Esta página se ha traducido con Cloud Translation API.

Lastline

Versión de integración: 5.0

Casos prácticos

Análisis dinámico de objetos de URL o de archivo.

Configurar la integración de Lastline en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz de la API	Cadena	https://user.lastline.com	Sí	Raíz de la API de Lastline
Nombre de usuario	Cadena	N/A	Sí	Nombre de usuario de la cuenta de Lastline que se va a usar en la integración.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de Lastline que se usará en la integración.
Verificar SSL	Casilla	Marcada	No	Especifica si la integración debe comprobar si la raíz de la API está configurada con el certificado válido.

Acciones

Ping

Descripción

Prueba la conectividad con el servicio Lastline con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Successfully connected to the Lastine service with the provided connection parameters!" ("Se ha conectado correctamente al servicio Lastline con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. Error: {0}".format(exception.stacktrace) Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente: "Successfully connected to the Lastine service with the provided connection parameters!" ("Se ha conectado correctamente al servicio Lastline con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:

Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. Error: {0}".format(exception.stacktrace)

Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)

General

Enviar URL

Descripción

Envía una tarea de análisis para la URL proporcionada.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
URL para el análisis	Cadena	N/A	Sí	Especifique la URL que quiere analizar.
¿Esperar el informe?	Casilla	Marcada	No	Especifica si la acción debe esperar a que se cree el informe. El informe también se puede obtener más adelante con la acción Get Analysis Results una vez que se haya completado el análisis.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

Si la casilla Esperar a que se genere el informe no está marcada:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Si la casilla Esperar a que se genere el informe está marcada:

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Successfully created analysis task for the url {0}".format(url) Si se ha completado correctamente y se ha marcado la casilla para esperar el resultado, después de que se complete la acción (se obtenga el resultado): "Successfully fetched the analysis results for the url {0}".format(url) Si se ha proporcionado una URL incorrecta (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url) Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) La acción debería fallar y detener la ejecución de la guía: Si las credenciales de la API son incorrectas: "Failed to connect to the Lastline service with the provided api key or token. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: "Resultados del análisis de {0}". Columnas de tabla: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Puntuación Malicious_Activity	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente: "Successfully created analysis task for the url {0}".format(url)
Si se ha completado correctamente y se ha marcado la casilla para esperar el resultado, después de que se complete la acción (se obtenga el resultado): "Successfully fetched the analysis results for the url {0}".format(url)
Si se ha proporcionado una URL incorrecta (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url)
Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

La acción debería fallar y detener la ejecución de la guía:

Si las credenciales de la API son incorrectas: "Failed to connect to the Lastline service with the provided api key or token. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: "Resultados del análisis de {0}".

Columnas de tabla:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Puntuación

Malicious_Activity

General

Enviar archivo

Descripción

Envía una tarea de análisis del archivo proporcionado.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Ruta del archivo	Cadena	N/A	Sí	Especifica la ruta completa del archivo que quieres analizar.
¿Esperar el informe?	Casilla	Marcada	No	Especifica si la acción debe esperar a que se cree el informe. El informe también se puede obtener más adelante con la acción Get Analysis Results una vez que se haya completado el análisis.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

Si la casilla Esperar a que se genere el informe no está marcada:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Si la casilla Esperar a que se genere el informe está marcada:

{
    "success": 1,
    "data": {
        "activity_to_mitre_techniques": {
            "Search: Enumerates running processes": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ],
            "Settings: Requiring rights elevation in browser": [
                {
                    "tactics": [
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1112",
                    "name": "Modify Registry"
                }
            ],
            "Autostart: Registering a scheduled task": [
                {
                    "tactics": [
                        {
                            "id": "TA0002",
                            "name": "Execution"
                        },
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1053",
                    "name": "Scheduled Task"
                }
            ],
            "Memory: Tracking process identifiers through mutexes": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1055",
                    "name": "Process Injection"
                }
            ],
            "Autostart: Registering a new service at startup": [
                {
                    "tactics": [
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1050",
                    "name": "New Service"
                }
            ],
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1134",
                    "name": "Access Token Manipulation"
                }
            ],
            "Search: Enumerates loaded modules": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ]
        },
        "submission": "2021-03-14 04:51:20",
        "expires": "2021-03-16 03:30:53",
        "child_tasks": [
            {
                "task_uuid": "226d6278859c00102b480de14f0f1835",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "9894fee9908c001002eed0219fad3d28",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "f543a862fe90001023e3a67cc2769a30",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "05efc0b74077001027ab691bdc7971ae",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "390905dc316200102cd51e8880973a26",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "a3710e5d6a1400102540b44b56011019",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            }
        ],
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 10"
            },
            {
                "relevance": 0.0,
                "report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
                "report_versions": [
                    "ll-static"
                ],
                "description": "Static analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 7"
            }
        ],
        "submission_timestamp": "2021-03-15 06:37:17",
        "task_uuid": "8af81dd5b542001024d946e57d28c99b",
        "score": 39,
        "malicious_activity": [
            "Autostart: Registering a new service at startup",
            "Autostart: Registering a scheduled task",
            "Memory: Tracking process identifiers through mutexes",
            "Search: Enumerates loaded modules",
            "Search: Enumerates running processes",
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
            "Settings: Requiring rights elevation in browser",
            "Steal: Targeting Windows Saved Credential"
        ],
        "analysis_subject": {
            "sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
            "sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "mime_type": "application/x-pe-app-32bit-i386",
            "md5": "a6d2b2f3ff369137748ff40403606862"
        },
        "last_submission_timestamp": "2021-03-15 06:37:17"
    }
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Successfully created analysis task for the file {0}".format(file) Si se ha completado correctamente y se ha marcado la casilla para esperar el resultado, una vez que se haya completado la acción (se obtienen los resultados): "Se han obtenido correctamente los resultados del análisis del archivo {0}".format(file) Si se ha proporcionado una ruta de archivo incorrecta (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file) Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) La acción debería fallar y detener la ejecución de la guía: Si las credenciales de la API son incorrectas: "Failed to connect to the Lastline service with the provided api key or token. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: "Resultados del análisis de {0}". Columnas de tabla: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Puntuación Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	General
Archivos adjuntos	fileName: lastline_file_analisys_full_report.json fileContent: respuesta JSON de la solicitud 5	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente: "Successfully created analysis task for the file {0}".format(file)
Si se ha completado correctamente y se ha marcado la casilla para esperar el resultado, una vez que se haya completado la acción (se obtienen los resultados): "Se han obtenido correctamente los resultados del análisis del archivo {0}".format(file)
Si se ha proporcionado una ruta de archivo incorrecta (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file)
Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

La acción debería fallar y detener la ejecución de la guía:

Si las credenciales de la API son incorrectas: "Failed to connect to the Lastline service with the provided api key or token. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: "Resultados del análisis de {0}".

Columnas de tabla:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Puntuación

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

General

Archivos adjuntos

fileName: lastline_file_analisys_full_report.json

fileContent: respuesta JSON de la solicitud 5

General

Historial de análisis de búsquedas

Descripción

Busca en el historial de tareas de análisis completadas de Lastline. Para enviar la URL o el valor hash del archivo, se puede proporcionar el formato md5 o sha1.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del envío	Cadena	N/A	No	Nombre del envío que se va a buscar. Puede ser una URL o un hash de archivo en formato MD5 o SHA1.
Tipo de envío	DDL	Sin especificar	No	Si lo desea, puede especificar un tipo de envío para buscar (URL o FileHash).
Número máximo de horas hacia atrás	Entero	24	No	Periodo durante el que se buscarán las tareas de análisis completadas.
Buscar en los últimos x análisis	Entero	100	Sí	Busca un informe en los últimos análisis ejecutados en Any.Run.
Saltar los primeros x escaneos	Entero	0	No	Omite las primeras x exploraciones devueltas por la API Any.Run.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "success": 1,
    "data": [
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:37:18",
            "analysis_history_id": 711622656,
            "title": null,
            "score": 39
        },
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:28:24",
            "analysis_history_id": 3856791660,
            "title": null,
            "score": 39
        },

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de la guía: Si se han encontrado informes y la operación se ha completado correctamente: "Found Lastline completed analysis tasks for the provided search parameters" (Se han encontrado tareas de análisis completadas de Lastline para los parámetros de búsqueda proporcionados). Si no se encuentran informes: "No se han encontrado informes de Any.Run". La acción debería fallar y detener la ejecución de la guía: Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: Resultados de búsqueda Columnas de tabla: UUID de tarea md5 sha1 SHA256 URL Estado Enviado por (nombre de usuario) Enviado a las	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de la guía:

Si se han encontrado informes y la operación se ha completado correctamente: "Found Lastline completed analysis tasks for the provided search parameters" (Se han encontrado tareas de análisis completadas de Lastline para los parámetros de búsqueda proporcionados).
Si no se encuentran informes: "No se han encontrado informes de Any.Run".

La acción debería fallar y detener la ejecución de la guía:

Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: Resultados de búsqueda

Columnas de tabla:

UUID de tarea

md5

sha1

SHA256

URL

Estado

Enviado por (nombre de usuario)

Enviado a las

General

Obtener resultados de análisis

Descripción

Enriquece las entidades FileHash o URL de Google SecOps con los resultados de las tareas de análisis completadas anteriormente.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	Entero	70	Sí	Marca la entidad como sospechosa si el valor de la puntuación de la entidad supera el umbral especificado.
Buscar en los últimos x análisis	Entero	25	Sí	Busca el informe de la entidad proporcionada en los últimos análisis ejecutados en Lastline.
¿Crear estadística?	Casilla	Desmarcada	No	Especifica si quieres crear estadísticas basadas en los datos del informe.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Hash de archivo (MD5, SHA-1 y SHA-256)
URL

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Enriquecimiento de entidades

Opción 1. URL

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
IsSuspicous	La entidad debe marcarse como sospechosa si se alcanza un umbral específico.
Lastline.Submission_Timestamp	Siempre
Lastline.Latest_Submission_Timestamp	Siempre
Lastline.Results_Expiry_Timestamp	Siempre
Lastline.Analysis_Task_UUID	Siempre
Lastline.Score	Siempre
Lastline.Malicious_Activity	Siempre

Opción 2: Archivo

Nombre del campo de enriquecimiento	Lógica: cuándo aplicar
IsSuspicous	La entidad debe marcarse como sospechosa si se alcanza un umbral específico.
Lastline.Submission_Timestamp	Siempre
Lastline.Latest_Submission_Timestamp	Siempre
Lastline.Results_Expiry_Timestamp	Siempre
Lastline.Analysis_Task_UUID	Siempre
Lastline.Score	Siempre
Lastline.Malicious_Activity	Siempre
Lastline.md5	Siempre
Lastline.sha1	Siempre
Lastline.sha256	Siempre
Lastline.mime\_type	Siempre

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente y se han obtenido los resultados: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value) Si se ha proporcionado una URL o un archivo incorrectos (is_success=false): "Failed to fetch the analysis results for the {0}".format(url_or_file) Si no se ha encontrado nada (is_success=false): "No se han encontrado tareas de análisis completadas anteriormente en función de los parámetros proporcionados para la entidad {0}".format(url_or_hash) Si se ha proporcionado una entidad no admitida a la acción (is_success=false): "El tipo de entidad {0} no es compatible con la acción. Solo se admiten URLs de Filehash. Se omitirá este tipo de entidad".format(entity.type) Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) La acción debería fallar y detener la ejecución de la guía: Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace) Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)	General
Tabla (para URL)	Nombre de la tabla: "Resultados del análisis de {0}". Columnas de tabla: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Puntuación Malicious_Activity	General
Tabla (para FileHash)	Nombre de la tabla: "Resultados del análisis de {0}". Columnas de tabla: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Puntuación Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se han obtenido los resultados: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value)
Si se ha proporcionado una URL o un archivo incorrectos (is_success=false): "Failed to fetch the analysis results for the {0}".format(url_or_file)
Si no se ha encontrado nada (is_success=false): "No se han encontrado tareas de análisis completadas anteriormente en función de los parámetros proporcionados para la entidad {0}".format(url_or_hash)
Si se ha proporcionado una entidad no admitida a la acción (is_success=false): "El tipo de entidad {0} no es compatible con la acción. Solo se admiten URLs de Filehash. Se omitirá este tipo de entidad".format(entity.type)
Si se ha producido otro error no crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

La acción debería fallar y detener la ejecución de la guía:

Si las credenciales de la cuenta son incorrectas: "No se ha podido conectar con el servicio Lastline con la cuenta proporcionada. Comprueba tu configuración. El error es {0}".format(exception.stacktrace)
Si se produce otro error crítico: "No se ha podido conectar con el servicio Lastline. Error: {0}".format(exception.stacktrace)

General

Tabla (para URL)

Nombre de la tabla: "Resultados del análisis de {0}".

Columnas de tabla:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Puntuación

Malicious_Activity

General

Tabla (para FileHash)

Nombre de la tabla: "Resultados del análisis de {0}".

Columnas de tabla:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Puntuación

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.