将 Google Threat Intelligence 与 Google SecOps 集成
本文档介绍了如何将 Google Threat Intelligence 与 Google Security Operations (Google SecOps) 集成。
集成版本:1.0
准备工作
如需使用此集成,您需要一个 API 密钥。如需了解详情,请参阅 Google Threat Intelligence API 密钥
集成参数
Google Threat Intelligence 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必填。 Google Threat Intelligence 实例的 API 根。 默认值为 |
API Key |
必填。 Google Threat Intelligence API 密钥。 |
ASM Project Name |
可选。 要在集成中使用的 Mandiant Attack Surface Management (ASM) 项目名称。运行 Search ASM Entities、Search ASM Issues 和 Update ASM Issue 操作时,此参数是必需的。 如果未设置任何值,则仅返回主项目中集合的提醒。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Google 威胁情报服务器时验证 SSL 证书。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
向实体添加注释
使用 Add Comment To Entity 操作可向 Google 威胁情报中的 Google SecOps 实体添加注释。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
DomainFile HashHostnameIP AddressURL
操作输入
向实体添加注释操作需要以下参数:
| 参数 | 说明 |
|---|---|
Comment |
必填。 要添加到所有受支持实体的注释。 |
操作输出
向实体添加注释操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用向实体添加注释操作时收到的 JSON 结果输出:
{
"Status": "Done"
}
{
"Status": "Not done"
}
输出消息
向实体添加评论操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Add Comment To Entity 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
向实体添加投票
使用 Add Comment To Entity 操作可向 Google 威胁情报中的 Google SecOps 实添加投票。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
DomainFile HashHostnameIP AddressURL
操作输入
向实体添加投票操作需要以下参数:
| 参数 | 说明 |
|---|---|
Vote |
必填。 一种投票,用于添加到所有受支持的实体。 可能的值如下:
默认值为 |
操作输出
向实体添加投票操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用向实体添加投票操作时收到的 JSON 结果输出:
{
"Status": "Done"
}
{
"Status": "Not done"
}
输出消息
Add Vote To Entity 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Add Vote To Entity 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
下载文件
使用下载文件操作从 Google Threat Intelligence 下载文件。
此操作在 Google SecOps Hash 实体上运行。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
操作输入
下载文件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Download Folder Path |
必填。 用于存储下载文件的文件夹的路径。 |
Overwrite |
必填。 如果选择此操作,则当文件名相同时,该操作会使用新文件覆盖现有文件。 此选项将会默认选中。 |
操作输出
下载文件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用下载文件操作时收到的 JSON 结果输出:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
输出消息
下载文件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Download File". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
丰富实体
使用丰富实体操作,利用 Google Threat Intelligence 中的信息丰富实体。
此操作支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
DomainHashHostnameIP AddressURLCVEThreat Actor
操作输入
丰富实体操作需要以下参数:
| 参数 | 说明 |
|---|---|
Resubmit Entity |
可选。 如果选择此项,该操作会重新提交实体以供分析,而不是使用之前运行操作时获得的实体信息。 此参数仅支持 默认情况下未选中。 |
Resubmit After (Days) |
可选。 相应操作在再次提交实体之前等待的天数。如需使用此参数,请选择 默认值为 此参数仅支持 |
Sandbox |
可选。 要分析的沙盒名称的逗号分隔列表,例如 此参数仅支持 如果您未设置此参数,则操作会使用默认沙盒,即 |
Retrieve Sandbox Analysis |
可选。 如果选择此项,该操作会检索实体的沙盒分析,并在 JSON 结果中为每个沙盒创建一个单独的部分。 此操作会返回您在 此参数仅支持 默认情况下未选中。 |
Fetch MITRE Details |
可选。 如果选择此操作,则会返回有关相关 MITRE 技术和策略的信息。 此参数仅支持 默认情况下未选中。 |
Lowest MITRE Technique Severity |
可选。 要返回的最低 MITRE 技术严重程度。 该操作将 此参数仅支持 可能的值如下:
默认值为 |
Retrieve Comments |
可选。 如果选中,该操作会检索有关实体的评论。 此参数支持以下实体:
|
Max Comments To Return |
可选。 每次操作运行返回的评论数量上限。 默认值为 |
操作输出
丰富实体操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
案例墙链接
丰富实体操作可以返回以下链接:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detection威胁行为者:
https://www.virustotal.com/gui/collection/threat-actor--ID漏洞:
https://www.virustotal.com/gui/collection/vulnerability--ID
实体丰富化表
- 丰富实体操作支持以下 IP 地址实体丰富功能:
- 丰富实体操作支持以下 网址 实体丰富:
- 丰富实体操作支持以下针对哈希的实体丰富功能:
- 丰富实体操作支持以下针对网域/主机名的实体丰富:
- 丰富实体操作支持以下威胁源实体丰富:
- 丰富实体操作支持以下针对漏洞的实体丰富功能:
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_id |
id |
当 JSON 结果中提供相应信息时。 |
GTI_owner |
as_owner |
当 JSON 结果中提供相应信息时。 |
GTI_asn |
asn |
当 JSON 结果中提供相应信息时。 |
GTI_continent |
continent |
当 JSON 结果中提供相应信息时。 |
GTI_country |
country |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_count |
last_analysis_stats/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_count |
last_analysis_stats/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
当 JSON 结果中提供相应信息时。 |
GTI_undetected_count |
last_analysis_stats/undetected |
当 JSON 结果中提供相应信息时。 |
GTI_certificate_valid_not_after |
validity/not_after |
当 JSON 结果中提供相应信息时。 |
GTI_certificate_valid_not_before |
validity/not_before |
当 JSON 结果中提供相应信息时。 |
GTI_reputation |
reputation |
当 JSON 结果中提供相应信息时。 |
GTI_tags |
Comma-separated list of tags |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_vote_count |
total_votes/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_vote_count |
total_votes/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
report_link |
当 JSON 结果中提供相应信息时。 |
GTI_widget_link |
widget_url |
当 JSON 结果中提供相应信息时。 |
GTI_threat_score |
gti_assessment.threat_score.value |
当 JSON 结果中提供相应信息时。 |
GTI_severity |
gti_assessment.severity.value |
当 JSON 结果中提供相应信息时。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
当 JSON 结果中提供相应信息时。 |
GTI_verdict |
gti_assessment.verdict.value |
当 JSON 结果中提供相应信息时。 |
GTI_description |
gti_assessment.description |
当 JSON 结果中提供相应信息时。 |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_id |
id |
当 JSON 结果中提供相应信息时。 |
GTI_title |
title |
当 JSON 结果中提供相应信息时。 |
GTI_last_http_response_code |
last_http_response_code |
当 JSON 结果中提供相应信息时。 |
GTI_last_http_response_content_length |
last_http_response_content_length |
当 JSON 结果中提供相应信息时。 |
GTI_threat_names |
Comma-separated list of threat_names |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_count |
last_analysis_stats/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_count |
last_analysis_stats/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
当 JSON 结果中提供相应信息时。 |
GTI_undetected_count |
last_analysis_stats/undetected |
当 JSON 结果中提供相应信息时。 |
GTI_reputation |
reputation |
当 JSON 结果中提供相应信息时。 |
GTI_tags |
Comma-separated list of tags |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_vote_count |
total_votes/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_vote_count |
total_votes/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
report_link |
当 JSON 结果中提供相应信息时。 |
GTI_widget_link |
widget_url |
当 JSON 结果中提供相应信息时。 |
GTI_threat_score |
gti_assessment.threat_score.value |
当 JSON 结果中提供相应信息时。 |
GTI_severity |
gti_assessment.severity.value |
当 JSON 结果中提供相应信息时。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
当 JSON 结果中提供相应信息时。 |
GTI_verdict |
gti_assessment.verdict.value |
当 JSON 结果中提供相应信息时。 |
GTI_description |
gti_assessment.description |
当 JSON 结果中提供相应信息时。 |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
当 JSON 结果中提供相应信息时。 |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_id |
id |
当 JSON 结果中提供相应信息时。 |
GTI_magic |
magic |
当 JSON 结果中提供相应信息时。 |
GTI_md5 |
md5 |
当 JSON 结果中提供相应信息时。 |
GTI_sha1 |
sha1 |
当 JSON 结果中提供相应信息时。 |
GTI_sha256 |
sha256 |
当 JSON 结果中提供相应信息时。 |
GTI_ssdeep |
ssdeep |
当 JSON 结果中提供相应信息时。 |
GTI_tlsh |
tlsh |
当 JSON 结果中提供相应信息时。 |
GTI_vhash |
vhash |
当 JSON 结果中提供相应信息时。 |
GTI_meaningful_name |
meaningful_name |
当 JSON 结果中提供相应信息时。 |
GTI_magic |
Comma-separated list of names |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_count |
last_analysis_stats/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_count |
last_analysis_stats/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
当 JSON 结果中提供相应信息时。 |
GTI_undetected_count |
last_analysis_stats/undetected |
当 JSON 结果中提供相应信息时。 |
GTI_reputation |
reputation |
当 JSON 结果中提供相应信息时。 |
GTI_tags |
Comma-separated list of tags |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_vote_count |
total_votes/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_vote_count |
total_votes/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
report_link |
当 JSON 结果中提供相应信息时。 |
GTI_widget_link |
widget_url |
当 JSON 结果中提供相应信息时。 |
GTI_threat_score |
gti_assessment.threat_score.value |
当 JSON 结果中提供相应信息时。 |
GTI_severity |
gti_assessment.severity.value |
当 JSON 结果中提供相应信息时。 |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
当 JSON 结果中提供相应信息时。 |
GTI_verdict |
gti_assessment.verdict.value |
当 JSON 结果中提供相应信息时。 |
GTI_description |
gti_assessment.description |
当 JSON 结果中提供相应信息时。 |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_id |
id |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_count |
last_analysis_stats/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_count |
last_analysis_stats/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
当 JSON 结果中提供相应信息时。 |
GTI_undetected_count |
last_analysis_stats/undetected |
当 JSON 结果中提供相应信息时。 |
GTI_reputation |
reputation |
当 JSON 结果中提供相应信息时。 |
GTI_tags |
Comma-separated list of tags |
当 JSON 结果中提供相应信息时。 |
GTI_malicious_vote_count |
total_votes/malicious |
当 JSON 结果中提供相应信息时。 |
GTI_harmless_vote_count |
total_votes/harmless |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
report_link |
当 JSON 结果中提供相应信息时。 |
GTI_widget_link |
widget_url |
当 JSON 结果中提供相应信息时。 |
GTI_threat_score |
gti_assessment.threat_score.value |
当 JSON 结果中提供相应信息时。 |
GTI_severity |
gti_assessment.severity.value |
当 JSON 结果中提供相应信息时。 |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
当 JSON 结果中提供相应信息时。 |
GTI_verdict |
gti_assessment.verdict.value |
当 JSON 结果中提供相应信息时。 |
GTI_description |
gti_assessment.description |
当 JSON 结果中提供相应信息时。 |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
当 JSON 结果中提供相应信息时。 |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
当 JSON 结果中提供相应信息时。 |
GTI_aliases |
Csv of alt_names_details/value |
当 JSON 结果中提供相应信息时。 |
GTI_industries |
Csv of targeted_industries/value |
当 JSON 结果中提供相应信息时。 |
GTI_malware |
Csv of malware/name |
当 JSON 结果中提供相应信息时。 |
GTI_source_region |
CSV of source_regions_hierarchy/country |
当 JSON 结果中提供相应信息时。 |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
当 JSON 结果中提供相应信息时。 |
GTI_origin |
origin |
当 JSON 结果中提供相应信息时。 |
GTI_description |
description |
当 JSON 结果中提供相应信息时。 |
GTI_last_activity_time |
last_activity_time |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
We craft it. |
当 JSON 结果中提供相应信息时。 |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GTI_sources |
Csv of source_name |
当 JSON 结果中提供相应信息时。 |
GTI_exploitation_state |
exploitation_state |
当 JSON 结果中提供相应信息时。 |
GTI_date_of_disclosure |
date_of_disclosure |
当 JSON 结果中提供相应信息时。 |
GTI_vendor_fix_references |
vendor_fix_references/url |
当 JSON 结果中提供相应信息时。 |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
当 JSON 结果中提供相应信息时。 |
GTI_description |
description |
当 JSON 结果中提供相应信息时。 |
GTI_risk_rating |
risk_rating |
当 JSON 结果中提供相应信息时。 |
GTI_available_mitigation |
CSV of available_mitigation |
当 JSON 结果中提供相应信息时。 |
GTI_exploitation_consequence |
exploitation_consequence |
当 JSON 结果中提供相应信息时。 |
GTI_report_link |
We craft it. |
当 JSON 结果中提供相应信息时。 |
JSON 结果
以下示例展示了使用丰富实体操作时收到的 IOC(IP、Hash、URL、Domain 和 Hostname 实体)的 JSON 结果输出:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
以下示例展示了使用丰富实体操作时收到的漏洞的 JSON 结果输出:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
以下示例展示了使用丰富实体操作时收到的威胁正文 JSON 结果输出:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
输出消息
丰富实体操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich Entities 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富 IOC
使用丰富 IOC 操作,利用 Google Threat Intelligence 中的信息来丰富失陷指标 (IoC)。
此操作不适用于 Google SecOps 实体。
操作输入
丰富 IOC 操作需要以下参数:
| 参数 | 说明 |
|---|---|
IOC Type |
可选。 要丰富化的 IOC 的类型。 可能的值如下:
默认值为 |
IOCs |
必填。 要注入数据的 IOC 的英文逗号分隔列表。 |
操作输出
丰富 IOC 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
丰富 IOC 操作可为每个丰富实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
丰富 IOC 操作可为每个丰富实体提供下表:
表格名称:IOC_ID
表列:
- 名称
- 类别
- 方法
- 结果
JSON 结果
以下示例展示了使用丰富 IOC 操作时收到的 JSON 结果输出:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
输出消息
丰富 IOC 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich IOCs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
执行 IOC 搜索
使用 Execute IOC Search 操作在 Google Threat Intelligence 中运行 IOC 搜索。
此操作不适用于 Google SecOps 实体。
操作输入
执行 IOC 搜索操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search Query |
必填。 要运行的搜索查询,例如 |
Max Results To Return |
可选。 每次操作运行返回的结果数上限。 最大值为 默认值为 |
操作输出
执行 IOC 搜索操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Execute IOC Search 操作时收到的 JSON 结果输出:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
输出消息
执行 IOC 搜索操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Execute IOC Search 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取 ASM 实体的详细信息
使用 Get ASM Entity Details 操作可获取 Google Threat Intelligence 中有关 ASM 实体的相关信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取 ASM 实体的详细信息操作需要以下参数:
| 参数 | 说明 |
|---|---|
Entity ID |
必填。 以英文逗号分隔的实体 ID 列表,用于获取详细信息。 |
操作输出
获取 ASM 实体详情操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get ASM Entity Details 操作时收到的 JSON 结果输出:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
输出消息
获取 ASM 实体详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get ASM Entity Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取图表详细信息
使用 Get Graph Details 操作可获取 Google Threat Intelligence 中有关图表的详细信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取图表详细信息操作需要以下参数:
| 参数 | 说明 |
|---|---|
Graph ID |
必填。 要检索详细信息的图 ID 的英文逗号分隔列表。 |
Max Links To Return |
必填。 每个图要返回的链接数量上限。 默认值为 |
操作输出
获取图表详细信息操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取图表详细信息操作可为每个富化实体提供下表:
表格名称:Graph GRAPH_ID Links
表列:
- 来源
- 目标
- 连接类型
JSON 结果
以下示例展示了使用 Get Graph Details 操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
输出消息
获取图表详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Graph Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取相关 IOC
使用 Get Related IOCs 操作,通过 Google Threat Intelligence 中的信息获取与实体相关的 IOC 的信息。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
IP addressURLHostnameDomainHashThreat Actor
操作输入
获取相关 IOC 操作需要以下参数:
| 参数 | 说明 |
|---|---|
IOC Types |
必填。 要提取的 IOC 的英文逗号分隔列表。 可能的值如下所示: |
Max IOCs To Return |
必填。 针对每个实体的所选 IOC 类型的返回 IOC 数量上限。 默认值为 |
操作输出
获取相关 IOC 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
JSON 结果
以下示例展示了使用获取相关 IOC 操作时收到的 JSON 结果输出:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
输出消息
获取相关 IOC 操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Related IOCs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Google 威胁情报的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索 ASM 实体
使用 Search ASM Entities 操作在 Google Threat Intelligence 中搜索 ASM 实体。
此操作不适用于 Google SecOps 实体。
操作输入
搜索 ASM 实体操作需要以下参数:
| 参数 | 说明 |
|---|---|
Project Name |
可选。 ASM 项目的名称。 如果您未设置值,该操作会使用您为 |
Entity Name |
可选。 以英文逗号分隔的实体名称列表,用于查找实体。 该操作会将包含 |
Minimum Vulnerabilities Count |
可选。 操作返回实体所需的最少漏洞数。 |
Minimum Issues Count |
可选。 操作返回实体所需的最少问题数。 |
Tags |
可选。 用于搜索实体的标记名称的英文逗号分隔列表。 |
Max Entities To Return |
可选。 要返回的实体数量。 最大值为 |
Critical or High Issue |
可选。 如果选择此项,则操作仅返回严重程度为 默认情况下未选中。 |
操作输出
搜索 ASM 实体操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用搜索 ASM 实体操作时收到的 JSON 结果输出:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
输出消息
搜索 ASM 实体操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Search ASM Entities 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索 ASM 问题
使用 Search ASM Issues 操作在 Google Threat Intelligence 中搜索 ASM 问题。
此操作不适用于 Google SecOps 实体。
操作输入
搜索 ASM 问题操作需要以下参数:
| 参数 | 说明 |
|---|---|
Project Name |
可选。 ASM 项目的名称。 如果您未设置值,该操作会使用您为 |
Issue ID |
可选。 要返回详细信息的 issue ID 的英文逗号分隔列表。 |
Entity ID |
可选。 以英文逗号分隔的实体 ID 列表,用于查找相关问题。 |
Entity Name |
可选。 要查找相关问题的实体的英文逗号分隔列表。 该操作会将包含 |
Time Parameter |
可选。 用于设置问题时间的过滤条件选项。 可能的值包括 默认值为 |
Time Frame |
可选。 用于过滤问题的时间段。如果您选择 可能的值如下:
默认值为 |
Start Time |
可选。 结果的开始时间。 如果您为 以 ISO 8601 格式配置值。 |
End Time |
可选。 结果的结束时间。 如果您为 以 ISO 8601 格式配置值。 |
Lowest Severity To Return |
可选。 要返回的问题的最低严重程度。 可能的值如下:
默认值为 如果您选择 |
Status |
可选。 搜索的状态过滤条件。 可能的值包括 默认值为 如果您选择 |
Tags |
可选。 用于搜索问题的标记名称的英文逗号分隔列表。 |
Max Issues To Return |
必填。 要返回的问题数量。 最大值为 |
操作输出
搜索 ASM 问题 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Search ASM Issues 操作时收到的 JSON 结果输出:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
输出消息
搜索 ASM 问题 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Search ASM Issues 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索实体图
使用 Search Entity Graphs 操作,搜索基于 Google Threat Intelligence 中的 Google SecOps 实体的图。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
DomainFile HashHostnameIP AddressThreat ActorURLUser
操作输入
搜索实体图操作需要以下参数:
| 参数 | 说明 |
|---|---|
Sort Field |
可选。 用于对结果进行排序的字段值。 可能的值如下:
默认值为 |
Max Graphs To Return |
可选。 每次操作运行返回的图表数量上限。 默认值为 |
操作输出
搜索实体图操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用搜索实体图操作时收到的 JSON 结果输出:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
输出消息
搜索实体图操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
搜索图表
使用 Search Graphs 操作可根据 Google Threat Intelligence 中的自定义过滤条件搜索图表。
此操作不适用于 Google SecOps 实体。
操作输入
搜索图表操作需要以下参数:
| 参数 | 说明 |
|---|---|
Query |
必填。 图表的查询过滤条件。 例如,如需搜索所选时间段内的图表,请按以下格式设置查询:
|
Sort Field |
可选。 用于对 VirusTotal 图表进行排序的字段值。 可能的值如下:
默认值为 |
Max Graphs To Return |
可选。 每次操作运行返回的图表数量上限。 默认值为 |
如何创建查询
如需优化图搜索结果,请创建包含与图相关的修饰符的查询。为了改进搜索,您可以将修饰符与 AND、OR 和 NOT 运算符结合使用。
日期和数字字段支持 + 加号和 - 减号后缀。加号后缀表示匹配大于所提供的值的值。带有减号后缀的范围匹配小于所提供的值的值。如果不带后缀,查询会返回完全匹配的结果。
如需定义范围,您可以在一个查询中多次使用同一修饰符。例如,如需搜索在 2018 年 11 月 15 日至 2018 年 11 月 20 日之间创建的图表,请使用以下查询:
creation_date:2018-11-15+ creation_date:2018-11-20-
对于以 0 开头的日期或月份,请移除查询中的 0 字符。
例如,将 2018-11-01 的日期格式设置为 2018-11-1。
图表相关修饰符
下表列出了可用于构建搜索查询的与图表相关的修饰符:
| 修饰符名称 | 说明 | 示例 |
|---|---|---|
id |
按图表标识符过滤。 | id:g675a2fd4c8834e288af |
name |
按图表名称过滤。 | name:Example-name |
owner |
按用户拥有的图表进行过滤。 | owner:example_user |
group |
按群组拥有的图表进行过滤。 | group:example |
visible_to_user |
按用户可见的图表进行过滤。 | visible_to_user:example_user |
visible_to_group |
按群组可见的图表进行过滤。 | visible_to_group:example |
private |
按私密图过滤。 | private:true,private:false |
creation_date |
按图表创建日期过滤。 | creation_date:2018-11-15 |
last_modified_date |
按图表的最新修改日期进行过滤。 | last_modified_date:2018-11-20 |
total_nodes |
按包含特定数量节点的图表进行过滤。 | total_nodes:100 |
comments_count |
按图表中的评论数量过滤。 | comments_count:10+ |
views_count |
按图表浏览量过滤。 | views_count:1000+ |
与节点相关的修饰符
下表列出了可用于构建搜索查询的与图表相关的修饰符:
| 修饰符名称 | 说明 | 示例 |
|---|---|---|
label |
按包含具有特定标签的节点的图表进行过滤。 | label:Kill switch |
file |
按包含特定文件的图表进行过滤。 | file:131f95c51cc819465fa17 |
domain |
按包含特定网域的图表进行过滤。 | domain:example.com |
ip_address |
按包含特定 IP 地址的图表进行过滤。 | ip_address:203.0.113.1 |
url |
按包含特定网址的图表进行过滤。 | url:https://example.com/example/ |
actor |
按包含特定演员的图表进行过滤。 | actor:example actor |
victim |
按包含特定受害者的图表进行过滤。 | victim:example_user |
email |
按包含特定电子邮件地址的图表进行过滤。 | email:user@example.com |
department |
按包含特定部门的图表进行过滤。 | department:engineers |
操作输出
搜索图表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Search Graphs 操作时收到的 JSON 结果输出:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
输出消息
搜索图表操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Search Graphs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
设置 DTM 提醒分析
使用 Set DTM Alert Analysis 操作可为 Google Threat Intelligence 中的数字威胁监控 (DTM) 提醒定义分析。
此操作不适用于 Google SecOps 实体。
操作输入
设置 DTM 提醒分析操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必填。 要向哪个提醒添加分析。 |
Text |
必填。 要添加到提醒中的分析。 |
Attachment File Paths |
可选。 要附加到提醒的文件路径的英文逗号分隔列表。 最多支持 10 个附件。 |
操作输出
设置 DTM 提醒分析操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
输出消息
设置 DTM 提醒分析操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Set DTM Alert Analysis 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
提交文件
使用 Submit File 操作提交文件并返回 Google Threat Intelligence 的结果。
此操作不适用于 Google SecOps 实体。
此操作是异步的。根据需要,在 Google SecOps 集成开发环境 (IDE) 中调整操作的脚本超时值。
操作输入
提交文件操作需要以下参数:
| 参数 | 说明 |
|---|---|
External URLs |
可选。 要提交的文件的公开网址的逗号分隔列表。如果同时提供了“外部网址”和“文件路径”,该操作将从这两个输入源中收集文件。 |
File Paths |
可选。 以英文逗号分隔的绝对文件路径列表。如果您配置了 **Linux 服务器地址** 参数,该操作会尝试从远程服务器检索文件。如果同时提供了“外部网址”和“文件路径”,该操作将从这两个输入源中收集文件。 |
ZIP Password |
可选。 包含要提交的文件的压缩文件夹的密码。 |
Private Submission |
可选。 如果选择此操作,系统会以私密模式提交文件。 如需私下提交文件,您需要使用 VirusTotal Premium API。 |
Check Hash |
可选。默认值:已停用。 如果启用,操作会先计算文件的哈希值,然后搜索是否有任何可用的相关信息。如果可用,则会返回信息,而无需提交流程。 |
Retrieve Comments |
可选。 如果选择此项,该操作会检索有关提交文件的评论。 |
Fetch MITRE Details |
可选。 如果选择此操作,则会返回有关相关 MITRE 技术和策略的信息。 默认情况下未选中。 |
Lowest MITRE Technique Severity |
可选。 要返回的最低 MITRE 技术严重程度。 该操作将 此参数仅支持 Hash 实体。 默认值为 |
Retrieve AI Summary |
可选。 如果选择此操作,则会检索提交文件的 AI 摘要。 AI 摘要仅适用于非公开提交的内容。 此参数尚处于实验阶段。 默认情况下未选中。 |
Max Comments To Return |
可选。 每次操作运行中要返回的评论数量上限。 |
Linux Server Address |
可选。 相应文件所在的远程 Linux 服务器的 IP 地址。 |
Linux Username |
可选。 文件所在的远程 Linux 服务器的用户名。 |
Linux Password |
可选。 文件所在的远程 Linux 服务器的密码。 |
操作输出
提交文件操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
案例墙链接
提交文件操作可能会返回以下链接:
报告链接 PATH:
URL
JSON 结果
以下示例展示了使用提交文件操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
输出消息
提交文件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
没有“文件路径”或“外部网址”值 “文件路径”或“外部网址”参数中至少应有一个具有值。 |
脚本结果
下表列出了使用提交文件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新 ASM 问题
使用 Update ASM Issue 操作更新 Google 威胁情报中的 ASM 问题。
此操作不适用于 Google SecOps 实体。
操作输入
更新 ASM 问题操作需要以下参数:
| 参数 | 说明 |
|---|---|
Issue ID |
必填。 要更新的问题的 ID。 |
Status |
必填。 要为问题设置的新状态。 可能的值如下:
默认值为 |
操作输出
更新 ASM 问题操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Update ASM Issue 操作时收到的 JSON 结果输出:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
输出消息
更新 ASM 问题 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
操作成功。 |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Update ASM Issue 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新 DTM 提醒
使用 Update DTM Alert 操作更新 Google Threat Intelligence 中的 Mandiant Digital Threat Monitoring 提醒。
此操作不适用于 Google SecOps 实体。
操作输入
更新 DTM 提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必填。 要更新的提醒的 ID。 |
Status |
可选。 要为提醒设置的新状态。 可能的值如下:
默认值为 |
操作输出
更新 DTM 提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Update DTM Alert 操作时收到的 JSON 结果输出:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
输出消息
更新 DTM 提醒操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
操作成功。 |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Update DTM Alert 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Google Threat Intelligence - DTM 提醒连接器
使用 Google Threat Intelligence - DTM 提醒连接器从 Google Threat Intelligence 中检索提醒。如需使用动态列表,请使用 alert_type 参数。
连接器输入
Google Threat Intelligence - DTM Alerts Connector 需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 Google Threat Intelligence 实例的 API 根。 默认值为 |
API Key |
必填。 Google Threat Intelligence API 密钥。 |
Lowest Severity To Fetch |
可选。 要检索的提醒的最低严重程度。 如果您未配置此参数,连接器会提取所有严重程度的提醒。 可能的值如下:
|
Monitor ID Filter |
可选。 以英文逗号分隔的监控 ID 列表,用于检索相应监控的提醒。 |
Event Type Filter |
可选。 要返回的事件类型的英文逗号分隔列表。 输入不区分大小写。如果未提供值,连接器将处理所有事件类型。 如需排除特定类型,请在该类型前面加上英文感叹号(例如 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 此选项将会默认选中。 |
Max Hours Backwards |
必填。 要检索的提醒的小时数(相对于当前时间)。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 默认值为 |
Max Alerts To Fetch |
必填。 每次连接器迭代要处理的提醒数量。 最大值为 |
Use dynamic list as a blocklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Google 威胁情报服务器时验证 SSL 证书。 此选项将会默认选中。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
连接器规则
Google Threat Intelligence - DTM 警报连接器支持代理。
连接器事件
Google 威胁情报 - DTM 提醒连接器有两种类型的事件:基于主要提醒的事件和基于主题的事件。
基于主要提醒的连接器事件示例如下:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
以下是基于主题的连接器事件示例:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM 问题连接器
使用 Google Threat Intelligence - ASM Issues 连接器从 Google Threat Intelligence 检索有关 ASM 问题的信息。如需使用动态列表过滤条件,请使用 category 参数。
连接器输入
Google Threat Intelligence - ASM Issues Connector 需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 Google Threat Intelligence 实例的 API 根。 默认值为 |
API Key |
必填。 Google Threat Intelligence API 密钥。 |
Project Name |
可选。 ASM 项目的名称。 如果您未设置值,则仅返回主项目中的集合发出的提醒。 |
Lowest Severity To Fetch |
可选。 要检索的提醒的最低严重程度。 如果您未配置此参数,连接器会提取所有严重程度的提醒。 可能的值如下:
|
Issue Name Filter |
可选。 要注入的问题的逗号分隔列表。 输入内容区分大小写。如果直接列出名称,连接器会使用包含过滤器,仅提取匹配的问题。 如需排除特定问题,请在问题名称前加上感叹号(例如 如果未提供值,则不会应用过滤条件,并且系统会提取所有问题。 |
Status Filter |
可选。 要注入的问题状态的逗号分隔列表。 如果未提供值,连接器将仅处理未解决的问题。 可能的值如下:
默认值为 |
Event Type Filter |
可选。 要返回的事件类型的英文逗号分隔列表。 输入不区分大小写。如果未提供值,连接器将处理所有事件类型。 如需排除特定类型,请在该类型前面加上英文感叹号(例如 |
Max Hours Backwards |
必填。 要检索的提醒的小时数(相对于当前时间)。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 默认值为 |
Max Issues To Fetch |
必填。 每次连接器迭代要处理的问题数量。 最大值为 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 此选项将会默认选中。 |
Use dynamic list as a blocklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Google 威胁情报服务器时验证 SSL 证书。 此选项将会默认选中。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
连接器事件
Google Threat Intelligence - ASM Issues Connector 事件的示例如下:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt 连接器
使用 Google Threat Intelligence - Livehunt 连接器从 Google Threat Intelligence 检索有关 Livehunt 通知及其相关文件的信息。如需使用动态列表,请使用 rule_name 参数。
连接器输入
Google Threat Intelligence - Livehunt 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 Google Threat Intelligence 实例的 API 根。 默认值为 |
API Key |
必填。 Google Threat Intelligence API 密钥。 |
Max Hours Backwards |
必填。 要检索的提醒的小时数(相对于当前时间)。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 默认值为 |
Max Notifications To Fetch |
必填。 每次连接器迭代要处理的通知数量。 默认值为 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 此选项将会默认选中。 |
Use dynamic list as a blocklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Google 威胁情报服务器时验证 SSL 证书。 此选项将会默认选中。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
连接器规则
Google Threat Intelligence - Livehunt 连接器支持代理。
连接器事件
Google Threat Intelligence - Livehunt 连接器事件的示例如下:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。