수 있는 경우 |
GTI_magic |
magic |
JSON 결과에서 사용할 수 있는 경우 |
GTI_md5 |
md5 |
JSON 결과에서 사용할 수 있는 경우 |
GTI_sha1 |
sha1 |
JSON 결과에서 사용할 수 있는 경우 |
GTI_sha256 |
sha256 |
JSON 결과에서 사용할 수 있는 경우 |
GTI_ssdeep |
ssdeep |
JSON 결과에서 사용할 수 있는 경우 |
GTI_tlsh |
tlsh |
JSON 결과에서 사용할 수 있는 경우 |
GTI_vhash |
vhash |
JSON 결과에서 사용할 수 있는 경우 |
GTI_meaningful_name |
meaningful_name |
JSON 결과에서 사용할 수 있는 경우 |
GTI_magic |
Comma-separated list of names |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 결과에서 사용할 수 있는 경우 |
GTI_reputation |
reputation |
JSON 결과에서 사용할 수 있는 경우 |
GTI_tags |
Comma-separated list of tags |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
report_link |
JSON 결과에서 사용할 수 있는 경우 |
GTI_widget_link |
widget_url |
JSON 결과에서 사용할 수 있는 경우 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_severity |
gti_assessment.severity.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
JSON 결과에서 사용할 수 있는 경우 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
gti_assessment.description |
JSON 결과에서 사용할 수 있는 경우 |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_id |
id |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 결과에서 사용할 수 있는 경우 |
GTI_reputation |
reputation |
JSON 결과에서 사용할 수 있는 경우 |
GTI_tags |
Comma-separated list of tags |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 결과에서 사용할 수 있는 경우 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
report_link |
JSON 결과에서 사용할 수 있는 경우 |
GTI_widget_link |
widget_url |
JSON 결과에서 사용할 수 있는 경우 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_severity |
gti_assessment.severity.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 결과에서 사용할 수 있는 경우 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
gti_assessment.description |
JSON 결과에서 사용할 수 있는 경우 |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON 결과에서 사용할 수 있는 경우 |
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
JSON 결과에서 사용할 수 있는 경우 |
GTI_aliases |
Csv of alt_names_details/value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_industries |
Csv of targeted_industries/value |
JSON 결과에서 사용할 수 있는 경우 |
GTI_malware |
Csv of malware/name |
JSON 결과에서 사용할 수 있는 경우 |
GTI_source_region |
CSV of source_regions_hierarchy/country |
JSON 결과에서 사용할 수 있는 경우 |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
JSON 결과에서 사용할 수 있는 경우 |
GTI_origin |
origin |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
description |
JSON 결과에서 사용할 수 있는 경우 |
GTI_last_activity_time |
last_activity_time |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
We craft it. |
JSON 결과에서 사용할 수 있는 경우 |
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
GTI_sources |
Csv of source_name |
JSON 결과에서 사용할 수 있는 경우 |
GTI_exploitation_state |
exploitation_state |
JSON 결과에서 사용할 수 있는 경우 |
GTI_date_of_disclosure |
date_of_disclosure |
JSON 결과에서 사용할 수 있는 경우 |
GTI_vendor_fix_references |
vendor_fix_references/url |
JSON 결과에서 사용할 수 있는 경우 |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
JSON 결과에서 사용할 수 있는 경우 |
GTI_description |
description |
JSON 결과에서 사용할 수 있는 경우 |
GTI_risk_rating |
risk_rating |
JSON 결과에서 사용할 수 있는 경우 |
GTI_available_mitigation |
CSV of available_mitigation |
JSON 결과에서 사용할 수 있는 경우 |
GTI_exploitation_consequence |
exploitation_consequence |
JSON 결과에서 사용할 수 있는 경우 |
GTI_report_link |
We craft it. |
JSON 결과에서 사용할 수 있는 경우 |
JSON 결과
다음 예는 Enrich Entities 작업을 사용할 때 수신되는 IOC (IP, Hash, URL, Domain, Hostname 엔티티)의 JSON 결과 출력을 보여줍니다.
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
다음 예는 엔티티 보강 작업을 사용할 때 수신된 취약점의 JSON 결과 출력을 보여줍니다.
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
다음 예는 Enrich Entities(엔티티 보강) 작업을 사용할 때 수신된 위협 행위자의 JSON 결과 출력을 보여줍니다.
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
출력 메시지
Enrich Entities 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Enrich Entities 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 보강
IOC 보강 작업을 사용하여 Google 위협 인텔리전스의 정보를 사용하여 침해 지표 (IOC)를 보강합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Type |
(선택사항) 강화할 IOC의 유형입니다. 가능한 값은 다음과 같습니다.
기본값은 |
IOCs |
필수 항목입니다. 데이터를 수집할 IOC의 쉼표로 구분된 목록입니다. |
작업 출력
IOC 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
IOC 보강 작업을 통해 보강된 모든 항목에 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
IOC 보강 작업을 통해 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: IOC_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
JSON 결과
다음은 IOC 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
출력 메시지
IOC 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 검색 실행
IOC 검색 실행 작업을 사용하여 Google Threat Intelligence에서 IOC 검색을 실행합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 검색 실행 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Search Query |
필수 항목입니다. 실행할 검색어입니다(예: |
Max Results To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 결과 수입니다. 최댓값은 기본값은 |
작업 출력
IOC 검색 실행 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 IOC 검색 실행 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
출력 메시지
IOC 검색 실행 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 검색 실행 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ASM 항목 세부정보 가져오기
ASM 항목 세부정보 가져오기 작업을 사용하여 Google Threat Intelligence의 ASM 항목에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
ASM 엔티티 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Entity ID |
필수 항목입니다. 세부정보를 가져올 항목 ID의 쉼표로 구분된 목록입니다. |
작업 출력
ASM 엔티티 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 ASM 엔티티 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
출력 메시지
ASM 엔티티 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 ASM 엔티티 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
그래프 세부정보 가져오기
그래프 세부정보 가져오기 작업을 사용하여 Google Threat Intelligence의 그래프에 관한 세부정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그래프 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Graph ID |
필수 항목입니다. 세부정보를 가져올 그래프 ID의 쉼표로 구분된 목록입니다. |
Max Links To Return |
필수 항목입니다. 각 그래프에 대해 반환할 최대 링크 수입니다. 기본값은 |
작업 출력
그래프 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
그래프 세부정보 가져오기 작업은 모든 풍부한 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 그래프 GRAPH_ID 링크
표 열:
- 소스
- 대상
- 연결 유형
JSON 결과
다음 예는 그래프 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
출력 메시지
그래프 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 IOC 가져오기
Get Related IOCs 작업을 사용하여 Google Threat Intelligence의 정보를 사용하여 엔티티와 관련된 IOC에 관한 정보를 가져옵니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP addressURLHostnameDomainHashThreat Actor
작업 입력
관련 IOC 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Types |
필수 항목입니다. 추출할 IOC의 쉼표로 구분된 목록입니다. 가능한 값은 |
Max IOCs To Return |
필수 항목입니다. 선택한 IOC 유형에 대해 각 항목에 반환할 최대 IOC 수입니다. 기본값은 |
작업 출력
관련 IOC 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
JSON 결과
다음 예시는 관련 IOC 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
출력 메시지
관련 IOC 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 IOC 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 Google 위협 인텔리전스와의 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ASM 항목 검색
ASM 항목 검색 작업을 사용하여 Google Threat Intelligence에서 ASM 항목을 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
ASM 엔티티 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Project Name |
(선택사항) ASM 프로젝트의 이름입니다. 값을 설정하지 않으면 작업에서 |
Entity Name |
(선택사항) 엔티티를 찾을 엔티티 이름을 쉼표로 구분한 목록입니다. 이 작업은 |
Minimum Vulnerabilities Count |
(선택사항) 작업에서 엔티티를 반환하는 데 필요한 최소 취약점 수입니다. |
Minimum Issues Count |
(선택사항) 작업에서 항목을 반환하는 데 필요한 최소 문제 수입니다. |
Tags |
(선택사항) 엔티티를 검색할 때 사용할 태그 이름을 쉼표로 구분한 목록입니다. |
Max Entities To Return |
(선택사항) 반환할 항목 수입니다. 최댓값은 |
Critical or High Issue |
(선택사항) 선택하면 작업은 기본적으로 선택되지 않습니다. |
작업 출력
ASM 엔티티 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 ASM 엔티티 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
출력 메시지
ASM 엔티티 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 ASM 엔티티 검색 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ASM 문제 검색
ASM 문제 검색 작업을 사용하여 Google Threat Intelligence에서 ASM 문제를 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
ASM 문제 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Project Name |
(선택사항) ASM 프로젝트의 이름입니다. 값을 설정하지 않으면 작업에서 |
Issue ID |
(선택사항) 세부정보를 반환할 문제 ID의 쉼표로 구분된 목록입니다. |
Entity ID |
(선택사항) 관련 문제를 찾을 항목 ID의 쉼표로 구분된 목록입니다. |
Entity Name |
(선택사항) 관련 문제를 찾을 쉼표로 구분된 엔티티 이름 목록입니다. 이 작업은 |
Time Parameter |
(선택사항) 문제가 발생한 시간을 설정하는 필터 옵션입니다. 가능한 값은 기본값은 |
Time Frame |
(선택사항) 문제를 필터링할 기간입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Start Time |
(선택사항) 결과의 시작 시간입니다.
ISO 8601 형식으로 값을 구성합니다. |
End Time |
(선택사항) 결과의 종료 시간입니다.
ISO 8601 형식으로 값을 구성합니다. |
Lowest Severity To Return |
(선택사항) 반환할 문제의 가장 낮은 심각도입니다. 가능한 값은 다음과 같습니다.
기본값은
|
Status |
(선택사항) 검색의 상태 필터입니다. 가능한 값은 기본값은
|
Tags |
(선택사항) 문제를 검색할 때 사용할 태그 이름의 쉼표로 구분된 목록입니다. |
Max Issues To Return |
필수 항목입니다. 반환할 문제 수입니다. 최댓값은 |
작업 출력
ASM 문제 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 ASM 문제 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
출력 메시지
ASM 문제 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 ASM 문제 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
항목 그래프 검색
엔티티 그래프 검색 작업을 사용하여 Google 위협 인텔리전스의 Google SecOps 엔티티를 기반으로 하는 그래프를 검색합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressThreat ActorURLUser
작업 입력
엔티티 그래프 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Sort Field |
(선택사항) 결과를 정렬할 필드 값입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Graphs To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 그래프 수입니다. 기본값은 |
작업 출력
엔티티 그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔티티 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
출력 메시지
엔티티 그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
그래프 검색
그래프 검색 작업을 사용하여 Google Threat Intelligence의 맞춤 필터를 기반으로 그래프를 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그래프 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 그래프의 쿼리 필터입니다. 예를 들어 선택한 기간의 그래프를 검색하려면 다음과 같이 쿼리 형식을 지정합니다.
쿼리에 대한 자세한 내용은 쿼리 만드는 방법, 그래프 관련 수정자, 노드 관련 수정자를 참고하세요. |
Sort Field |
(선택사항) VirusTotal 그래프를 정렬할 필드 값입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Graphs To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 그래프 수입니다. 기본값은 |
쿼리를 만드는 방법
그래프의 검색 결과를 구체화하려면 그래프 관련 수정자가 포함된 쿼리를 만드세요. 검색을 개선하려면 수정자를 AND, OR, NOT 연산자와 결합하면 됩니다.
날짜 및 숫자 필드는 + 더하기 및 - 빼기 접미사를 지원합니다. 더하기 기호 접미사는 제공된 값보다 큰 값과 일치합니다. 마이너스 접미사는 제공된 값보다 작은 값과 일치합니다. 접미사가 없으면 쿼리는 정확한 일치 항목을 반환합니다.
범위를 정의하려면 쿼리에서 동일한 수정자를 여러 번 사용하면 됩니다. 예를 들어 2018년 11월 15일과 2018년 11월 20일 사이에 생성된 그래프를 검색하려면 다음 쿼리를 사용합니다.
creation_date:2018-11-15+ creation_date:2018-11-20-
0로 시작하는 날짜 또는 월의 경우 쿼리에서 0 문자를 삭제합니다.
예를 들어 2018-11-01 날짜를 2018-11-1로 형식을 지정합니다.
그래프 관련 수정자
다음 표에는 검색어를 구성하는 데 사용할 수 있는 그래프 관련 수정자가 나열되어 있습니다.
| 수정자 이름 | 설명 | 예 |
|---|---|---|
id |
그래프 식별자로 필터링합니다. | id:g675a2fd4c8834e288af |
name |
그래프 이름으로 필터링합니다. | name:Example-name |
owner |
사용자가 소유한 그래프를 기준으로 필터링합니다. | owner:example_user |
group |
그룹이 소유한 그래프를 기준으로 필터링합니다. | group:example |
visible_to_user |
사용자에게 표시되는 그래프로 필터링합니다. | visible_to_user:example_user |
visible_to_group |
그룹에 표시되는 그래프를 기준으로 필터링합니다. | visible_to_group:example |
private |
비공개 그래프로 필터링합니다. | private:true, private:false |
creation_date |
그래프 생성 날짜를 기준으로 필터링합니다. | creation_date:2018-11-15 |
last_modified_date |
최신 그래프 수정 날짜를 기준으로 필터링합니다. | last_modified_date:2018-11-20 |
total_nodes |
특정 수의 노드가 포함된 그래프로 필터링합니다. | total_nodes:100 |
comments_count |
그래프의 댓글 수를 기준으로 필터링합니다. | comments_count:10+ |
views_count |
그래프 조회수로 필터링합니다. | views_count:1000+ |
노드 관련 수정자
다음 표에는 검색어를 구성하는 데 사용할 수 있는 그래프 관련 수정자가 나열되어 있습니다.
| 수정자 이름 | 설명 | 예 |
|---|---|---|
label |
특정 라벨이 있는 노드가 포함된 그래프로 필터링합니다. | label:Kill switch |
file |
특정 파일을 포함하는 그래프로 필터링합니다. | file:131f95c51cc819465fa17 |
domain |
특정 도메인이 포함된 그래프를 기준으로 필터링합니다. | domain:example.com |
ip_address |
특정 IP 주소를 포함하는 그래프로 필터링합니다. | ip_address:203.0.113.1 |
url |
특정 URL을 포함하는 그래프로 필터링합니다. | url:https://example.com/example/ |
actor |
특정 배우가 포함된 그래프로 필터링합니다. | actor:example actor |
victim |
특정 피해자가 포함된 그래프로 필터링합니다. | victim:example_user |
email |
특정 이메일 주소가 포함된 그래프로 필터링합니다. | email:user@example.com |
department |
특정 부서가 포함된 그래프로 필터링합니다. | department:engineers |
작업 출력
그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
출력 메시지
그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
DTM 알림 분석 설정
DTM 알림 분석 설정 작업을 사용하여 Google Threat Intelligence의 Digital Threat Monitoring (DTM) 알림에 대한 분석을 정의합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
DTM 알림 분석 설정 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 항목입니다. 분석을 추가할 알림의 ID입니다. |
Text |
필수 항목입니다. 알림에 추가할 분석입니다. |
Attachment File Paths |
(선택사항) 알림에 첨부할 파일 경로의 쉼표로 구분된 목록입니다. 첨부파일은 최대 10개까지 지원됩니다. |
작업 출력
DTM 알림 분석 설정 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
출력 메시지
DTM 알림 분석 설정 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 DTM 알림 분석 설정 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
파일 제출
파일 제출 작업을 사용하여 파일을 제출하고 Google 위협 인텔리전스에서 결과를 반환합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
이 작업은 비동기식입니다. 필요에 따라 작업의 Google SecOps 통합 개발 환경 (IDE)에서 스크립트 제한 시간 값을 조정합니다.
작업 입력
파일 제출 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
External URLs |
(선택사항) 제출할 파일의 공개 URL을 쉼표로 구분한 목록입니다. '외부 URL'과 '파일 경로'가 모두 제공되면 작업은 두 입력에서 파일을 수집합니다. |
File Paths |
(선택사항) 쉼표로 구분된 절대 파일 경로 목록입니다. **Linux 서버 주소** 매개변수를 구성하면 작업에서 원격 서버에서 파일을 가져오려고 시도합니다. '외부 URL'과 '파일 경로'가 모두 제공되면 작업은 두 입력에서 파일을 수집합니다. |
ZIP Password |
(선택사항) 제출할 파일이 포함된 압축 폴더의 비밀번호입니다. |
Private Submission |
(선택사항) 선택하면 작업에서 비공개 모드로 파일을 제출합니다. 파일을 비공개로 제출하려면 VirusTotal Premium API가 필요합니다. |
Check Hash |
(선택사항) 기본값: 사용 중지됨 사용 설정하면 작업에서 먼저 파일의 해시를 계산하고 사용 가능한 정보가 있으면 검색합니다. 사용 가능한 경우 제출 흐름 없이 정보를 반환합니다. |
Retrieve Comments |
(선택사항) 선택하면 작업이 제출된 파일에 관한 의견을 가져옵니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업에서 관련 MITRE 기법 및 전략에 관한 정보를 반환합니다. 기본적으로 선택되지 않습니다. |
Lowest MITRE Technique Severity |
(선택사항) 반환할 가장 낮은 MITRE 기법 심각도입니다. 이 작업은 이 매개변수는 해시 항목만 지원합니다. 기본값은 |
Retrieve AI Summary |
(선택사항) 선택하면 작업이 제출된 파일의 AI 요약을 가져옵니다. AI 요약은 비공개 제출에만 사용할 수 있습니다. 이 매개변수는 실험 단계에 있습니다. 기본적으로 선택되지 않습니다. |
Max Comments To Return |
(선택사항) 각 작업 실행에서 반환할 최대 댓글 수입니다. |
Linux Server Address |
(선택사항) 파일이 있는 원격 Linux 서버의 IP 주소입니다. |
Linux Username |
(선택사항) 파일이 있는 원격 Linux 서버의 사용자 이름입니다. |
Linux Password |
(선택사항) 파일이 있는 원격 Linux 서버의 비밀번호입니다. |
작업 출력
파일 제출 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
케이스 월 링크
파일 제출 작업은 다음 링크를 반환할 수 있습니다.
보고서 링크 PATH:
URL
JSON 결과
다음 예시는 파일 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
출력 메시지
파일 제출 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Submit File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Submit File". Reason:
ERROR_REASON |
'파일 경로' 또는 '외부 URL' 값이 없음 '파일 경로' 또는 '외부 URL' 매개변수 중 하나 이상에 값이 있어야 합니다. |
스크립트 결과
다음 표에는 파일 제출 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ASM 문제 업데이트
ASM 문제 업데이트 작업을 사용하여 Google 위협 인텔리전스에서 ASM 문제를 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
ASM 문제 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Issue ID |
필수 항목입니다. 업데이트할 문제의 ID입니다. |
Status |
필수 항목입니다. 문제에 설정할 새 상태입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
ASM 문제 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 ASM 문제 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
출력 메시지
ASM 문제 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
작업이 완료되었습니다. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 ASM 문제 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
DTM 알림 업데이트
DTM 알림 업데이트 작업을 사용하여 Google Threat Intelligence에서 Mandiant Digital Threat Monitoring 알림을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
DTM 알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 항목입니다. 업데이트할 알림의 ID입니다. |
Status |
(선택사항) 알림에 설정할 새 상태입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
DTM 알림 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 DTM 알림 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
출력 메시지
DTM 알림 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
작업이 완료되었습니다. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 DTM 알림 업데이트 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Google Threat Intelligence - DTM Alerts 커넥터
Google Threat Intelligence - DTM Alerts Connector를 사용하여 Google Threat Intelligence에서 알림을 가져옵니다. 동적 목록으로 작업하려면 alert_type 매개변수를 사용합니다.
커넥터 입력
Google Threat Intelligence - DTM Alerts Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. Google Threat Intelligence 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수 항목입니다. Google Threat Intelligence API 키입니다. |
Lowest Severity To Fetch |
(선택사항) 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 다음과 같습니다.
|
Monitor ID Filter |
(선택사항) 알림을 가져올 모니터 ID의 쉼표로 구분된 목록입니다. |
Event Type Filter |
(선택사항) 반환할 이벤트 유형을 쉼표로 구분한 목록입니다. 입력은 대소문자를 구분하지 않습니다. 값을 제공하지 않으면 커넥터가 모든 이벤트 유형을 처리합니다. 특정 유형을 제외하려면 느낌표 (예: |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되어 있습니다. |
Max Hours Backwards |
필수 항목입니다. 현재로부터 몇 시간 전의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Alerts To Fetch |
필수 항목입니다. 커넥터 반복마다 처리할 알림 수입니다. 최댓값은 |
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 Google 위협 인텔리전스 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
커넥터 규칙
Google Threat Intelligence - DTM Alerts Connector는 프록시를 지원합니다.
커넥터 이벤트
Google 위협 인텔리전스 - DTM 알림 커넥터에는 두 가지 유형의 이벤트가 있습니다. 기본 알림을 기반으로 하는 이벤트와 주제를 기반으로 하는 이벤트입니다.
기본 알림을 기반으로 하는 커넥터 이벤트의 예는 다음과 같습니다.
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
주제를 기반으로 하는 커넥터 이벤트의 예는 다음과 같습니다.
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM 문제 커넥터
Google Threat Intelligence - ASM 문제 커넥터를 사용하여 Google Threat Intelligence에서 ASM 문제에 관한 정보를 가져옵니다. 동적 목록 필터를 사용하려면 category 매개변수를 사용하세요.
커넥터 입력
Google Threat Intelligence - ASM Issues Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. Google Threat Intelligence 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수 항목입니다. Google Threat Intelligence API 키입니다. |
Project Name |
(선택사항) ASM 프로젝트의 이름입니다. 값을 설정하지 않으면 기본 프로젝트의 컬렉션에서 발생한 알림만 반환됩니다. |
Lowest Severity To Fetch |
(선택사항) 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 다음과 같습니다.
|
Issue Name Filter |
(선택사항) 수집할 문제의 쉼표로 구분된 목록입니다. 입력은 대소문자를 구분합니다. 이름이 직접 나열되면 커넥터는 포함 필터를 사용하여 일치하는 문제만 수집합니다. 특정 문제를 제외하려면 이름 앞에 느낌표를 붙입니다(예: 값이 제공되지 않으면 필터가 적용되지 않으며 모든 문제가 수집됩니다. |
Status Filter |
(선택사항) 수집할 문제 상태의 쉼표로 구분된 목록입니다. 값이 제공되지 않으면 커넥터는 미해결 문제만 처리합니다. 가능한 값은 다음과 같습니다.
기본값은 |
Event Type Filter |
(선택사항) 반환할 이벤트 유형을 쉼표로 구분한 목록입니다. 입력은 대소문자를 구분하지 않습니다. 값을 제공하지 않으면 커넥터가 모든 이벤트 유형을 처리합니다. 특정 유형을 제외하려면 느낌표 (예: |
Max Hours Backwards |
필수 항목입니다. 현재로부터 몇 시간 전의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Issues To Fetch |
필수 항목입니다. 커넥터 반복마다 처리할 문제 수입니다. 최댓값은 |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되어 있습니다. |
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 Google 위협 인텔리전스 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
커넥터 이벤트
Google Threat Intelligence - ASM Issues Connector 이벤트의 예는 다음과 같습니다.
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt 커넥터
Google Threat Intelligence - Livehunt 커넥터를 사용하여 Google Threat Intelligence에서 Livehunt 알림 및 관련 파일에 관한 정보를 가져옵니다. 동적 목록으로 작업하려면 rule_name 매개변수를 사용하세요.
커넥터 입력
Google Threat Intelligence - Livehunt Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. Google Threat Intelligence 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수 항목입니다. Google Threat Intelligence API 키입니다. |
Max Hours Backwards |
필수 항목입니다. 현재로부터 몇 시간 전의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Notifications To Fetch |
필수 항목입니다. 각 커넥터 반복에서 처리할 알림 수입니다. 기본값은 |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되어 있습니다. |
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 Google 위협 인텔리전스 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
커넥터 규칙
Google Threat Intelligence - Livehunt 커넥터는 프록시를 지원합니다.
커넥터 이벤트
Google Threat Intelligence - Livehunt Connector 이벤트의 예는 다음과 같습니다.
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.