Intezer
Ce document explique comment intégrer Intezer au module SOAR de Google Security Operations.
Version de l'intégration : 7.0
Intégrer Intezer à Google SecOps
L'intégration nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
API Root |
Obligatoire Racine de l'API du service Intezer. |
API Key |
Obligatoire Clé API du service Intezer. |
Verify SSL |
Optional Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL pour la connexion au serveur Intezer est valide. (non sélectionnée par défaut). |
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Faire exploser le fichier
Utilisez Intezer pour analyser un fichier.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
File Path |
Obligatoire Chemins d'accès aux fichiers que vous souhaitez analyser. Vous pouvez fournir plusieurs chemins d'accès dans une chaîne séparée par des virgules, par exemple |
Related Alert ID |
Optional ID de l'alerte associée au fichier. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Faire exploser le fichier" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Faire exploser le fichier" :
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
Messages de sortie
L'action "Faire exploser le fichier" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
Action effectuée. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action "Faire exploser le fichier" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Hachage de la détonation
Analysez un hachage de fichier (SHA-1, SHA-256 ou MD5) dans Intezer Analyze.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
File Hash |
Obligatoire Hachage des rapports que vous souhaitez analyser. Vous pouvez fournir plusieurs hachages dans une chaîne séparée par des virgules. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Faire exploser le fichier" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Analyser le hachage" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Faire exploser le hachage" :
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
Messages de sortie
L'action "Faire exploser le hachage" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
Action effectuée. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Faire exploser l'URL
Analysez une URL suspecte avec Intezer.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Url |
Optional URL que vous souhaitez analyser, par exemple Vous pouvez fournir plusieurs URL dans une chaîne séparée par des virgules. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Analyser l'URL" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Faire exploser l'URL" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Faire exploser l'URL" :
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
Messages de sortie
L'action "Faire exploser l'URL" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
Action effectuée. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Recevoir une alerte
Obtenez des informations sur le tri et la réponse aux alertes ingérées à l'aide de l'ID d'alerte.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Alert ID |
Obligatoire ID de l'alerte à interroger. |
Wait For Completion |
Optional Si cette option est sélectionnée, l'action attend la fin de l'analyse. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Obtenir l'alerte" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Obtenir l'alerte" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Obtenir l'alerte" :
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
Messages de sortie
L'action "Obtenir l'alerte" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
Action effectuée. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Obtenir un rapport sur le fichier
Obtenez un rapport d'analyse de fichier basé sur un ID d'analyse ou un hachage de fichier.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Analysis ID |
Optional Liste d'ID d'analyse de fichiers, séparés par une virgule, sur lesquels exécuter l'action. Ce paramètre est sensible à la casse. Si les paramètres ID d'analyse et Hachage du fichier sont fournis, la valeur Hachage du fichier est prioritaire. |
File Hash |
Optional Liste de hachages de fichiers (séparés par une virgule) sur lesquels exécuter l'action. Ce paramètre est sensible à la casse. Si les paramètres ID d'analyse et Hachage du fichier sont fournis, la valeur Hachage du fichier est prioritaire. |
Private Only |
Optional Si cette option est sélectionnée, l'action n'affiche que les rapports privés (pertinents uniquement pour les hachages). |
Wait For Completion |
Optional Si cette option est sélectionnée, l'action attend que l'analyse soit terminée avant de renvoyer le rapport. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Obtenir un rapport" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Obtenir le rapport" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Obtenir le rapport" :
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
Messages de sortie
L'action "Obtenir le rapport sur les fichiers" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
Action effectuée. |
No file analysis were found for the provided items |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Obtenir un rapport sur les URL
Obtenez un rapport d'analyse d'URL en fonction de l'ID d'analyse d'URL.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Analysis ID |
Obligatoire Liste d'ID d'analyse de fichiers, séparés par une virgule, sur lesquels exécuter l'action. Ce paramètre est sensible à la casse. L'ID d'analyse est renvoyé lorsque vous envoyez une URL à analyser. |
Wait For Completion |
Optional Si cette option est sélectionnée, l'action attend la fin de l'analyse. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Obtenir le rapport sur les URL" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Obtenir le rapport sur les URL" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Obtenir le rapport sur l'URL" :
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
Messages de sortie
L'action "Obtenir le rapport sur les URL" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
Action effectuée. |
No url analysis were found for the provided analysis ids
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Fichier d'index
Indexez les gènes du fichier dans la base de données de l'organisation.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Index As |
Obligatoire Indexez-le comme fiable ou malveillant. |
SHA256 |
Optional Hachage SHA-256 à indexer. Vous pouvez fournir plusieurs hachages dans une chaîne séparée par des virgules. |
Family Name |
Optional Nom de famille à utiliser dans l'index. Ce paramètre est obligatoire si la valeur du paramètre Index As est |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Fichier d'index" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Fichier d'index" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Indexer le fichier" :
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
Messages de sortie
L'action "Fichier d'index" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
L'action est toujours en cours. |
|
Action effectuée. |
None of the file hash got indexed |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Ping
Testez la connectivité à Intezer.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Aucun
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Ping" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Envoyer une alerte
Envoyez une nouvelle alerte incluant les informations brutes de l'alerte à Intezer pour traitement.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Source |
Obligatoire Source de l'alerte. |
Raw Alert |
Obligatoire Données brutes des alertes au format JSON. |
Alert Mapping |
Obligatoire Mappage à utiliser pour l'alerte au format JSON. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Envoyer une alerte" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Envoyer une alerte" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Envoyer une alerte" :
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
Messages de sortie
L'action "Envoyer une alerte" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
Action effectuée. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
Échec de l'action. Vérifiez la valeur du paramètre Mappage des alertes. |
Envoyer le fichier
Envoyez un fichier pour analyse.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
File Paths |
Obligatoire Chemins d'accès aux fichiers à analyser. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Envoyer un fichier" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Envoyer un fichier" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Envoyer un fichier" :
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
Envoyer le hachage
Envoyez un hachage à Intezer pour analyse.
Cette action s'exécute sur une entité FileHash.
Entrées d'action
Aucun
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Envoyer le hachage" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
Le tableau suivant décrit la logique d'enrichissement des entités associée à l'action "Envoyer le hachage" :
| Champ d'enrichissement | Logique |
|---|---|
family_name |
Renvoie si elle existe dans le résultat JSON |
analysis_id |
Renvoie la valeur si elle existe dans le résultat JSON. |
sub_verdict |
Renvoie la valeur si elle existe dans le résultat JSON. |
analysis_url |
Renvoie la valeur si elle existe dans le résultat JSON. |
verdict |
Renvoie la valeur si elle existe dans le résultat JSON. |
sha256 |
Renvoie la valeur si elle existe dans le résultat JSON. |
is_private |
Renvoie la valeur si elle existe dans le résultat JSON. |
analysis_time |
Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Envoyer le hachage" :
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Envoyer le hachage" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Envoyer un e-mail suspect
Envoyez un e-mail d'hameçonnage suspect au format brut (.msg ou .eml) à Intezer pour qu'il soit traité.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
Email File Path |
Obligatoire Chemin d'accès au fichier d'e-mail. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Envoyer un e-mail suspect" :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Envoyer un e-mail suspect" :
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
Messages de sortie
L'action "Envoyer un e-mail suspect" fournit les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
Action effectuée. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Envoyer un e-mail suspect" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Annuler la définition du fichier d'index
Supprimez des fichiers de l'index.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètres | Description |
|---|---|
SHA256 |
Optional Hachage SHA-256 à supprimer de l'index. Vous pouvez fournir plusieurs fichiers dans une chaîne séparée par des virgules. |
Sorties d'action
Le tableau suivant décrit les types de sortie associés à l'action "Unset Index File" (Supprimer le fichier d'index) :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action "Unset Index File" (Supprimer le fichier d'index) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Supprimer le fichier d'index" :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | Vrai ou faux |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.