Intezer
En este documento, se proporciona orientación para integrar Intezer con el módulo de SOAR de Google Security Operations.
Versión de la integración: 7.0
Integra Intezer con Google SecOps
La integración requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio Es la raíz de la API del servicio de Intezer. |
API Key |
Obligatorio Es la clave de API del servicio de Intezer. |
Verify SSL |
Optional Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para la conexión al servidor de Intezer sea válido. No está seleccionada de forma predeterminada. |
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Detonate File
Usa Intezer para analizar un archivo.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Path |
Obligatorio Son las rutas de acceso a los archivos que deseas analizar. Puedes proporcionar varias rutas en una cadena separada por comas, como |
Related Alert ID |
Optional Es el ID de la alerta relacionada con el archivo. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Detonate File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Detonate File:
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
Mensajes de salida
La acción Detonate File proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
La acción se completó correctamente. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Detonate File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Detonate Hash
Analiza un hash de archivo (SHA-1, SHA-256 o MD5) en Intezer Analyze.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Hash |
Obligatorio Es el hash de los informes que deseas analizar. Puedes proporcionar varios hashes en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Detonate File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Detonate Hash:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Detonate Hash:
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
Mensajes de salida
La acción Detonate Hash proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
La acción se completó correctamente. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Detonar URL
Analiza una URL sospechosa con Intezer.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Url |
Optional Es la URL que deseas analizar, como Puedes proporcionar varias URLs en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Detonate URL:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Detonate URL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Detonate URL:
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
Mensajes de salida
La acción Detonate URL proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
La acción se completó correctamente. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Obtener alerta
Obtén información sobre la respuesta y la clasificación de una alerta procesada con el ID de alerta.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio Es el ID de la alerta sobre la que se realizará la consulta. |
Wait For Completion |
Optional Si se selecciona, la acción espera a que se complete el análisis. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Get Alert:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Alert:
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
Mensajes de salida
La acción Get Alert proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
La acción se completó correctamente. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Obtener informe de archivo
Obtén un informe de análisis de archivos basado en un ID de análisis o un hash de archivo.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Analysis ID |
Optional Es una lista separada por comas de los IDs de análisis de archivos en los que se ejecutará la acción. Este parámetro distingue mayúsculas de minúsculas. Si se proporcionan los parámetros ID de análisis y Hash del archivo, el valor de Hash del archivo tendrá prioridad. |
File Hash |
Optional Es una lista separada por comas de los hashes de archivos en los que se ejecutará la acción. Este parámetro distingue mayúsculas de minúsculas. Si se proporcionan los parámetros ID de análisis y Hash del archivo, el valor de Hash del archivo tiene prioridad. |
Private Only |
Optional Si se selecciona, la acción solo muestra informes privados (solo es relevante para los hashes). |
Wait For Completion |
Optional Si se selecciona, la acción espera a que se complete el análisis antes de devolver el informe. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Get Report:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Report:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Report:
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
Mensajes de salida
La acción Get File Report proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
La acción se completó correctamente. |
No file analysis were found for the provided items |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Obtén el informe de URL
Obtén un informe de análisis de URL basado en el ID de análisis de URL.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Analysis ID |
Obligatorio Es una lista separada por comas de los IDs de análisis de archivos en los que se ejecutará la acción. Este parámetro distingue mayúsculas de minúsculas. El ID de análisis se devuelve cuando se envía una URL para su análisis. |
Wait For Completion |
Optional Si se selecciona, la acción espera a que se complete el análisis. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Get URL Report:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get URL Report:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get URL Report:
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
Mensajes de salida
La acción Get URL Report proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
La acción se completó correctamente. |
No url analysis were found for the provided analysis ids
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Archivo de índice
Indexa los genes de los archivos en la base de datos de la organización.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Index As |
Obligatorio Indexa como confiable o malicioso. |
SHA256 |
Optional Es el hash SHA-256 que se indexará. Puedes proporcionar varios hashes en una cadena separada por comas. |
Family Name |
Optional Es el apellido que se usará en el índice. Este parámetro es obligatorio si el valor del parámetro Index As es |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Index File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Index File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Index File:
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
Mensajes de salida
La acción Index File proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
La acción aún está en curso. |
|
La acción se completó correctamente. |
None of the file hash got indexed |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Ping
Prueba la conectividad con Intezer.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Ninguno
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados a la acción Ping:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Enviar alerta
Envía una alerta nueva que incluya la información sin procesar de la alerta a Intezer para su procesamiento.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Source |
Obligatorio Es la fuente de la alerta. |
Raw Alert |
Obligatorio Son los datos sin procesar de la alerta en formato JSON. |
Alert Mapping |
Obligatorio Es la asignación que se usará para la alerta en formato JSON. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Submit Alert:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Submit Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Submit Alert:
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
Mensajes de salida
La acción Submit Alert proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
La acción se completó correctamente. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
No se pudo realizar la acción. Verifica el valor del parámetro Alert Mapping. |
Enviar archivo
Envía un archivo para su análisis.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
File Paths |
Obligatorio Son las rutas de acceso de los archivos que se analizarán. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Submit File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Submit File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Submit File:
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
Envío de hash
Envía un hash a Intezer para su análisis.
Esta acción se ejecuta en una entidad FileHash.
Entradas de acción
Ninguno
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Submit Hash:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
En la siguiente tabla, se describe la lógica de enriquecimiento de entidades asociada a la acción Submit Hash:
| Campo de enriquecimiento | Lógica |
|---|---|
family_name |
Devuelve si existe en el resultado JSON. |
analysis_id |
Devuelve si existe en el resultado JSON. |
sub_verdict |
Devuelve si existe en el resultado JSON. |
analysis_url |
Devuelve si existe en el resultado JSON. |
verdict |
Devuelve si existe en el resultado JSON. |
sha256 |
Devuelve si existe en el resultado JSON. |
is_private |
Devuelve si existe en el resultado JSON. |
analysis_time |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Submit Hash:
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Submit Hash:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Enviar correo electrónico sospechoso
Envía un correo electrónico de phishing sospechoso en formato sin procesar (.msg o .eml) a Intezer para su procesamiento.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Email File Path |
Obligatorio Es la ruta de acceso al archivo de correo electrónico. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Submit Suspicious Email:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Submit Suspicious Email:
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
Mensajes de salida
La acción Submit Suspicious Email proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
La acción se completó correctamente. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Submit Suspicious Email:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
Anular el archivo de índice
Quita archivos del índice.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
SHA256 |
Optional Es el hash SHA-256 que se quitará del índice. Puedes proporcionar varios archivos en una cadena separada por comas. |
Resultados de la acción
En la siguiente tabla, se describen los tipos de salida asociados con la acción Unset Index File:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Unset Index File proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Unset Index File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
| is_success | Verdadero o falso |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.