Lastline
Versi integrasi: 5.0
Kasus Penggunaan
Analisis Dinamis objek URL atau File.
Mengonfigurasi integrasi Lastline di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://user.lastline.com | Ya | Root Lastline API |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Lastline yang akan digunakan dalam integrasi. |
| Sandi | Sandi | T/A | Ya | Sandi akun Lastline yang akan digunakan dalam integrasi. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Tentukan apakah integrasi harus memeriksa apakah root API dikonfigurasi dengan sertifikat yang valid. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke layanan Lastline dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
Kirimkan URL
Deskripsi
Mengirimkan tugas analisis untuk URL yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| URL Untuk Analisis | String | T/A | Ya | Tentukan URL yang akan dianalisis. |
| Tunggu laporan? | Kotak centang | Dicentang | Tidak | Tentukan apakah tindakan harus menunggu pembuatan laporan. Laporan juga dapat diperoleh nanti dengan tindakan Get Analysis Results setelah pemindaian selesai. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
Jika kotak centang Tunggu laporan tidak dicentang:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Jika kotak centang Tunggu laporan ditetapkan:
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
| Tabel | Nama Tabel: "{0} Hasil Analisis". Kolom Tabel: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Skor Malicious_Activity |
Umum |
Kirim File
Deskripsi
Mengirimkan tugas analisis untuk File yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur File | String | T/A | Ya | Tentukan jalur lengkap ke file yang akan dianalisis. |
| Tunggu laporan? | Kotak centang | Dicentang | Tidak | Tentukan apakah tindakan harus menunggu pembuatan laporan. Laporan juga dapat diperoleh nanti dengan tindakan Get Analysis Results setelah pemindaian selesai. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
Jika kotak centang Tunggu laporan tidak dicentang:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
Jika kotak centang Tunggu laporan ditetapkan:
{
"success": 1,
"data": {
"activity_to_mitre_techniques": {
"Search: Enumerates running processes": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
],
"Settings: Requiring rights elevation in browser": [
{
"tactics": [
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1112",
"name": "Modify Registry"
}
],
"Autostart: Registering a scheduled task": [
{
"tactics": [
{
"id": "TA0002",
"name": "Execution"
},
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1053",
"name": "Scheduled Task"
}
],
"Memory: Tracking process identifiers through mutexes": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1055",
"name": "Process Injection"
}
],
"Autostart: Registering a new service at startup": [
{
"tactics": [
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1050",
"name": "New Service"
}
],
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1134",
"name": "Access Token Manipulation"
}
],
"Search: Enumerates loaded modules": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
]
},
"submission": "2021-03-14 04:51:20",
"expires": "2021-03-16 03:30:53",
"child_tasks": [
{
"task_uuid": "226d6278859c00102b480de14f0f1835",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "9894fee9908c001002eed0219fad3d28",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "f543a862fe90001023e3a67cc2769a30",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "05efc0b74077001027ab691bdc7971ae",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "390905dc316200102cd51e8880973a26",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "a3710e5d6a1400102540b44b56011019",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
}
],
"reports": [
{
"relevance": 1.0,
"report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 10"
},
{
"relevance": 0.0,
"report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
"report_versions": [
"ll-static"
],
"description": "Static analysis"
},
{
"relevance": 1.0,
"report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 7"
}
],
"submission_timestamp": "2021-03-15 06:37:17",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"score": 39,
"malicious_activity": [
"Autostart: Registering a new service at startup",
"Autostart: Registering a scheduled task",
"Memory: Tracking process identifiers through mutexes",
"Search: Enumerates loaded modules",
"Search: Enumerates running processes",
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
"Settings: Requiring rights elevation in browser",
"Steal: Targeting Windows Saved Credential"
],
"analysis_subject": {
"sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
"sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"mime_type": "application/x-pe-app-32bit-i386",
"md5": "a6d2b2f3ff369137748ff40403606862"
},
"last_submission_timestamp": "2021-03-15 06:37:17"
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
| Tabel | Nama Tabel: "{0} Hasil Analisis". Kolom Tabel: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Skor Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Umum |
| Lampiran | fileName: lastline_file_analisys_full_report.json fileContent: respons JSON dari permintaan 5 |
Umum |
Histori Analisis Penelusuran
Deskripsi
Menelusuri histori tugas analisis yang telah selesai di Lastline. Untuk pengiriman, URL atau Filehash dalam format md5 atau sha1 dapat diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Pengiriman | String | T/A | Tidak | Nama pengiriman yang akan ditelusuri. Dapat berupa URL atau Filehash dalam format MD5 dan SHA1. |
| Jenis Pengiriman | DDL | Tidak Ditentukan | Tidak | Secara opsional, tentukan jenis pengiriman yang akan ditelusuri, baik URL maupun FileHash. |
| Maks. Jam Mundur | Bilangan bulat | 24 | Tidak | Jangka waktu untuk menelusuri tugas analisis yang telah selesai |
| Telusuri dalam x pemindaian terakhir | Bilangan bulat | 100 | Ya | Menelusuri laporan dalam analisis x terakhir yang dijalankan di Any.Run. |
| Lewati x pemindaian pertama | Bilangan bulat | 0 | Tidak | Melewati x pemindaian pertama yang ditampilkan oleh Any.Run API. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"success": 1,
"data": [
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:37:18",
"analysis_history_id": 711622656,
"title": null,
"score": 39
},
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:28:24",
"analysis_history_id": 3856791660,
"title": null,
"score": 39
},
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
| Tabel | Nama Tabel: Hasil Penelusuran Kolom Tabel: UUID tugas md5 sha1 Sha256 URL Status Dikirim oleh (nama pengguna) Dikirim pada |
Umum |
Mendapatkan Hasil Analisis
Deskripsi
Memperkaya entitas FileHash atau URL Google SecOps dengan hasil tugas analisis yang telah diselesaikan sebelumnya.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Ambang batas | Bilangan bulat | 70 | Ya | Menandai entity sebagai mencurigakan jika nilai skor untuk entity tersebut berada di atas nilai minimum yang ditentukan. |
| Telusuri dalam x pemindaian terakhir | Bilangan bulat | 25 | Ya | Menelusuri laporan untuk entitas yang diberikan dalam x analisis terakhir yang dijalankan di Lastline. |
| Buat Insight? | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah akan membuat insight berdasarkan data laporan. |
Run On
Tindakan ini berjalan di entity berikut:
- Hash File (md-5, sha-1, sha-256)
- URL
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
Pengayaan Entity
Opsi 1. URL
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| IsSuspicous | Entitas harus ditandai sebagai mencurigakan jika ambang batas tertentu terpenuhi. |
| Lastline.Submission_Timestamp | Selalu |
| Lastline.Latest_Submission_Timestamp | Selalu |
| Lastline.Results_Expiry_Timestamp | Selalu |
| Lastline.Analysis_Task_UUID | Selalu |
| Lastline.Score | Selalu |
| Lastline.Malicious_Activity | Selalu |
Opsi 2. File
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| IsSuspicous | Entitas harus ditandai sebagai mencurigakan jika ambang batas tertentu terpenuhi. |
| Lastline.Submission_Timestamp | Selalu |
| Lastline.Latest_Submission_Timestamp | Selalu |
| Lastline.Results_Expiry_Timestamp | Selalu |
| Lastline.Analysis_Task_UUID | Selalu |
| Lastline.Score | Selalu |
| Lastline.Malicious_Activity | Selalu |
| Lastline.md5 | Selalu |
| Lastline.sha1 | Selalu |
| Lastline.sha256 | Selalu |
| Lastline.mime\_type | Selalu |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
Tindakan akan gagal dan menghentikan eksekusi playbook:
|
Umum |
| Tabel (untuk URL) | Nama Tabel: "{0} Hasil Analisis". Kolom Tabel: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Skor Malicious_Activity |
Umum |
| Tabel (untuk FileHash) | Nama Tabel: "{0} Hasil Analisis". Kolom Tabel: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Skor Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.