Intezer
In diesem Dokument finden Sie eine Anleitung zur Integration von Intezer in das SOAR-Modul von Google Security Operations.
Integrationsversion: 7.0
Intezer in Google SecOps einbinden
Für die Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich API-Stammverzeichnis des Intezer-Dienstes. |
API Key |
Erforderlich API-Schlüssel des Intezer-Dienstes. |
Verify SSL |
Optional Wenn diese Option ausgewählt ist, prüft Google SecOps, ob das SSL-Zertifikat für die Verbindung zum Intezer-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Datei zur Analyse senden
So analysieren Sie eine Datei mit Intezer:
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
File Path |
Erforderlich Die Pfade zu den Dateien, die Sie analysieren möchten. Sie können mehrere Pfade in einem durch Kommas getrennten String angeben, z. B. |
Related Alert ID |
Optional Die Benachrichtigungs-ID, die sich auf die Datei bezieht. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Datei zur Detonation bringen“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Datei zur Detonation senden“ empfangen wird:
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
Ausgabemeldungen
Die Aktion „Datei zur Detonation senden“ gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
Aktion erfolgreich. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Datei zur Detonation bringen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
Detonate Hash
Dateihash (SHA-1, SHA-256 oder MD5) in Intezer Analyze analysieren
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
File Hash |
Erforderlich Der Hash der Berichte, die Sie analysieren möchten. Sie können mehrere Hashes in einem durch Kommas getrennten String angeben. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Datei detonieren“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Hash detonieren“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Hash detonieren“ empfangen wird:
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
Ausgabemeldungen
Die Aktion „Hash detonieren“ gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
Aktion erfolgreich. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
URL öffnen
Verdächtige URLs mit Intezer analysieren
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Url |
Optional Die URL, die Sie analysieren möchten, z. B. Sie können mehrere URLs in einem durch Kommas getrennten String angeben. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „URL detonieren“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „URL detonieren“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „URL detonieren“ empfangen wird:
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
Ausgabemeldungen
Die Aktion „URL detonieren“ gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
Aktion erfolgreich. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Benachrichtigung erhalten
Rufen Sie mithilfe der Benachrichtigungs-ID Informationen zur Triage und Reaktion auf eine aufgenommene Benachrichtigung ab.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Alert ID |
Erforderlich Die ID der abzufragenden Benachrichtigung. |
Wait For Completion |
Optional Wenn diese Option ausgewählt ist, wartet die Aktion, bis die Analyse abgeschlossen ist. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Get Alert“ (Benachrichtigung abrufen) beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Get Alert“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Get Alert“ (Benachrichtigung abrufen) empfangen wird:
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
Ausgabemeldungen
Die Aktion „Get Alert“ (Benachrichtigung abrufen) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
Aktion erfolgreich. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Dateibericht abrufen
Einen Dateianalysebericht basierend auf einer Analyse-ID oder einem Dateihash abrufen.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Analysis ID |
Optional Eine durch Kommas getrennte Liste der Datei-Analyse-IDs, für die die Aktion ausgeführt werden soll. Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. Wenn sowohl die Parameter Analyse-ID als auch Dateihash angegeben werden, hat der Wert Dateihash Priorität. |
File Hash |
Optional Eine durch Kommas getrennte Liste von Dateihashes, für die die Aktion ausgeführt werden soll. Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. Wenn sowohl die Parameter Analyse-ID als auch Datei-Hash angegeben werden, hat der Wert Datei-Hash Priorität. |
Private Only |
Optional Wenn diese Option ausgewählt ist, werden nur private Berichte angezeigt (nur für Hashes relevant). |
Wait For Completion |
Optional Wenn diese Option ausgewählt ist, wird gewartet, bis die Analyse abgeschlossen ist, bevor der Bericht zurückgegeben wird. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen beschrieben, die mit der Aktion „Bericht abrufen“ verknüpft sind:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Bericht abrufen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Bericht abrufen“ empfangen wird:
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
Ausgabemeldungen
Die Aktion „Bericht zu Datei abrufen“ gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
Aktion erfolgreich. |
No file analysis were found for the provided items |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
URL-Bericht abrufen
Einen URL-Analysebericht basierend auf der URL-Analyse-ID abrufen
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Analysis ID |
Erforderlich Eine durch Kommas getrennte Liste der Datei-Analyse-IDs, für die die Aktion ausgeführt werden soll. Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. Die Analyse-ID wird zurückgegeben, wenn Sie eine URL zur Analyse einreichen. |
Wait For Completion |
Optional Wenn diese Option ausgewählt ist, wartet die Aktion, bis die Analyse abgeschlossen ist. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Get URL Report“ (URL-Bericht abrufen) beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „URL-Bericht abrufen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „URL-Bericht abrufen“ empfangen wird:
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
Ausgabemeldungen
Die Aktion „Bericht zur URL abrufen“ gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
Aktion erfolgreich. |
No url analysis were found for the provided analysis ids
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Indexdatei
Indexieren Sie die Dateigene in der Organisationsdatenbank.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Index As |
Erforderlich Index als vertrauenswürdig oder schädlich einstufen. |
SHA256 |
Optional Der zu indexierende SHA-256-Hash. Sie können mehrere Hashes in einem durch Kommas getrennten String angeben. |
Family Name |
Optional Der Familienname, der im Index verwendet werden soll. Dieser Parameter ist erforderlich, wenn der Parameterwert Index As |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Indexdatei“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Indexdatei“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Index File“ (Datei indexieren) empfangen wird:
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
Ausgabemeldungen
Die Aktion „Datei indexieren“ gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
Die Aktion wird noch ausgeführt. |
|
Aktion erfolgreich. |
None of the file hash got indexed |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Ping
Verbindung zu Intezer testen
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Ping“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Ping“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
Benachrichtigung senden
Senden Sie eine neue Benachrichtigung mit den Rohdaten der Benachrichtigung zur Verarbeitung an Intezer.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Source |
Erforderlich Die Quelle der Benachrichtigung. |
Raw Alert |
Erforderlich Rohdaten für Benachrichtigungen im JSON-Format. |
Alert Mapping |
Erforderlich Die Zuordnung, die für die Benachrichtigung verwendet werden soll, im JSON-Format. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Submit Alert“ (Benachrichtigung senden) beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Benachrichtigung senden“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Benachrichtigung senden“ empfangen wird:
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
Ausgabemeldungen
Die Aktion „Benachrichtigung senden“ gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
Aktion erfolgreich. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
Aktion fehlgeschlagen. Prüfen Sie den Wert des Parameters Alert Mapping. |
Datei einreichen
Reichen Sie eine Datei zur Analyse ein.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
File Paths |
Erforderlich Die Pfade der zu analysierenden Dateien. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Datei senden“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Datei einreichen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Datei einreichen“ empfangen wird:
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
Hash einreichen
Senden Sie einen Hash zur Analyse an Intezer.
Diese Aktion wird für eine FileHash-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Hash einreichen“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
In der folgenden Tabelle wird die Logik zur Anreicherung von Entitäten beschrieben, die mit der Aktion „Hash einreichen“ verknüpft ist:
| Anreicherungsfeld | Logik |
|---|---|
family_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
analysis_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
sub_verdict |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
analysis_url |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
verdict |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
sha256 |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
is_private |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
analysis_time |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Hash einreichen“ empfangen wird:
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Hash einreichen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
Verdächtige E‑Mail senden
Senden Sie eine verdächtige Phishing-E‑Mail im Rohformat (.msg oder .eml) zur Verarbeitung an Intezer.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Email File Path |
Erforderlich Der Pfad zur E‑Mail-Datei. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Verdächtige E‑Mail senden“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Verdächtige E‑Mail senden“ empfangen wird:
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
Ausgabemeldungen
Die Aktion „Verdächtige E-Mail senden“ gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
Aktion erfolgreich. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Verdächtige E-Mail senden“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
Indexdatei entfernen
Entfernen Sie Dateien aus dem Index.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
SHA256 |
Optional Der SHA-256-Hash, der aus dem Index entfernt werden soll. Sie können mehrere Dateien in einem durch Kommas getrennten String angeben. |
Aktionsausgaben
In der folgenden Tabelle werden die Ausgabetypen für die Aktion „Indexdatei nicht festlegen“ beschrieben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion „Indexdatei aufheben“ gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Indexdatei nicht festlegen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten