Lastline
Version de l'intégration : 5.0
Cas d'utilisation
Analyse dynamique des objets URL ou fichier.
Configurer l'intégration Lastline dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://user.lastline.com | Oui | Racine de l'API Lastline |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Lastline à utiliser dans l'intégration. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Lastline à utiliser dans l'intégration. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Indiquez si l'intégration doit vérifier si la racine de l'API est configurée avec le certificat valide. |
Actions
Ping
Description
Testez la connectivité au service Lastline avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Envoyer une URL
Description
Envoyez une tâche d'analyse pour l'URL fournie.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| URL pour l'analyse | Chaîne | N/A | Oui | Spécifiez l'URL à analyser. |
| Attendre le rapport ? | Case à cocher | Cochée | Non | Indiquez si l'action doit attendre la création du rapport. Vous pouvez également obtenir le rapport ultérieurement avec l'action "Obtenir les résultats de l'analyse" une fois l'analyse terminée. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
Si la case "Attendre le rapport" n'est pas cochée :
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Si la case "Attendre le rapport" est cochée :
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
| Table | Nom du tableau : "{0} Résultats de l'analyse". Colonnes du tableau : Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Score Malicious_Activity |
Général |
Envoyer le fichier
Description
Envoyez la tâche d'analyse pour le fichier fourni.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemin d'accès au fichier | Chaîne | N/A | Oui | Spécifiez le chemin d'accès complet au fichier à analyser. |
| Attendre le rapport ? | Case à cocher | Cochée | Non | Indiquez si l'action doit attendre la création du rapport. Vous pouvez également obtenir le rapport ultérieurement avec l'action "Obtenir les résultats de l'analyse" une fois l'analyse terminée. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
Si la case "Attendre le rapport" n'est pas cochée :
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Si la case "Attendre le rapport" est cochée :
{
"success": 1,
"data": {
"activity_to_mitre_techniques": {
"Search: Enumerates running processes": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
],
"Settings: Requiring rights elevation in browser": [
{
"tactics": [
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1112",
"name": "Modify Registry"
}
],
"Autostart: Registering a scheduled task": [
{
"tactics": [
{
"id": "TA0002",
"name": "Execution"
},
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1053",
"name": "Scheduled Task"
}
],
"Memory: Tracking process identifiers through mutexes": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1055",
"name": "Process Injection"
}
],
"Autostart: Registering a new service at startup": [
{
"tactics": [
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1050",
"name": "New Service"
}
],
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1134",
"name": "Access Token Manipulation"
}
],
"Search: Enumerates loaded modules": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
]
},
"submission": "2021-03-14 04:51:20",
"expires": "2021-03-16 03:30:53",
"child_tasks": [
{
"task_uuid": "226d6278859c00102b480de14f0f1835",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "9894fee9908c001002eed0219fad3d28",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "f543a862fe90001023e3a67cc2769a30",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "05efc0b74077001027ab691bdc7971ae",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "390905dc316200102cd51e8880973a26",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "a3710e5d6a1400102540b44b56011019",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
}
],
"reports": [
{
"relevance": 1.0,
"report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 10"
},
{
"relevance": 0.0,
"report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
"report_versions": [
"ll-static"
],
"description": "Static analysis"
},
{
"relevance": 1.0,
"report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 7"
}
],
"submission_timestamp": "2021-03-15 06:37:17",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"score": 39,
"malicious_activity": [
"Autostart: Registering a new service at startup",
"Autostart: Registering a scheduled task",
"Memory: Tracking process identifiers through mutexes",
"Search: Enumerates loaded modules",
"Search: Enumerates running processes",
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
"Settings: Requiring rights elevation in browser",
"Steal: Targeting Windows Saved Credential"
],
"analysis_subject": {
"sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
"sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"mime_type": "application/x-pe-app-32bit-i386",
"md5": "a6d2b2f3ff369137748ff40403606862"
},
"last_submission_timestamp": "2021-03-15 06:37:17"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
| Table | Nom du tableau : "{0} Résultats de l'analyse". Colonnes du tableau : Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Score Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Général |
| Pièces jointes | fileName : lastline_file_analisys_full_report.json fileContent : réponse JSON de la requête 5 |
Général |
Historique des analyses de recherche
Description
Recherchez l'historique des tâches d'analyse Lastline terminées. Pour l'envoi, vous pouvez fournir une URL ou un hachage de fichier au format MD5 ou SHA1.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la demande | Chaîne | N/A | Non | Nom de la demande à rechercher. Il peut s'agir d'une URL ou d'un hachage de fichier au format MD5 ou SHA1. |
| Type d'envoi | LDD | Non spécifié | Non | Vous pouvez éventuellement spécifier un type d'envoi à rechercher (URL ou FileHash). |
| Nombre maximal d'heures en arrière | Integer | 24 | Non | Période pendant laquelle rechercher les tâches d'analyse terminées |
| Rechercher dans les x dernières analyses | Integer | 100 | Oui | Recherchez un rapport dans les x dernières analyses exécutées dans Any.Run. |
| Ignorer les x premières analyses | Integer | 0 | Non | Ignorer les x premières analyses renvoyées par l'API Any.Run. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"success": 1,
"data": [
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:37:18",
"analysis_history_id": 711622656,
"title": null,
"score": 39
},
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:28:24",
"analysis_history_id": 3856791660,
"title": null,
"score": 39
},
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook :
L'action doit échouer et arrêter l'exécution du playbook :
|
Général |
| Table | Nom de la table : "Résultats de recherche" Colonnes du tableau : UUID de la tâche md5 sha1 SHA-256 Url État Envoyé par (nom d'utilisateur) Envoyé à |
Général |
Obtenir les résultats de l'analyse
Description
Enrichissez les entités Google SecOps FileHash ou URL avec les résultats des tâches d'analyse effectuées précédemment.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Seuil | Integer | 70 | Oui | Marquez l'entité comme suspecte si la valeur du score de l'entité est supérieure au seuil spécifié. |
| Rechercher dans les x dernières analyses | Integer | 25 | Oui | Recherchez le rapport de l'entité fournie dans les x dernières analyses exécutées dans Lastline. |
| Créer un insight ? | Case à cocher | Décochée | Non | Indiquez si vous souhaitez créer un insight basé sur les données du rapport. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Hachage du fichier (md-5, sha-1, sha-256)
- URL
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Enrichissement d'entités
Option 1. URL
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| IsSuspicous | L'entité doit être marquée comme suspecte si un seuil spécifique est atteint. |
| Lastline.Submission_Timestamp | Toujours |
| Lastline.Latest_Submission_Timestamp | Toujours |
| Lastline.Results_Expiry_Timestamp | Toujours |
| Lastline.Analysis_Task_UUID | Toujours |
| Lastline.Score | Toujours |
| Lastline.Malicious_Activity | Toujours |
Option 2. Fichier
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| IsSuspicous | L'entité doit être marquée comme suspecte si un seuil spécifique est atteint. |
| Lastline.Submission_Timestamp | Toujours |
| Lastline.Latest_Submission_Timestamp | Toujours |
| Lastline.Results_Expiry_Timestamp | Toujours |
| Lastline.Analysis_Task_UUID | Toujours |
| Lastline.Score | Toujours |
| Lastline.Malicious_Activity | Toujours |
| Lastline.md5 | Toujours |
| Lastline.sha1 | Toujours |
| Lastline.sha256 | Toujours |
| Lastline.mime\_type | Toujours |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
| Table (pour l'URL) | Nom du tableau : "{0} Résultats de l'analyse". Colonnes du tableau : Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Score Malicious_Activity |
Général |
| Tableau (pour FileHash) | Nom du tableau : "{0} Résultats de l'analyse". Colonnes du tableau : Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Score Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.