Intezer
En este documento se explica cómo integrar Intezer con el módulo SOAR de Google Security Operations.
Versión de integración: 7.0
Integrar Intezer con Google SecOps
La integración requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio Raíz de la API del servicio Intezer. |
API Key |
Obligatorio Clave de API del servicio Intezer. |
Verify SSL |
Optional Si se selecciona esta opción, Google SecOps verifica que el certificado SSL de la conexión al servidor de Intezer sea válido. No está seleccionada de forma predeterminada. |
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Detonate File
Usar Intezer para analizar un archivo
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Path |
Obligatorio Las rutas a los archivos que quieras analizar. Puedes proporcionar varias rutas en una cadena separada por comas, como
|
Related Alert ID |
Optional ID de alerta relacionada con el archivo. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Detonate File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Detonate File:
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
Mensajes de salida
La acción Detonate File (Detonar archivo) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
La acción se ha realizado correctamente. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Detonate File:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Detonate Hash
Analiza un hash de archivo (SHA-1, SHA-256 o MD5) en Intezer Analyze.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Hash |
Obligatorio El hash de los informes que quieras analizar. Puedes proporcionar varios hashes en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Detonate File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Detonate Hash:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Detonate Hash:
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
Mensajes de salida
La acción Detonate Hash proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
La acción se ha realizado correctamente. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Detonate URL
Analizar una URL sospechosa con Intezer.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Url |
Optional La URL que quieres analizar, como
Puede proporcionar varias URLs en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Detonate URL:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Detonate URL:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se recibe al usar la acción Detonate URL:
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
Mensajes de salida
La acción Detonate URL (Detonar URL) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
La acción se ha realizado correctamente. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Get Alert
Obtiene información sobre la triaje y la respuesta de una alerta insertada mediante el ID de alerta.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio El ID de la alerta que se va a consultar. |
Wait For Completion |
Optional Si se selecciona esta opción, la acción espera a que se complete el análisis. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Get Alert:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Get Alert:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get Alert:
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
Mensajes de salida
La acción Obtener alerta proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
La acción se ha realizado correctamente. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Obtener informe de archivo
Obtiene un informe de análisis de un archivo a partir de un ID de análisis o de un hash de archivo.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Analysis ID |
Optional Lista de IDs de análisis de archivos separados por comas en los que se va a ejecutar la acción. Este parámetro distingue entre mayúsculas y minúsculas. Si se proporcionan los parámetros ID de análisis y Hash de archivo, el valor de Hash de archivo tiene prioridad. |
File Hash |
Optional Lista de hashes de archivos separados por comas en los que se va a ejecutar la acción. Este parámetro distingue entre mayúsculas y minúsculas. Si se proporcionan los parámetros ID de análisis y Hash de archivo, el valor de Hash de archivo tiene prioridad. |
Private Only |
Optional Si se selecciona, la acción solo muestra informes privados (solo es relevante para los hashes). |
Wait For Completion |
Optional Si se selecciona esta opción, la acción espera a que se complete el análisis antes de devolver el informe. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Get Report:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Report:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get Report:
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
Mensajes de salida
La acción Obtener informe de archivo proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
La acción se ha realizado correctamente. |
No file analysis were found for the provided items |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Obtener informe de URL
Obtiene un informe de análisis de URL basado en el ID de análisis de URL.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Analysis ID |
Obligatorio Lista de IDs de análisis de archivos separados por comas en los que se va a ejecutar la acción. Este parámetro distingue entre mayúsculas y minúsculas. El ID de análisis se devuelve al enviar una URL para analizarla. |
Wait For Completion |
Optional Si se selecciona esta opción, la acción espera a que se complete el análisis. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Obtener informe de URL:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Obtener informe de URL:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get URL Report:
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
Mensajes de salida
La acción Obtener informe de URL proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
La acción se ha realizado correctamente. |
No url analysis were found for the provided analysis ids
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Archivo de índice
Indexa los genes del archivo en la base de datos de la organización.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Index As |
Obligatorio Indexar como de confianza o malicioso. |
SHA256 |
Optional El hash SHA-256 que se va a indexar. Puedes proporcionar varios hashes en una cadena separada por comas. |
Family Name |
Optional El apellido que se usará en el índice. Este parámetro es obligatorio si el valor del parámetro Index As es |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Index File (Indexar archivo):
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Index File:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Index File:
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
Mensajes de salida
La acción Indexar archivo proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
La acción sigue en curso. |
|
La acción se ha realizado correctamente. |
None of the file hash got indexed |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Ping
Prueba la conectividad con Intezer.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Ninguno
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Ping:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Enviar alerta
Envía una nueva alerta que incluya la información de la alerta sin procesar a Intezer para que la procese.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Source |
Obligatorio La fuente de la alerta. |
Raw Alert |
Obligatorio Datos sin procesar de la alerta en formato JSON. |
Alert Mapping |
Obligatorio Asignación que se va a usar para la alerta en formato JSON. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Enviar alerta:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enviar alerta:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Submit Alert:
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
Mensajes de salida
La acción Enviar alerta proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
La acción se ha realizado correctamente. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
Ha fallado la acción. Comprueba el valor del parámetro Alert Mapping (Asignación de alertas). |
Enviar archivo
Envía un archivo para que se analice.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Paths |
Obligatorio Las rutas de los archivos que se van a analizar. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Enviar archivo:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Enviar archivo:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Enviar archivo:
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
Enviar hash
Envía un hash a Intezer para que lo analice.
Esta acción se ejecuta en una entidad FileHash.
Entradas de acciones
Ninguno
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Enviar hash:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
En la siguiente tabla se describe la lógica de enriquecimiento de entidades asociada a la acción Enviar hash:
| Campo de enriquecimiento | Lógica |
|---|---|
family_name |
Devuelve si existe en el resultado JSON. |
analysis_id |
Devuelve si existe en el resultado JSON. |
sub_verdict |
Devuelve si existe en el resultado JSON. |
analysis_url |
Devuelve si existe en el resultado JSON. |
verdict |
Devuelve si existe en el resultado JSON. |
sha256 |
Devuelve si existe en el resultado JSON. |
is_private |
Devuelve si existe en el resultado JSON. |
analysis_time |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Submit Hash:
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enviar hash:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Enviar correo sospechoso
Envía un correo de phishing sospechoso en formato sin formato (.msg o .eml) a Intezer
para que lo procese.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Email File Path |
Obligatorio Ruta al archivo de correo. |
Resultados de la acción
En la siguiente tabla se describen los tipos de resultados asociados a la acción Enviar correo sospechoso:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Enviar correo sospechoso:
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
Mensajes de salida
La acción Enviar correo sospechoso proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
La acción se ha realizado correctamente. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enviar correo sospechoso:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
Unset Index File
Quita los archivos del índice.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
SHA256 |
Optional El hash SHA-256 que se va a eliminar del índice. Puedes proporcionar varios archivos en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla se describen los tipos de salida asociados a la acción Desindexar archivo:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Unset Index File (Desactivar archivo de índice) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Unset Index File:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | Verdadero o falso |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.