將 Google Threat Intelligence 與 Google SecOps 整合
本文說明如何將 Google 威脅情報與 Google Security Operations (Google SecOps) 整合。
整合版本:1.0
事前準備
如要使用這項整合功能,您需要 API 金鑰。詳情請參閱「Google Threat Intelligence API 金鑰」
整合參數
整合 Google Threat Intelligence 時,需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 Google Threat Intelligence 執行個體的 API 根層級。 預設值為 |
API Key |
必填。 Google Threat Intelligence API 金鑰。 |
ASM Project Name |
選填。 要在整合中使用的 Mandiant Attack Surface Management (ASM) 專案名稱。執行「Search ASM Entities」、「Search ASM Issues」和「 Update ASM Issue」動作時,必須提供這個參數。 如未設定值,系統只會傳回主要專案中集合的快訊。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Google 威脅情報伺服器時,驗證 SSL 憑證。 (此為預設選項)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
為實體新增註解
使用「Add Comment To Entity」動作,在 Google 威脅情報中為 Google SecOps 實體新增註解。
這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
DomainFile HashHostnameIP AddressURL
動作輸入內容
「Add Comment To Entity」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Comment |
必填。 要新增至所有支援實體的註解。 |
動作輸出內容
「Add Comment To Entity」(為實體新增註解) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Add Comment To Entity」(在實體中新增留言) 動作時收到的 JSON 結果輸出內容:
{
"Status": "Done"
}
{
"Status": "Not done"
}
輸出訊息
「Add Comment To Entity」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Add Comment To Entity」(為實體新增留言) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
為實體新增投票
使用「Add Comment To Entity」動作,在 Google 威脅情報中為 Google SecOps 實體新增投票。
這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
DomainFile HashHostnameIP AddressURL
動作輸入內容
「將投票新增至實體」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Vote |
必填。 投票新增至所有支援的實體。 可能的值如下:
預設值為 |
動作輸出內容
「Add Vote To Entity」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「將票數新增至實體」動作時收到的 JSON 結果輸出內容:
{
"Status": "Done"
}
{
"Status": "Not done"
}
輸出訊息
「Add Vote To Entity」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「將票數新增至實體」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
下載檔案
使用「下載檔案」動作,從 Google Threat Intelligence 下載檔案。
這項動作會在 Google SecOps Hash 實體上執行。
這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
動作輸入內容
「下載檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Download Folder Path |
必填。 要儲存下載檔案的資料夾路徑。 |
Overwrite |
必填。 如果選取這個選項,當新檔案與現有檔案的名稱相同時,系統會覆寫現有檔案。 (此為預設選項)。 |
動作輸出內容
「下載檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「下載檔案」動作時收到的 JSON 結果輸出內容:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
輸出訊息
「下載檔案」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Download File". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
充實實體
使用「Enrich Entities」(擴充實體) 動作,運用 Google Threat Intelligence 的資訊擴充實體。
這項操作支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
DomainHashHostnameIP AddressURLCVEThreat Actor
動作輸入內容
「Enrich Entities」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Resubmit Entity |
選填。 如果選取這個選項,系統會重新提交實體以供分析,而非使用先前動作執行的實體資訊。 這個參數僅支援 預設為未選取。 |
Resubmit After (Days) |
選填。 動作在再次提交實體前等待的天數。如要使用這項參數,請選取 預設值為 這個參數僅支援 |
Sandbox |
選填。 以半形逗號分隔的沙箱名稱清單,例如 這個參數僅支援 如未設定這個參數,動作會使用預設沙箱 |
Retrieve Sandbox Analysis |
選填。 如果選取這個選項,動作會擷取實體的沙箱分析結果,並在 JSON 結果中為每個沙箱建立個別區段。 這項動作會傳回您在 這個參數僅支援 預設為未選取。 |
Fetch MITRE Details |
選填。 如果選取這個選項,動作會傳回相關的 MITRE 技術和戰術資訊。 這個參數僅支援 預設為未選取。 |
Lowest MITRE Technique Severity |
選填。 要傳回的最低 MITRE 技術嚴重程度。 這項動作會將 這個參數僅支援 可能的值如下:
預設值為 |
Retrieve Comments |
選填。 如果選取這個動作,系統會擷取有關實體的留言。 這個參數支援下列實體:
|
Max Comments To Return |
選填。 每次動作執行時要傳回的留言數量上限。 預設值為 |
動作輸出內容
「Enrich Entities」(擴充實體) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
案件總覽連結
「Enrich Entities」動作可傳回下列連結:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detection威脅發動者:
https://www.virustotal.com/gui/collection/threat-actor--ID安全漏洞:
https://www.virustotal.com/gui/collection/vulnerability--ID
實體擴充資料表
- 「Enrich Entities」動作支援以下 IP 位址實體擴充功能:
- 「Enrich Entities」動作支援下列 URL 實體擴充功能:
- 「Enrich Entities」動作支援對「雜湊」進行下列實體擴充:
- 「Enrich Entities」(擴充實體) 動作支援下列「網域/主機名稱」實體擴充功能:
- 「Enrich Entities」動作支援下列「Threat Actor」實體擴充功能:
- 「Enrich Entities」動作支援下列「Vulnerability」實體擴充功能:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_id |
id |
JSON 結果中提供時。 |
GTI_owner |
as_owner |
JSON 結果中提供時。 |
GTI_asn |
asn |
JSON 結果中提供時。 |
GTI_continent |
continent |
JSON 結果中提供時。 |
GTI_country |
country |
JSON 結果中提供時。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 結果中提供時。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 結果中提供時。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 結果中提供時。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 結果中提供時。 |
GTI_certificate_valid_not_after |
validity/not_after |
JSON 結果中提供時。 |
GTI_certificate_valid_not_before |
validity/not_before |
JSON 結果中提供時。 |
GTI_reputation |
reputation |
JSON 結果中提供時。 |
GTI_tags |
Comma-separated list of tags |
JSON 結果中提供時。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 結果中提供時。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 結果中提供時。 |
GTI_report_link |
report_link |
JSON 結果中提供時。 |
GTI_widget_link |
widget_url |
JSON 結果中提供時。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 結果中提供時。 |
GTI_severity |
gti_assessment.severity.value |
JSON 結果中提供時。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 結果中提供時。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 結果中提供時。 |
GTI_description |
gti_assessment.description |
JSON 結果中提供時。 |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_id |
id |
JSON 結果中提供時。 |
GTI_title |
title |
JSON 結果中提供時。 |
GTI_last_http_response_code |
last_http_response_code |
JSON 結果中提供時。 |
GTI_last_http_response_content_length |
last_http_response_content_length |
JSON 結果中提供時。 |
GTI_threat_names |
Comma-separated list of threat_names |
JSON 結果中提供時。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 結果中提供時。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 結果中提供時。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 結果中提供時。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 結果中提供時。 |
GTI_reputation |
reputation |
JSON 結果中提供時。 |
GTI_tags |
Comma-separated list of tags |
JSON 結果中提供時。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 結果中提供時。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 結果中提供時。 |
GTI_report_link |
report_link |
JSON 結果中提供時。 |
GTI_widget_link |
widget_url |
JSON 結果中提供時。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 結果中提供時。 |
GTI_severity |
gti_assessment.severity.value |
JSON 結果中提供時。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 結果中提供時。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 結果中提供時。 |
GTI_description |
gti_assessment.description |
JSON 結果中提供時。 |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON 結果中提供時。 |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_id |
id |
JSON 結果中提供時。 |
GTI_magic |
magic |
JSON 結果中提供時。 |
GTI_md5 |
md5 |
JSON 結果中提供時。 |
GTI_sha1 |
sha1 |
JSON 結果中提供時。 |
GTI_sha256 |
sha256 |
JSON 結果中提供時。 |
GTI_ssdeep |
ssdeep |
JSON 結果中提供時。 |
GTI_tlsh |
tlsh |
JSON 結果中提供時。 |
GTI_vhash |
vhash |
JSON 結果中提供時。 |
GTI_meaningful_name |
meaningful_name |
JSON 結果中提供時。 |
GTI_magic |
Comma-separated list of names |
JSON 結果中提供時。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 結果中提供時。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 結果中提供時。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 結果中提供時。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 結果中提供時。 |
GTI_reputation |
reputation |
JSON 結果中提供時。 |
GTI_tags |
Comma-separated list of tags |
JSON 結果中提供時。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 結果中提供時。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 結果中提供時。 |
GTI_report_link |
report_link |
JSON 結果中提供時。 |
GTI_widget_link |
widget_url |
JSON 結果中提供時。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 結果中提供時。 |
GTI_severity |
gti_assessment.severity.value |
JSON 結果中提供時。 |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
JSON 結果中提供時。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 結果中提供時。 |
GTI_description |
gti_assessment.description |
JSON 結果中提供時。 |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_id |
id |
JSON 結果中提供時。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON 結果中提供時。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON 結果中提供時。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON 結果中提供時。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON 結果中提供時。 |
GTI_reputation |
reputation |
JSON 結果中提供時。 |
GTI_tags |
Comma-separated list of tags |
JSON 結果中提供時。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON 結果中提供時。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON 結果中提供時。 |
GTI_report_link |
report_link |
JSON 結果中提供時。 |
GTI_widget_link |
widget_url |
JSON 結果中提供時。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON 結果中提供時。 |
GTI_severity |
gti_assessment.severity.value |
JSON 結果中提供時。 |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON 結果中提供時。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON 結果中提供時。 |
GTI_description |
gti_assessment.description |
JSON 結果中提供時。 |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON 結果中提供時。 |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
JSON 結果中提供時。 |
GTI_aliases |
Csv of alt_names_details/value |
JSON 結果中提供時。 |
GTI_industries |
Csv of targeted_industries/value |
JSON 結果中提供時。 |
GTI_malware |
Csv of malware/name |
JSON 結果中提供時。 |
GTI_source_region |
CSV of source_regions_hierarchy/country |
JSON 結果中提供時。 |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
JSON 結果中提供時。 |
GTI_origin |
origin |
JSON 結果中提供時。 |
GTI_description |
description |
JSON 結果中提供時。 |
GTI_last_activity_time |
last_activity_time |
JSON 結果中提供時。 |
GTI_report_link |
We craft it. |
JSON 結果中提供時。 |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GTI_sources |
Csv of source_name |
JSON 結果中提供時。 |
GTI_exploitation_state |
exploitation_state |
JSON 結果中提供時。 |
GTI_date_of_disclosure |
date_of_disclosure |
JSON 結果中提供時。 |
GTI_vendor_fix_references |
vendor_fix_references/url |
JSON 結果中提供時。 |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
JSON 結果中提供時。 |
GTI_description |
description |
JSON 結果中提供時。 |
GTI_risk_rating |
risk_rating |
JSON 結果中提供時。 |
GTI_available_mitigation |
CSV of available_mitigation |
JSON 結果中提供時。 |
GTI_exploitation_consequence |
exploitation_consequence |
JSON 結果中提供時。 |
GTI_report_link |
We craft it. |
JSON 結果中提供時。 |
JSON 結果
以下範例顯示使用「Enrich Entities」動作時,收到的 IOC (IP、Hash、URL、Domain 和 Hostname 實體) JSON 結果輸出內容:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
以下範例顯示使用「Enrich Entities」動作時,收到的安全漏洞 JSON 結果輸出內容:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
以下範例顯示使用「Enrich Entities」動作時,收到的威脅行為者 JSON 結果輸出內容:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
輸出訊息
「Enrich Entities」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich Entities」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實 IOC
使用「Enrich IOCs」(豐富入侵指標) 動作,透過 Google Threat Intelligence 的資訊豐富入侵指標 (IOC)。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Enrich IOCs」動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOC Type |
選填。 要擴充的 IOC 類型。 可能的值如下:
預設值為 |
IOCs |
必填。 以半形逗號分隔的 IOC 清單,用於擷取資料。 |
動作輸出內容
「Enrich IOCs」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件總覽連結
「Enrich IOCs」動作可為每個經過擴充的實體提供下列連結:
名稱:報表連結
值:URL
案件訊息牆表格
「Enrich IOCs」(豐富 IOC) 動作可為每個豐富的實體提供下表:
資料表名稱:IOC_ID
資料表欄:
- 名稱
- 類別
- 方法
- 結果
JSON 結果
以下範例顯示使用「Enrich IOCs」動作時收到的 JSON 結果輸出內容:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
輸出訊息
「Enrich IOCs」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich IOCs」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行 IOC 搜尋
使用「Execute IOC Search」動作,在 Google Threat Intelligence 中執行 IOC 搜尋。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「執行 IOC 搜尋」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Search Query |
必填。 要執行的搜尋查詢,例如
|
Max Results To Return |
選填。 每個動作執行作業要傳回的結果數上限。 最大值為 預設值為 |
動作輸出內容
「執行 IOC 搜尋」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Execute IOC Search」動作時收到的 JSON 結果輸出內容:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
輸出訊息
「執行 IOC 搜尋」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「執行 IOC 搜尋」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得 ASM 實體詳細資料
使用「Get ASM Entity Details」(取得 ASM 實體詳細資料) 動作,取得 Google Threat Intelligence 中 ASM 實體的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Get ASM Entity Details」(取得 ASM 實體詳細資料) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Entity ID |
必填。 以半形逗號分隔的實體 ID 清單,用於取得詳細資料。 |
動作輸出內容
「Get ASM Entity Details」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Get ASM Entity Details」動作時收到的 JSON 結果輸出內容:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
輸出訊息
「Get ASM Entity Details」(取得 ASM 實體詳細資料) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得 ASM 實體詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得圖表詳細資料
使用「Get Graph Details」動作,取得 Google Threat Intelligence 中圖表的詳細資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得圖表詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Graph ID |
必填。 以半形逗號分隔的圖表 ID 清單,用於擷取詳細資料。 |
Max Links To Return |
必填。 每個圖表要傳回的連結數量上限。 預設值為 |
動作輸出內容
「Get Graph Details」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「取得圖表詳細資料」動作可為每個經過擴充的實體提供下表:
表格名稱:圖表 GRAPH_ID 連結
資料表欄:
- 來源
- 目標
- 連線類型
JSON 結果
下列範例顯示使用「Get Graph Details」(取得圖表詳細資料) 動作時收到的 JSON 結果輸出內容:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
輸出訊息
「取得圖表詳細資料」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得圖表詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得相關 IOC
使用「Get Related IOCs」(取得相關 IOC) 動作,透過 Google Threat Intelligence 的資訊,取得與實體相關的 IOC 資訊。
這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
IP addressURLHostnameDomainHashThreat Actor
動作輸入內容
「取得相關 IOC」動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOC Types |
必填。 以半形逗號分隔的 IOC 清單,用於擷取 IOC。 可能的值如下: |
Max IOCs To Return |
必填。 每個實體所選 IOC 類型最多可傳回的 IOC 數量。 預設值為 |
動作輸出內容
「取得相關 IOC」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
JSON 結果
以下範例顯示使用「Get Related IOCs」動作時收到的 JSON 結果輸出內容:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
輸出訊息
「Get Related IOCs」(取得相關 IOC) 動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get Related IOCs」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 Google Threat Intelligence 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
搜尋 ASM 實體
使用「Search ASM Entities」(搜尋 ASM 實體) 動作,在 Google Threat Intelligence 中搜尋 ASM 實體。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「搜尋 ASM 實體」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Project Name |
選填。 ASM 專案名稱。 如果您未設定值,動作會使用您為 |
Entity Name |
選填。 以半形逗號分隔的實體名稱清單,用於尋找實體。 如果實體名稱包含 |
Minimum Vulnerabilities Count |
選填。 動作傳回實體所需的最低弱點數量。 |
Minimum Issues Count |
選填。 動作傳回實體時,所需的最少問題數。 |
Tags |
選填。 以半形逗號分隔的標記名稱清單,用於搜尋實體。 |
Max Entities To Return |
選填。 要傳回的實體數量。 最大值為 |
Critical or High Issue |
選填。 如果選取這個選項,動作只會傳回嚴重程度為 預設為未選取。 |
動作輸出內容
「搜尋 ASM 實體」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Search ASM Entities」(搜尋 ASM 實體) 動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
輸出訊息
「Search ASM Entities」(搜尋 ASM 實體) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「搜尋 ASM 實體」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
搜尋 ASM 問題
使用「Search ASM Issues」動作,在 Google Threat Intelligence 中搜尋 ASM 問題。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Search ASM Issues」(搜尋 ASM 問題) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Project Name |
選填。 ASM 專案名稱。 如果您未設定值,動作會使用您為 |
Issue ID |
選填。 以半形逗號分隔的問題 ID 清單,用於傳回詳細資料。 |
Entity ID |
選填。 以半形逗號分隔的實體 ID 清單,用於找出相關問題。 |
Entity Name |
選填。 以半形逗號分隔的實體名稱清單,用於找出相關問題。 如果實體名稱包含 |
Time Parameter |
選填。 設定問題時間的篩選器選項。 可能的值為 預設值為 |
Time Frame |
選填。 篩選問題的期間。如果選取 可能的值如下:
預設值為 |
Start Time |
選填。 結果的開始時間。 如果您為 以 ISO 8601 格式設定值。 |
End Time |
選填。 結果的結束時間。 如果您為 以 ISO 8601 格式設定值。 |
Lowest Severity To Return |
選填。 要傳回的問題嚴重程度下限。 可能的值如下:
預設值為 如果選取 |
Status |
選填。 搜尋的狀態篩選器。 可能的值為 預設值為 如果選取 |
Tags |
選填。 以半形逗號分隔的標記名稱清單,用於搜尋問題。 |
Max Issues To Return |
必填。 要傳回的問題數量。 最大值為 |
動作輸出內容
「搜尋 ASM 問題」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Search ASM Issues」(搜尋 ASM 問題) 動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
輸出訊息
「Search ASM Issues」(搜尋 ASM 問題) 動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Search ASM Issues」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
搜尋實體圖表
使用「搜尋實體圖表」動作,搜尋以 Google Threat Intelligence 中的 Google SecOps 實體為基礎的圖表。
這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
DomainFile HashHostnameIP AddressThreat ActorURLUser
動作輸入內容
「搜尋實體圖表」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Sort Field |
選填。 用來排序結果的欄位值。 可能的值如下:
預設值為 |
Max Graphs To Return |
選填。 每次動作執行時傳回的圖表數量上限。 預設值為 |
動作輸出內容
「搜尋實體圖」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「搜尋實體圖形」動作時收到的 JSON 結果輸出內容:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
輸出訊息
「搜尋實體圖表」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
搜尋圖表
使用「Search Graphs」動作,根據 Google Threat Intelligence 中的自訂篩選器搜尋圖表。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
搜尋圖表動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query |
必填。 圖表的查詢篩選器。 舉例來說,如要搜尋所選期間的圖表,請將查詢格式設為:
|
Sort Field |
選填。 用於排序 VirusTotal 圖表的欄位值。 可能的值如下:
預設值為 |
Max Graphs To Return |
選填。 每次動作執行時傳回的圖表數量上限。 預設值為 |
如何建立查詢
如要縮小圖形搜尋結果範圍,請建立包含圖形相關修飾符的查詢。如要改善搜尋結果,可以將修飾符與 AND、OR 和 NOT 運算子合併使用。
日期和數值欄位支援 + 加號和 - 減號後置字元。加號後置字元會比對大於所提供的值。負號後置字元會比對小於提供的值。如果沒有後置字元,查詢會傳回完全相符的結果。
如要定義範圍,您可以在查詢中多次使用相同的修飾符。舉例來說,如要搜尋 2018 年 11 月 15 日至 2018 年 11 月 20 日之間建立的圖表,請使用下列查詢:
creation_date:2018-11-15+ creation_date:2018-11-20-
如果日期或月份以 0 開頭,請移除查詢中的 0 字元。
舉例來說,您可以將 2018 年 11 月 1 日的日期格式設為 2018-11-1。
圖表相關修飾符
下表列出與圖表相關的修飾符,可用於建構搜尋查詢:
| 修飾符名稱 | 說明 | 範例 |
|---|---|---|
id |
依圖表 ID 篩選。 | id:g675a2fd4c8834e288af |
name |
依圖表名稱篩選。 | name:Example-name |
owner |
篩選使用者擁有的圖表。 | owner:example_user |
group |
依群組擁有的圖表篩選。 | group:example |
visible_to_user |
依使用者可見的圖表篩選。 | visible_to_user:example_user |
visible_to_group |
依群組可見的圖表篩選。 | visible_to_group:example |
private |
依私有圖表篩選。 | private:true、private:false |
creation_date |
依圖表建立日期篩選。 | creation_date:2018-11-15 |
last_modified_date |
依圖表上次修改日期篩選。 | last_modified_date:2018-11-20 |
total_nodes |
依含有特定節點數量的圖表進行篩選。 | total_nodes:100 |
comments_count |
依圖表中的留言數篩選。 | comments_count:10+ |
views_count |
依圖表瀏覽次數篩選。 | views_count:1000+ |
節點相關修飾符
下表列出與圖表相關的修飾符,可用於建構搜尋查詢:
| 修飾符名稱 | 說明 | 範例 |
|---|---|---|
label |
篩選含有特定標籤節點的圖表。 | label:Kill switch |
file |
篩選含有特定檔案的圖表。 | file:131f95c51cc819465fa17 |
domain |
篩選含有特定網域的圖表。 | domain:example.com |
ip_address |
依含有特定 IP 位址的圖表篩選。 | ip_address:203.0.113.1 |
url |
篩選含有特定網址的圖表。 | url:https://example.com/example/ |
actor |
篩選出包含特定參與者的圖表。 | actor:example actor |
victim |
篩選出含有特定受害者的圖表。 | victim:example_user |
email |
篩選包含特定電子郵件地址的圖表。 | email:user@example.com |
department |
篩選含有特定部門的圖表。 | department:engineers |
動作輸出內容
「搜尋圖表」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「搜尋圖表」動作時收到的 JSON 結果輸出內容:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
輸出訊息
「搜尋圖表」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「搜尋圖表」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
設定 DTM 警報分析
使用「Set DTM Alert Analysis」(設定 DTM 警報分析) 動作,在 Google Threat Intelligence 中定義 Digital Threat Monitoring (DTM) 警報的分析。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「設定 DTM 警報分析」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必填。 要新增分析的快訊 ID。 |
Text |
必填。 要新增至快訊的分析。 |
Attachment File Paths |
選填。 以半形逗號分隔的檔案路徑清單,用於附加至快訊。 最多可附加 10 個檔案。 |
動作輸出內容
「設定 DTM 快訊分析」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
輸出訊息
「Set DTM Alert Analysis」(設定 DTM 快訊分析) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「設定 DTM 警示分析」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
提交檔案
使用「提交檔案」動作提交檔案,並從 Google Threat Intelligence 取得結果。
這項操作不會在 Google SecOps 實體上執行。
這項動作是非同步作業。視需要調整 Google SecOps 整合式開發環境 (IDE) 中動作的指令碼逾時值。
動作輸入內容
「提交檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
External URLs |
選填。 以半形逗號分隔的檔案公開網址清單,如果同時提供「外部網址」和「檔案路徑」,動作會從這兩個輸入內容收集檔案。 |
File Paths |
選填。 以半形逗號分隔的絕對檔案路徑清單。如果您設定 **Linux 伺服器位址** 參數,這項動作會嘗試從遠端伺服器擷取檔案。如果同時提供「外部網址」和「檔案路徑」,動作會從這兩個輸入內容收集檔案。 |
ZIP Password |
選填。 含有要提交檔案的壓縮資料夾密碼。 |
Private Submission |
選填。 如果選取這個選項,系統會以私密模式提交檔案。 如要私下提交檔案,必須使用 VirusTotal Premium API。 |
Check Hash |
(選用步驟) 預設值:已停用。 如果啟用這項功能,系統會先計算檔案的雜湊值並進行搜尋 (如有可用資訊)。如果可以,系統會傳回資訊,不必經過提交流程。 |
Retrieve Comments |
選填。 如果選取這個動作,系統會擷取有關所提交檔案的註解。 |
Fetch MITRE Details |
選填。 如果選取這個選項,動作會傳回相關 MITRE 技術和戰術的資訊。 預設為未選取。 |
Lowest MITRE Technique Severity |
選填。 要傳回的最低 MITRE 技術嚴重程度。 這項動作會將 這個參數僅支援 Hash 實體。 預設值為 |
Retrieve AI Summary |
選填。 如果選取這個動作,系統會擷取所提交檔案的 AI 摘要。 AI 摘要僅適用於私人提交內容。 這項參數屬於實驗性質。 預設為未選取。 |
Max Comments To Return |
選填。 每次動作執行時傳回的留言數量上限。 |
Linux Server Address |
選填。 檔案所在的遠端 Linux 伺服器 IP 位址。 |
Linux Username |
選填。 檔案所在遠端 Linux 伺服器的使用者名稱。 |
Linux Password |
選填。 檔案所在遠端 Linux 伺服器的密碼。 |
動作輸出內容
「提交檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
案件總覽連結
「提交檔案」動作可以傳回下列連結:
報表連結 PATH:
URL
JSON 結果
以下範例顯示使用「提交檔案」動作時收到的 JSON 結果輸出內容:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
輸出訊息
「提交檔案」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
沒有「檔案路徑」或「外部網址」值 「檔案路徑」或「外部網址」參數至少須有一個值。 |
指令碼結果
下表列出使用「提交檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新 ASM 問題
使用「Update ASM Issue」(更新 ASM 問題) 動作,在 Google Threat Intelligence 中更新 ASM 問題。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Update ASM Issue」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Issue ID |
必填。 要更新的問題 ID。 |
Status |
必填。 要為問題設定的新狀態。 可能的值如下:
預設值為 |
動作輸出內容
「Update ASM Issue」(更新 ASM 問題) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Update ASM Issue」(更新 ASM 問題) 動作時收到的 JSON 結果輸出內容:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
輸出訊息
「Update ASM Issue」(更新 ASM 問題) 動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
動作成功。 |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「更新 ASM 問題」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新 DTM 快訊
使用「Update DTM Alert」(更新 DTM 警報) 動作,在 Google Threat Intelligence 中更新 Mandiant Digital Threat Monitoring 警報。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「更新 DTM 快訊」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Alert ID |
必填。 要更新的快訊 ID。 |
Status |
選填。 要為快訊設定的新狀態。 可能的值如下:
預設值為 |
動作輸出內容
「Update DTM Alert」(更新 DTM 快訊) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Update DTM Alert」(更新 DTM 快訊) 動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
輸出訊息
「Update DTM Alert」(更新 DTM 警示) 動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
動作成功。 |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「更新 DTM 快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Google Threat Intelligence - DTM 快訊連接器
使用 Google Threat Intelligence - DTM Alerts Connector 從 Google Threat Intelligence 擷取快訊。如要使用動態清單,請使用 alert_type 參數。
連接器輸入內容
Google Threat Intelligence - DTM Alerts Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Google Threat Intelligence 執行個體的 API 根層級。 預設值為 |
API Key |
必填。 Google Threat Intelligence API 金鑰。 |
Lowest Severity To Fetch |
選填。 要擷取的最低快訊嚴重性。 如未設定這個參數,連接器會擷取所有嚴重程度的快訊。 可能的值如下:
|
Monitor ID Filter |
選填。 以半形逗號分隔的監控器 ID 清單,用於擷取快訊。 |
Event Type Filter |
選填。 以半形逗號分隔的活動類型清單,用於傳回活動。 輸入內容不區分大小寫。如果未提供任何值,連結器會處理所有事件類型。 如要排除特定類型,請在類型前面加上驚嘆號 (例如 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 (此為預設選項)。 |
Max Hours Backwards |
必填。 擷取快訊的小時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 |
Max Alerts To Fetch |
必填。 每個連接器疊代要處理的快訊數量。 上限為 |
Use dynamic list as a blocklist |
必填。 如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Google 威脅情報伺服器時,驗證 SSL 憑證。 (此為預設選項)。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器規則
Google Threat Intelligence - DTM Alerts Connector 支援 Proxy。
連接器事件
Google Threat Intelligence - DTM Alerts 連接器有兩種事件:以主要快訊為準的事件,以及以主題為準的事件。
以下是根據主要快訊的連接器事件範例:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
以下是根據主題的連接器事件範例:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM 問題連接器
使用 Google Threat Intelligence - ASM 問題連接器,從 Google Threat Intelligence 擷取 ASM 問題的相關資訊。如要使用動態清單篩選器,請使用 category 參數。
連接器輸入內容
Google Threat Intelligence - ASM Issues Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Google Threat Intelligence 執行個體的 API 根層級。 預設值為 |
API Key |
必填。 Google Threat Intelligence API 金鑰。 |
Project Name |
選填。 ASM 專案名稱。 如未設定值,系統只會傳回主要專案中集合的快訊。 |
Lowest Severity To Fetch |
選填。 要擷取的最低快訊嚴重性。 如未設定這個參數,連接器會擷取所有嚴重程度的快訊。 可能的值如下:
|
Issue Name Filter |
選填。 以半形逗號分隔的要擷取問題清單。 輸入內容須區分大小寫。如果直接列出名稱,連接器會使用納入篩選器,只擷取相符的問題。 如要排除特定問題,請在名稱前加上驚嘆號 (例如 如未提供值,系統不會套用篩選條件,並會擷取所有問題。 |
Status Filter |
選填。 以半形逗號分隔的要擷取問題狀態清單。 如果未提供任何值,連接器只會處理未解決的問題。 可能的值如下:
預設值為 |
Event Type Filter |
選填。 以半形逗號分隔的活動類型清單,用於傳回活動。 輸入內容不區分大小寫。如果未提供任何值,連結器會處理所有事件類型。 如要排除特定類型,請在類型前面加上驚嘆號 (例如 |
Max Hours Backwards |
必填。 擷取快訊的小時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 |
Max Issues To Fetch |
必填。 每次連接器疊代要處理的問題數量。 上限為 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 (此為預設選項)。 |
Use dynamic list as a blocklist |
必填。 如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Google 威脅情報伺服器時,驗證 SSL 憑證。 (此為預設選項)。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器事件
Google Threat Intelligence - ASM Issues Connector 事件範例如下:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt Connector
使用 Google Threat Intelligence - Livehunt 連接器,從 Google Threat Intelligence 擷取有關 Livehunt 通知及其相關檔案的資訊。如要使用動態清單,請使用 rule_name 參數。
連接器輸入內容
Google Threat Intelligence - Livehunt 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Google Threat Intelligence 執行個體的 API 根層級。 預設值為 |
API Key |
必填。 Google Threat Intelligence API 金鑰。 |
Max Hours Backwards |
必填。 擷取快訊的小時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 |
Max Notifications To Fetch |
必填。 每次連接器疊代要處理的通知數量。 預設值為 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 (此為預設選項)。 |
Use dynamic list as a blocklist |
必填。 如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Google 威脅情報伺服器時,驗證 SSL 憑證。 (此為預設選項)。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器規則
Google Threat Intelligence - Livehunt 連接器支援 Proxy。
連接器事件
Google Threat Intelligence - Livehunt Connector 事件範例如下:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。