Intezer
이 문서에서는 Intezer를 Google Security Operations의 SOAR 모듈과 통합하는 방법을 안내합니다.
통합 버전: 7.0
Google SecOps와 Intezer 통합
통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Root |
필수 Intezer 서비스의 API 루트입니다. |
API Key |
필수 Intezer 서비스의 API 키입니다. |
Verify SSL |
선택사항 선택하면 Google SecOps에서 Intezer 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
파일 폭파
Intezer를 사용하여 파일을 분석합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
File Path |
필수 분석하려는 파일의 경로입니다.
|
Related Alert ID |
선택사항 파일과 관련된 알림 ID입니다. |
작업 출력
다음 표에서는 파일 폭파 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 파일 폭파 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"analysis_id":"6cd3347b-f5b2-4c98-a0bc-039a6386dc34",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"/tmp/example.eml"
}
]
출력 메시지
파일 폭파 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the analysis ids for the following file
paths: PATH in Intezer |
작업이 완료되었습니다. |
Action wasn't able to fetch the analysis ids for the following
file paths: PATH in Intezer
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 파일 폭파 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
해시 폭파
Intezer Analyze에서 파일 해시 (SHA-1, SHA-256 또는 MD5)를 분석합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
File Hash |
필수 분석하려는 보고서의 해시입니다. 쉼표로 구분된 문자열로 여러 해시를 제공할 수 있습니다. |
작업 출력
다음 표에서는 파일 폭파 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 해시 폭파 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 해시 폭파 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"analysis_id":"7bbbec69-5764-479e-bb1c-c3686e992fbb",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"6be971118951786bc7be55ef5656149504008a3e"
},
{
"analysis_id":"33ee6661-7435-4e0a-a606-0b7d1a644859",
"analysis_status":"created",
"analysis_type":"file",
"identifier":"5b97c39d87ad627c53023bfebb0ea1b5227c3f4e86e3bf06b23f3e4b0d6726e2"
}
]
출력 메시지
해시 폭파 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the analysis ids for the following hashes:
HASH_LIST |
작업이 완료되었습니다. |
Action wasn't able to fetch the analysis ids for the following
hashes: HASH_LIST |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
URL 폭파
Intezer로 의심스러운 URL을 분석합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Url |
선택사항 분석하려는 URL입니다(예: 쉼표로 구분된 문자열로 여러 URL을 제공할 수 있습니다. |
작업 출력
다음 표에서는 URL 폭파 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 URL 폭파 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 URL 폭파 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"analysis_id":"d99b7317-02a3-4282-81e9-d27528a575c0",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"www.example.com"
},
{
"analysis_id":"ee8d2e7e-950b-43f2-b0b7-cbfc3c20dfc5",
"analysis_status":"created",
"analysis_type":"url",
"identifier":"https://www.example.com/"
}
]
출력 메시지
URL 폭파 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the analysis ids for the following urls:
URL_LIST in Intezer |
작업이 완료되었습니다. |
Action wasn't able to fetch the analysis ids for the following
urls: URL_LIST in Intezer
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
알림 가져오기
알림 ID를 사용하여 수집된 알림 트리아지 및 응답 정보를 가져옵니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 쿼리할 알림 ID입니다. |
Wait For Completion |
선택사항 선택하면 작업은 분석이 완료될 때까지 기다립니다. |
작업 출력
다음 표에서는 Get Alert 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 '알림 가져오기' 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 Get Alert 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"result":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"source":"cs",
"sender":"cs",
"raw_alert":{
"cid":"27fe4e476ca3490b8476b2b6650e5a74",
"alert_type":"identify",
"created_timestamp":"2023-11-09T00:03:10.116556016Z",
"detection_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"evidences":[
{
"evidence_type":"domain",
"evidence_value":"domain"
}
],
"device":{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"cid":"67fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags":"0",
"agent_local_time":"2023-10-18T23:01:49.681Z",
"agent_version":"7.03.15805.0",
"bios_manufacturer":"Example Technologies LTD",
"bios_version":"6.00",
"config_id_base":"65994753",
"config_id_build":"15805",
"config_id_platform":"8",
"external_ip":"35.246.203.0",
"hostname":"example-hostname",
"first_seen":"2023-06-14T10:50:40Z",
"last_seen":"2023-11-09T00:01:56Z",
"local_ip":"198.51.100.1",
"mac_address":"02-42-48-a3-7f-29",
"major_version":"3",
"minor_version":"10",
"os_version":"CentOS 7.9",
"platform_id":"3",
"platform_name":"Linux",
"product_type_desc":"Server",
"status":"normal",
"system_manufacturer":"Example, Inc.",
"system_product_name":"Example Virtual Platform",
"groups":[
"9489d65c343244169627d4a728389039"
],
"modified_timestamp":"2023-11-09T00:02:06Z"
},
"behaviors":[
{
"device_id":"6a1c5ef609ac479ba77f8ca5879c82fc",
"timestamp":"2023-11-09T00:03:02Z",
"template_instance_id":"1359",
"behavior_id":"10304",
"filename":"bash",
"filepath":"/usr/bin/bash",
"alleged_filetype":"",
"cmdline":"bash crowdstrike_test_high",
"scenario":"suspicious_activity",
"objective":"Falcon Detection Method",
"tactic":"Falcon Overwatch",
"tactic_id":"CSTA0006",
"technique":"Malicious Activity",
"technique_id":"CST0002",
"display_name":"TestTriggerHigh",
"description":"A high level detection was triggered on this process for testing purposes.",
"severity":70,
"confidence":100,
"ioc_type":"",
"ioc_value":"",
"ioc_source":"",
"ioc_description":"",
"user_name":"root",
"user_id":"0",
"control_graph_id":"ctg:6a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"triggering_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105",
"sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_details":{
"parent_sha256":"00f8cbc5b3a6640af5ac18d01bc5a666f6f583b1379b9491e0bcc28ba78c92e9",
"parent_md5":"cfd65bed18a1fae631091c3a4c4dd533",
"parent_cmdline":"/bin/sh -c ./alert.sh",
"parent_process_graph_id":"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565400489930"
},
"pattern_disposition":0,
"pattern_disposition_details":{
"indicator":false,
"detect":false,
"inddet_mask":false,
"sensor_only":false,
"rooting":false,
"kill_process":false,
"kill_subprocess":false,
"quarantine_machine":false,
"quarantine_file":false,
"policy_disabled":false,
"kill_parent":false,
"operation_blocked":false,
"process_blocked":false,
"registry_operation_blocked":false,
"critical_process_disabled":false,
"bootup_safeguard_enabled":false,
"fs_operation_blocked":false,
"handle_operation_downgraded":false,
"kill_action_failed":false,
"blocking_unsupported_or_disabled":false,
"suspend_process":false,
"suspend_parent":false
}
}
],
"email_sent":false,
"first_behavior":"2023-11-09T00:03:02Z",
"last_behavior":"2023-11-09T00:03:02Z",
"max_confidence":100,
"max_severity":70,
"max_severity_displayname":"High",
"show_in_ui":true,
"status":"new",
"hostinfo":{
"domain":""
},
"seconds_to_triaged":0,
"seconds_to_resolved":0,
"behaviors_processed":[
"pid:6a1c5ef609ac479ba77f8ca5879c82fc:46565404531105:10304"
],
"date_updated":"2023-11-12T00:06:14Z"
},
"alert_sub_types":[
],
"alert":{
"alert_id":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"alert_url":null,
"creation_time":"2023-11-12T00:06:14",
"alert_title":"ldt:91a1c5ef609ac479ba77f8ca5879c82fc:958686237274",
"device":{
},
"creation_time_display":"12 Nov 23 | 00:06 UTC"
},
"triage_result":{
"alert_verdict":"audited",
"risk_category":"audited",
"risk_level":"informational",
"risk_score":60,
"risk_level_display":"Informational",
"risk_category_display":"Audited",
"alert_verdict_display":"Audited"
},
"response":{
"status":"no_action_needed",
"automated_response_actions":[
],
"user_recommended_actions":[
],
"user_recommended_actions_display":"",
"status_display":"No Action Needed"
},
"note":"\ud83d\udfe6 Intezer Automated Triage\n===================================\nAudited - No Action Needed\n===================================\n\n- Title: ldt:alert-ID\n- Source: CrowdStrike\n- Creation time: 12 Nov 23 | 00:06 UTC\n\nView alert: \ud83d\udc49 https://analyze.intezer.com/alerts/ldt:alert_ID",
"source_display":"CrowdStrike",
"source_type":"edr",
"intezer_alert_url":"https://analyze.intezer.com/alerts/ldt:alert-ID"
},
"status":"succeeded"
}
출력 메시지
알림 가져오기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the alert details for the following alert
id: ALERT_ID in Intezer
|
작업이 완료되었습니다. |
Action wasn't able to fetch the alert detail for the following
alert: ERROR_REASON in Intezer
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
파일 보고서 가져오기
분석 ID 또는 파일 해시에 기반한 파일 분석 보고서를 가져옵니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Analysis ID |
선택사항 작업을 실행할 파일 분석 ID의 쉼표로 구분된 목록입니다. 이 매개변수는 대소문자를 구분합니다. 분석 ID 및 파일 해시 매개변수가 모두 제공된 경우 파일 해시 값이 우선합니다. |
File Hash |
선택사항 작업을 실행할 파일 해시의 쉼표로 구분된 목록입니다. 이 매개변수는 대소문자를 구분합니다. 분석 ID 및 파일 해시 매개변수가 모두 제공된 경우 파일 해시 값이 우선합니다. |
Private Only |
선택사항 선택하면 작업에서 비공개 보고서만 표시합니다(해시에만 관련됨). |
Wait For Completion |
선택사항 선택하면 작업은 분석이 완료될 때까지 기다린 후 보고서를 반환합니다. |
작업 출력
다음 표에서는 보고서 가져오기 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 보고서 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 보고서 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_type":"file",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"analysis_time":"Fri, 16 Feb 2024 08:16:20 GMT",
"analysis_url":"https://analyze.intezer.com/analyses/analysis-id",
"file_name":"file_name",
"is_private":true,
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"sub_verdict":"inconclusive",
"tags":[
"non_executable"
],
"verdict":"unknown"
},
"iocs":{
"files":[
{
"analysis_id":"fdc18702-e308-43e5-9476-554501fb2009",
"family":null,
"path":"file_name",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"type":"main_file",
"verdict":"unknown"
}
],
"network":[
{
"classification":"suspicious",
"ioc":"198.51.100.161",
"source":[
"Network communication"
],
"type":"ip"
}
]
},
"ttps":[
{
"data":[
{
"cid":2793,
"pid":1996,
"type":"call"
},
{
"cid":5365,
"pid":1340,
"type":"call"
},
{
"cid":5366,
"pid":1340,
"type":"call"
},
{
"cid":5373,
"pid":1340,
"type":"call"
},
{
"cid":5375,
"pid":1340,
"type":"call"
}
],
"description":"Guard pages use detected - possible anti-debugging.",
"name":"antidebug_guardpages",
"severity":2,
"ttps":[
{
"name":"Native API",
"ttp":"Execution::Native API [T1106]"
}
]
}
],
"metadata":{
"file_type":"non executable",
"indicators":[
{
"classification":"informative",
"name":"non_executable"
}
],
"md5":"a01073d047bd9bb151b8509570ea44d6",
"sha1":"610742629fe7d7188042c8c427fc68723d53cd42",
"sha256":"9baf8bb61b9ab2e28d9a2599bc8f524489845782097464edd20ad7d0353c3b6d",
"size_in_bytes":21,
"ssdeep":"3:H0shRFCZ:HlS"
},
"root-code-reuse":null
}
}
]
출력 메시지
파일 보고서 가져오기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the file analysis for the following items:
ANALYSIS_ID_OR_HASH_LIST in
Intezer |
작업이 완료되었습니다. |
No file analysis were found for the provided items |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
URL 보고서 가져오기
URL 분석 ID를 기반으로 URL 분석 보고서를 가져옵니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Analysis ID |
필수 작업을 실행할 파일 분석 ID의 쉼표로 구분된 목록입니다. 이 매개변수는 대소문자를 구분합니다. 분석 ID는 분석을 위해 URL을 제출할 때 반환됩니다. |
Wait For Completion |
선택사항 선택하면 작업은 분석이 완료될 때까지 기다립니다. |
작업 출력
다음 표에서는 URL 가져오기 보고서 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 URL 보고서 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 URL 보고서 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"analysis_id":"Aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_type":"url",
"analysis_status":"succeeded",
"analysis_content":{
"analysis":{
"analysis_id":"aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"analysis_time":"Wed, 07 Feb 2024 06:16:42 GMT",
"analysis_url":"https://analyze.intezer.com/url/aef96e22-e0b1-45de-b7fa-2b9596ecb922",
"api_void_risk_score":0,
"certificate":{
"issuer":"Example Secure Certificate Authority",
"protocol":"TLS 1.3",
"subject_name":"analyze.intezer.com",
"valid_from":"2023-07-25 19:50:53.000000",
"valid_to":"2024-08-25 19:50:53.000000"
},
"domain_info":{
"creation_date":"2015-08-28 04:24:45.000000",
"domain_name":"intezer.com",
"registrar":"Example, LLC"
},
"indicators":[
{
"classification":"informative",
"indicator_info":"text/html",
"indicator_type":"content_type",
"text":"Content type: text/html"
},
{
"classification":"informative",
"indicator_type":"valid_https",
"text":"Valid https"
},
{
"classification":"informative",
"indicator_type":"url_accessible",
"text":"URL is accessible"
},
{
"classification":"suspicious",
"indicator_type":"empty_page_title",
"text":"Has empty page title"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_assigned",
"text":"Assigned IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"domain_ipv4_valid",
"text":"Valid IPv4 domain"
},
{
"classification":"informative",
"indicator_type":"uses_cloudflare",
"text":"Uses Cloudflare"
}
],
"ip":"203.0.113.201",
"redirect_chain":[
{
"response_status":200,
"url":"https://example.com/"
}
],
"scanned_url":"https://example.com/",
"submitted_url":"https://example.com",
"summary":{
"description":"No suspicious activity was detected for this URL",
"main_connection_gene_count":0,
"main_connection_gene_percentage":0.0,
"title":"No Threats",
"verdict_name":"no_threats",
"verdict_type":"no_threats"
}
}
}
}
]
출력 메시지
URL 가져오기 보고서 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully fetched the url analysis for the following analysis
ids: ANALYSIS_ID in Intezer
|
작업이 완료되었습니다. |
No url analysis were found for the provided analysis ids
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
색인 파일
파일 유전자를 조직 데이터베이스에 색인화합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Index As |
필수 신뢰할 수 있는 것으로 또는 악성으로 색인을 생성합니다. |
SHA256 |
선택사항 색인을 생성할 SHA-256 해시입니다. 쉼표로 구분된 문자열로 여러 해시를 제공할 수 있습니다. |
Family Name |
선택사항 색인에 사용할 성입니다. 색인 기준 매개변수 값이 |
작업 출력
다음 표에서는 색인 파일 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 색인 파일 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 색인 파일 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"index_id":"091ed5aa-a94f-48d9-9b90-89ff434947b2",
"status":"succeeded"
}
]
출력 메시지
색인 파일 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Waiting for results for the following hashes:
HASH_LIST |
작업이 아직 진행 중입니다. |
|
작업이 완료되었습니다. |
None of the file hash got indexed |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
핑
Intezer에 대한 연결을 테스트합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
없음
작업 출력
다음 표에서는 Ping 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
알림 제출
처리할 원시 알림 정보가 포함된 새 알림을 Intezer에 제출합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Source |
필수 알림의 소스입니다. |
Raw Alert |
필수 JSON 형식의 알림 원시 데이터입니다. |
Alert Mapping |
필수 JSON 형식의 알림에 사용할 매핑입니다. |
작업 출력
다음 표에서는 알림 제출 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 '알림 제출' 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 '알림 제출' 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"alert_id":"ccdt:2a1c5ef609ac479ba77f8ca5879c82fc:958686237274"
}
출력 메시지
'알림 제출' 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully submitted details about the following alert:
ALERT_ID |
작업이 완료되었습니다. |
Error executing action "Submit Alert". Reason: Invalid parameter
"Alert Mapping". The JSON structure is invalid. Wrong value provided:
ALERT_ID |
작업이 실패했습니다. Alert Mapping 매개변수 값을 확인합니다. |
파일 제출
분석을 위해 파일을 제출합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
File Paths |
필수 분석할 파일의 경로입니다. |
작업 출력
다음 표에서는 파일 제출 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 파일 제출 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
JSON 결과
다음 예에서는 파일 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"C:\\\\Users\\\\User1\\\\Downloads\\test_file.exe":
{
"4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
}
}
}
해시 제출
분석을 위해 Intezer에 해시를 제출합니다.
이 작업은 FileHash 항목에서 실행됩니다.
작업 입력
없음
작업 출력
다음 표에서는 해시 제출 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
항목 보강
다음 표에서는 해시 제출 작업과 관련된 엔티티 보강 로직을 설명합니다.
| 보강 필드 | 논리 |
|---|---|
family_name |
JSON 결과에 존재하는 경우에 반환 |
analysis_id |
JSON 결과에 존재하는 경우에 반환 |
sub_verdict |
JSON 결과에 존재하는 경우에 반환 |
analysis_url |
JSON 결과에 존재하는 경우에 반환 |
verdict |
JSON 결과에 존재하는 경우에 반환 |
sha256 |
JSON 결과에 존재하는 경우에 반환 |
is_private |
JSON 결과에 존재하는 경우에 반환 |
analysis_time |
JSON 결과에 존재하는 경우에 반환 |
JSON 결과
다음 예에서는 해시 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[{
"EntityResult":
{
"family_name": "Example",
"analysis_id": "548e6b8b-20b1-445c-9922-af6b52a8abc3",
"sub_verdict": "known_malicious",
"analysis_url": "https://analyze.intezer.com/#/analyses/analysis-ID",
"verdict": "malicious",
"sha256": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356",
"is_private": true,
"analysis_time": "Thu, 14 Feb 2019 08:58:27 GMT"
},
"Entity": "4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356"
}]
스크립트 결과
다음 표에서는 해시 제출 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
의심스러운 이메일 제출
의심스러운 피싱 이메일을 원시 형식 (.msg 또는 .eml)으로 Intezer에 제출하여 처리합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
Email File Path |
필수 이메일 파일의 경로입니다. |
작업 출력
다음 표에서는 의심스러운 이메일 제출 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 의심스러운 이메일 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"alert_id":"3385f4f9aec655dfac9d59d54e8ff1f12343501ebc62bf1a91ad1954bb6ae0b9"
}
출력 메시지
의심스러운 이메일 제출 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully submitted suspicious email
EMAIL_FILE_PATH in Intezer
|
작업이 완료되었습니다. |
Error executing action "Intezer". Reason: No such file or
directory: EMAIL_FILE_PATH
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 의심스러운 이메일 제출 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
색인 파일 설정 해제
색인에서 파일을 삭제합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | 설명 |
|---|---|
SHA256 |
선택사항 색인에서 삭제할 SHA-256 해시입니다. 쉼표로 구분된 문자열로 여러 파일을 제공할 수 있습니다. |
작업 출력
다음 표에서는 Unset Index File 작업과 관련된 출력 유형을 설명합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
색인 파일 설정 해제 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Action wasn't able to unset file index for the following hashes:
HASH_LIST |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 인덱스 파일 설정 해제 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.