Lastline
Integrationsversion: 5.0
Anwendungsbereiche
Dynamische Analyse von URL- oder Datei-Objekten.
Lastline-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://user.lastline.com | Ja | Lastline API-Stamm |
| Nutzername | String | – | Ja | Der Nutzername des Lastline-Kontos, der in der Integration verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort für das Lastline-Konto, das für die Integration verwendet werden soll. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Integration prüfen soll, ob der API-Stamm mit dem gültigen Zertifikat konfiguriert ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zum Lastline-Dienst mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
URL senden
Beschreibung
Analysieren Sie die angegebene URL.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| URL für die Analyse | String | – | Ja | Geben Sie die zu analysierende URL an. |
| Auf den Bericht warten? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Aktion auf das Erstellen des Berichts warten soll. Der Bericht kann auch später mit der Aktion „Analyseergebnisse abrufen“ abgerufen werden, sobald der Scan abgeschlossen ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Wenn das Kästchen „Auf Bericht warten“ aktiviert ist:
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
| Tabelle | Tabellenname: „{0} Analysis Results“ (Analyseergebnisse für {0}). Tabellenspalten: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punktzahl Malicious_Activity |
Allgemein |
Datei einreichen
Beschreibung
Senden Sie die Analyseaufgabe für die bereitgestellte Datei.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfad | String | – | Ja | Geben Sie den vollständigen Pfad zur zu analysierenden Datei an. |
| Auf den Bericht warten? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Aktion auf das Erstellen des Berichts warten soll. Der Bericht kann auch später mit der Aktion „Analyseergebnisse abrufen“ abgerufen werden, sobald der Scan abgeschlossen ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
Wenn das Kästchen „Auf Bericht warten“ nicht aktiviert ist:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Wenn das Kästchen „Auf Bericht warten“ aktiviert ist:
{
"success": 1,
"data": {
"activity_to_mitre_techniques": {
"Search: Enumerates running processes": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
],
"Settings: Requiring rights elevation in browser": [
{
"tactics": [
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1112",
"name": "Modify Registry"
}
],
"Autostart: Registering a scheduled task": [
{
"tactics": [
{
"id": "TA0002",
"name": "Execution"
},
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1053",
"name": "Scheduled Task"
}
],
"Memory: Tracking process identifiers through mutexes": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1055",
"name": "Process Injection"
}
],
"Autostart: Registering a new service at startup": [
{
"tactics": [
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1050",
"name": "New Service"
}
],
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1134",
"name": "Access Token Manipulation"
}
],
"Search: Enumerates loaded modules": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
]
},
"submission": "2021-03-14 04:51:20",
"expires": "2021-03-16 03:30:53",
"child_tasks": [
{
"task_uuid": "226d6278859c00102b480de14f0f1835",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "9894fee9908c001002eed0219fad3d28",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "f543a862fe90001023e3a67cc2769a30",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "05efc0b74077001027ab691bdc7971ae",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "390905dc316200102cd51e8880973a26",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "a3710e5d6a1400102540b44b56011019",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
}
],
"reports": [
{
"relevance": 1.0,
"report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 10"
},
{
"relevance": 0.0,
"report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
"report_versions": [
"ll-static"
],
"description": "Static analysis"
},
{
"relevance": 1.0,
"report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 7"
}
],
"submission_timestamp": "2021-03-15 06:37:17",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"score": 39,
"malicious_activity": [
"Autostart: Registering a new service at startup",
"Autostart: Registering a scheduled task",
"Memory: Tracking process identifiers through mutexes",
"Search: Enumerates loaded modules",
"Search: Enumerates running processes",
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
"Settings: Requiring rights elevation in browser",
"Steal: Targeting Windows Saved Credential"
],
"analysis_subject": {
"sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
"sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"mime_type": "application/x-pe-app-32bit-i386",
"md5": "a6d2b2f3ff369137748ff40403606862"
},
"last_submission_timestamp": "2021-03-15 06:37:17"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
| Tabelle | Tabellenname: „{0} Analysis Results“ (Analyseergebnisse für {0}). Tabellenspalten: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punktzahl Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Allgemein |
| Anhänge | fileName:lastline_file_analisys_full_report.json fileContent:JSON-Antwort aus Anfrage 5 |
Allgemein |
Verlauf der Suchanalyse
Beschreibung
Nach dem Verlauf der von Lastline abgeschlossenen Analyseaufgaben suchen Für die Einreichung kann entweder eine URL oder ein Dateihash im Format MD5 oder SHA1 angegeben werden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der Einreichung | String | – | Nein | Name des Beitrags, nach dem gesucht werden soll. Kann entweder eine URL oder ein Dateihash im Format MD5 und SHA1 sein. |
| Einreichungstyp | DDL | Nicht angegeben | Nein | Geben Sie optional einen Einreichungstyp an, nach dem gesucht werden soll: URL oder FileHash. |
| Maximale Stunden zurück | Ganzzahl | 24 | Nein | Zeitrahmen, in dem nach abgeschlossenen Analyseaufgaben gesucht werden soll |
| In den letzten x Scans suchen | Ganzzahl | 100 | Ja | Suchen Sie nach Berichten in den letzten x Analysen, die in Any.Run ausgeführt wurden. |
| Erste x Scans überspringen | Ganzzahl | 0 | Nein | Die ersten „x“ Scans, die von der Any.Run API zurückgegeben werden, überspringen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"success": 1,
"data": [
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:37:18",
"analysis_history_id": 711622656,
"title": null,
"score": 39
},
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:28:24",
"analysis_history_id": 3856791660,
"title": null,
"score": 39
},
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden:
Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
| Tabelle | Tabellenname:Suchergebnisse Tabellenspalten: Task-UUID md5 sha1 SHA-256 URL Status Eingereicht von (Nutzername) Eingereicht am |
Allgemein |
Analyseergebnisse abrufen
Beschreibung
Reichern Sie Google SecOps-FileHash- oder URL-Entitäten mit den Ergebnissen der zuvor abgeschlossenen Analyseaufgaben an.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Grenzwert | Ganzzahl | 70 | Ja | Markiert die Einheit als verdächtig, wenn der Wert für die Einheit über dem angegebenen Grenzwert liegt. |
| In den letzten x Scans suchen | Ganzzahl | 25 | Ja | Sucht nach Berichten für die angegebene Entität in den letzten x Analysen, die in Lastline ausgeführt wurden. |
| Insight erstellen? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob auf Grundlage der Berichtsdaten ein Einblick erstellt werden soll. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Datei-Hash (MD5, SHA-1, SHA-256)
- URL
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Entitätsanreicherung
Option 1: URL
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| IsSuspicous | Die Entität sollte als verdächtig markiert werden, wenn ein bestimmter Grenzwert erreicht wird. |
| Lastline.Submission_Timestamp | Immer |
| Lastline.Latest_Submission_Timestamp | Immer |
| Lastline.Results_Expiry_Timestamp | Immer |
| Lastline.Analysis_Task_UUID | Immer |
| Lastline.Score | Immer |
| Lastline.Malicious_Activity | Immer |
Option 2: Datei
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| IsSuspicous | Die Entität sollte als verdächtig markiert werden, wenn ein bestimmter Grenzwert erreicht wird. |
| Lastline.Submission_Timestamp | Immer |
| Lastline.Latest_Submission_Timestamp | Immer |
| Lastline.Results_Expiry_Timestamp | Immer |
| Lastline.Analysis_Task_UUID | Immer |
| Lastline.Score | Immer |
| Lastline.Malicious_Activity | Immer |
| Lastline.md5 | Immer |
| Lastline.sha1 | Immer |
| Lastline.sha256 | Immer |
| Lastline.mime\_type | Immer |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
| Tabelle (für URL) | Tabellenname: „{0} Analysis Results“ (Analyseergebnisse für {0}). Tabellenspalten: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punktzahl Malicious_Activity |
Allgemein |
| Tabelle (für FileHash) | Tabellenname: „{0} Analysis Results“ (Analyseergebnisse für {0}). Tabellenspalten: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punktzahl Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten