Intezer
Questo documento fornisce indicazioni su come integrare Intezer con il modulo SOAR di Google Security Operations.
Versione integrazione: 7.0
Integrare Intezer con Google SecOps
L'integrazione richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
API Root |
Obbligatorio Radice API del servizio Intezer. |
API Key |
Obbligatorio Chiave API del servizio Intezer. |
Verify SSL |
Optional Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server Intezer sia valido. Non selezionato per impostazione predefinita. |
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Detonate File
Utilizza Intezer per analizzare un file.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
File Path |
Obbligatorio I percorsi dei file che vuoi analizzare. Puoi fornire più percorsi in una stringa separata da virgole, ad esempio
|
Related Alert ID |
Optional L'ID avviso relativo al file. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Detonate File:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Detonate File:
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
Messaggi di output
L'azione Detonate File (Fai detonare file) fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
Azione riuscita. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Detonate File:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Detonate Hash
Analizza un hash di file (SHA-1, SHA-256 o MD5) in Intezer Analyze.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
File Hash |
Obbligatorio L'hash dei report che vuoi analizzare. Puoi fornire più hash in una stringa separata da virgole. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Detonate File:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Detonate Hash:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Detonate Hash:
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
Messaggi di output
L'azione Detonate Hash fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
Azione riuscita. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Detonate URL
Analizza un URL sospetto con Intezer.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Url |
Optional L'URL che vuoi analizzare, ad esempio
Puoi fornire più URL in una stringa separata da virgole. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Detonate URL:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Detonate URL:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Detonate URL:
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
Messaggi di output
L'azione Detonate URL fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
Azione riuscita. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Ricevi avviso
Recupera le informazioni sulla classificazione e sulla risposta agli avvisi inseriti utilizzando l'ID avviso.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Alert ID |
Obbligatorio L'ID dell'avviso da interrogare. |
Wait For Completion |
Optional Se selezionata, l'azione attende il completamento dell'analisi. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Ricevi avviso:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Get Alert:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Alert:
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
Messaggi di output
L'azione Ricevi avviso fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
Azione riuscita. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Scarica report file
Ottieni un report di analisi dei file in base a un ID analisi o a un hash del file.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Analysis ID |
Optional Un elenco separato da virgole degli ID di analisi dei file su cui eseguire l'azione. Questo parametro è sensibile alle maiuscole. Se vengono forniti entrambi i parametri ID analisi e Hash file, il valore Hash file ha la priorità. |
File Hash |
Optional Un elenco separato da virgole di hash dei file su cui eseguire l'azione. Questo parametro è sensibile alle maiuscole. Se vengono forniti entrambi i parametri ID analisi e Hash file, il valore Hash file ha la priorità. |
Private Only |
Optional Se selezionata, l'azione mostra solo i report privati (pertinenti solo per gli hash). |
Wait For Completion |
Optional Se selezionata, l'azione attende il completamento dell'analisi prima di restituire il report. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Get Report:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Recupera report:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Report:
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
Messaggi di output
L'azione Get File Report fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
Azione riuscita. |
No file analysis were found for the provided items |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Recuperare il report sugli URL
Ottieni un report di analisi dell'URL in base all'ID analisi dell'URL.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Analysis ID |
Obbligatorio Un elenco separato da virgole degli ID di analisi dei file su cui eseguire l'azione. Questo parametro è sensibile alle maiuscole. L'ID analisi viene restituito quando invii un URL per l'analisi. |
Wait For Completion |
Optional Se selezionata, l'azione attende il completamento dell'analisi. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Recupera report URL:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Get URL Report:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get URL Report:
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
Messaggi di output
L'azione Genera report URL fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
Azione riuscita. |
No url analysis were found for the provided analysis ids
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
File indice
Indica i geni del file nel database dell'organizzazione.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Index As |
Obbligatorio Eseguire l'indicizzazione come attendibile o dannoso. |
SHA256 |
Optional L'hash SHA-256 da indicizzare. Puoi fornire più hash in una stringa separata da virgole. |
Family Name |
Optional Il cognome da utilizzare nell'indice. Questo
parametro è obbligatorio se il valore parametro Index As è
|
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione File indice:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione File indice:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione File indice:
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
Messaggi di output
L'azione File indice fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
L'azione è ancora in corso. |
|
Azione riuscita. |
None of the file hash got indexed |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Dindin
Testa la connettività a Intezer.
Questa azione viene eseguita su tutte le entità.
Input azione
Nessuno.
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Ping:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Invia avviso
Invia un nuovo avviso che includa le informazioni grezze dell'avviso a Intezer per l'elaborazione.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Source |
Obbligatorio L'origine dell'avviso. |
Raw Alert |
Obbligatorio Dati non elaborati degli avvisi in formato JSON. |
Alert Mapping |
Obbligatorio Mappatura da utilizzare per l'avviso in formato JSON. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Invia avviso:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Invia avviso:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Invia avviso:
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
Messaggi di output
L'azione Invia avviso fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
Azione riuscita. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
Azione non riuscita. Controlla il valore del parametro Mappatura avvisi. |
Invia file
Invia un file per l'analisi.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
File Paths |
Obbligatorio I percorsi dei file da analizzare. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Invia file:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Invia file:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Invia file:
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
Invia hash
Invia un hash per l'analisi a Intezer.
Questa azione viene eseguita su un'entità FileHash.
Input azione
Nessuno.
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Invia hash:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
La tabella seguente descrive la logica di arricchimento delle entità associata all'azione Invia hash:
| Campo di arricchimento | Logic |
|---|---|
family_name |
Restituisce il valore se esiste nel risultato JSON |
analysis_id |
Restituisce se esiste nel risultato JSON |
sub_verdict |
Restituisce se esiste nel risultato JSON |
analysis_url |
Restituisce se esiste nel risultato JSON |
verdict |
Restituisce se esiste nel risultato JSON |
sha256 |
Restituisce se esiste nel risultato JSON |
is_private |
Restituisce se esiste nel risultato JSON |
analysis_time |
Restituisce se esiste nel risultato JSON |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Invia hash:
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Invia hash:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Invia email sospetta
Invia un'email di phishing sospetta in formato non elaborato (.msg o .eml) a Intezer
per l'elaborazione.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Email File Path |
Obbligatorio Il percorso del file email. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Invia email sospetta:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Invia email sospetta:
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
Messaggi di output
L'azione Invia email sospetta fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
Azione riuscita. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Invia email sospetta:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Annulla impostazione file indice
Rimuovi i file dall'indice.
Questa azione viene eseguita su tutte le entità.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametri | Descrizione |
|---|---|
SHA256 |
Optional L'hash SHA-256 da rimuovere dall'indice. Puoi fornire più file in una stringa separata da virgole. |
Output dell'azione
La tabella seguente descrive i tipi di output associati all'azione Annulla impostazione file indice:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Annulla impostazione file indice fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Annulla impostazione file indice:
| Nome del risultato dello script | Valore |
|---|---|
| is_success | Vero o falso |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.