Questa pagina è stata tradotta dall'API Cloud Translation.

Lastline

Versione integrazione: 5.0

Casi d'uso

Analisi dinamica di oggetti URL o file.

Configura l'integrazione di Lastline in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Radice API	Stringa	https://user.lastline.com	Sì	Root API Lastline
Nome utente	Stringa	N/D	Sì	Nome utente dell'account Lastline da utilizzare nell'integrazione.
Password	Password	N/D	Sì	Password dell'account Lastline da utilizzare nell'integrazione.
Verifica SSL	Casella di controllo	Selezionata	No	Specifica se l'integrazione deve verificare se la radice dell'API è configurata con il certificato valido.

Azioni

Dindin

Descrizione

Verifica la connettività al servizio Lastline con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al servizio Lastine riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Error is {0}".format(exception.stacktrace) Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione al servizio Lastine riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Error is {0}".format(exception.stacktrace)

Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)

Generale

Invia URL

Descrizione

Invia l'attività di analisi per l'URL fornito.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
URL per l'analisi	Stringa	N/D	Sì	Specifica l'URL da analizzare.
Attendi il report?	Casella di controllo	Selezionata	No	Specifica se l'azione deve attendere la creazione del report. Il report può essere ottenuto anche in un secondo momento con l'azione Ottieni risultati analisi una volta completata la scansione.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

Se la casella di controllo Attendi il report non è selezionata:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Se la casella di controllo Attendi il report è selezionata:

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful: "Successfully created analysis task for the url {0}".format(url) Se l'operazione va a buon fine e viene fornita la casella di controllo per attendere il risultato, al termine dell'azione (recupera il risultato): "Successfully fetched the analysis results for the url {0}".format(url) Se è stato fornito un URL errato (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url) Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se le credenziali API non sono corrette: "Failed to connect to the Lastline service with the provided api key or token. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)	Generale
Tabella	Nome tabella: "{0} Analysis Results". Colonne della tabella: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punteggio Malicious_Activity	Generali

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

if successful: "Successfully created analysis task for the url {0}".format(url)
Se l'operazione va a buon fine e viene fornita la casella di controllo per attendere il risultato, al termine dell'azione (recupera il risultato): "Successfully fetched the analysis results for the url {0}".format(url)
Se è stato fornito un URL errato (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url)
Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se le credenziali API non sono corrette: "Failed to connect to the Lastline service with the provided api key or token. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)

Generale

Tabella

Nome tabella: "{0} Analysis Results".

Colonne della tabella:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Punteggio

Malicious_Activity

Generali

Invia file

Descrizione

Inviare l'attività di analisi per il file fornito.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Percorso file	Stringa	N/D	Sì	Specifica il percorso completo del file da analizzare.
Attendi il report?	Casella di controllo	Selezionata	No	Specifica se l'azione deve attendere la creazione del report. Il report può essere ottenuto anche in un secondo momento con l'azione Ottieni risultati analisi una volta completata la scansione.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

Se la casella di controllo Attendi il report non è selezionata:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Se la casella di controllo Attendi il report è selezionata:

{
    "success": 1,
    "data": {
        "activity_to_mitre_techniques": {
            "Search: Enumerates running processes": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ],
            "Settings: Requiring rights elevation in browser": [
                {
                    "tactics": [
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1112",
                    "name": "Modify Registry"
                }
            ],
            "Autostart: Registering a scheduled task": [
                {
                    "tactics": [
                        {
                            "id": "TA0002",
                            "name": "Execution"
                        },
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1053",
                    "name": "Scheduled Task"
                }
            ],
            "Memory: Tracking process identifiers through mutexes": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1055",
                    "name": "Process Injection"
                }
            ],
            "Autostart: Registering a new service at startup": [
                {
                    "tactics": [
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1050",
                    "name": "New Service"
                }
            ],
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1134",
                    "name": "Access Token Manipulation"
                }
            ],
            "Search: Enumerates loaded modules": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ]
        },
        "submission": "2021-03-14 04:51:20",
        "expires": "2021-03-16 03:30:53",
        "child_tasks": [
            {
                "task_uuid": "226d6278859c00102b480de14f0f1835",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "9894fee9908c001002eed0219fad3d28",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "f543a862fe90001023e3a67cc2769a30",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "05efc0b74077001027ab691bdc7971ae",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "390905dc316200102cd51e8880973a26",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "a3710e5d6a1400102540b44b56011019",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            }
        ],
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 10"
            },
            {
                "relevance": 0.0,
                "report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
                "report_versions": [
                    "ll-static"
                ],
                "description": "Static analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 7"
            }
        ],
        "submission_timestamp": "2021-03-15 06:37:17",
        "task_uuid": "8af81dd5b542001024d946e57d28c99b",
        "score": 39,
        "malicious_activity": [
            "Autostart: Registering a new service at startup",
            "Autostart: Registering a scheduled task",
            "Memory: Tracking process identifiers through mutexes",
            "Search: Enumerates loaded modules",
            "Search: Enumerates running processes",
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
            "Settings: Requiring rights elevation in browser",
            "Steal: Targeting Windows Saved Credential"
        ],
        "analysis_subject": {
            "sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
            "sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "mime_type": "application/x-pe-app-32bit-i386",
            "md5": "a6d2b2f3ff369137748ff40403606862"
        },
        "last_submission_timestamp": "2021-03-15 06:37:17"
    }
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Successfully created analysis task for the file {0}".format(file) Se l'operazione va a buon fine e viene fornita la casella di controllo per attendere il risultato, al termine dell'azione (recupera il risultato): "Recupero riuscito dei risultati dell'analisi per il file {0}".format(file) Se è stato fornito un percorso file errato (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file) Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se le credenziali API non sono corrette: "Failed to connect to the Lastline service with the provided api key or token. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)	Generale
Tabella	Nome tabella: "{0} Analysis Results". Colonne della tabella: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punteggio Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	Generale
Allegati	fileName: lastline_file_analisys_full_report.json fileContent: risposta JSON della richiesta 5	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

In caso di esito positivo: "Successfully created analysis task for the file {0}".format(file)
Se l'operazione va a buon fine e viene fornita la casella di controllo per attendere il risultato, al termine dell'azione (recupera il risultato): "Recupero riuscito dei risultati dell'analisi per il file {0}".format(file)
Se è stato fornito un percorso file errato (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file)
Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se le credenziali API non sono corrette: "Failed to connect to the Lastline service with the provided api key or token. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)

Generale

Tabella

Nome tabella: "{0} Analysis Results".

Colonne della tabella:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Punteggio

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

Generale

Allegati

fileName: lastline_file_analisys_full_report.json

fileContent: risposta JSON della richiesta 5

Generale

Cronologia dell'analisi delle ricerche

Descrizione

Cerca la cronologia delle attività di analisi completate di Lastline. Per l'invio è possibile fornire l'URL o l'hash del file in formato MD5 o SHA1.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome dell'invio	Stringa	N/D	No	Il nome dell'invio da cercare. Può essere un URL o un hash del file nel formato MD5 e SHA1.
Tipo di invio	DDL	Non specificato	No	(Facoltativo) Specifica un tipo di invio da cercare, ovvero URL o FileHash.
Ore massime indietro	Numero intero	24	No	Intervallo di tempo in cui cercare le attività di analisi completate
Cerca nelle ultime x scansioni	Numero intero	100	Sì	Cerca il report nelle ultime x analisi eseguite in Any.Run.
Ignora le prime x scansioni	Numero intero	0	No	Ignora le prime x scansioni restituite dall'API Any.Run.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "success": 1,
    "data": [
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:37:18",
            "analysis_history_id": 711622656,
            "title": null,
            "score": 39
        },
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:28:24",
            "analysis_history_id": 3856791660,
            "title": null,
            "score": 39
        },

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'operazione è riuscita e sono stati trovati report: "Lastline ha completato le attività di analisi per i parametri di ricerca forniti". Se non riesci a trovare i report: "Non sono stati trovati report Any.Run." L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)	Generale
Tabella	Nome tabella:risultati di ricerca Colonne della tabella: UUID attività md5 sha1 SHA256 URL Stato Inviata da (nome utente) Inviato alle	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook:

Se l'operazione è riuscita e sono stati trovati report: "Lastline ha completato le attività di analisi per i parametri di ricerca forniti".
Se non riesci a trovare i report: "Non sono stati trovati report Any.Run."

L'azione deve non riuscire e interrompere l'esecuzione del playbook:

Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)

Generale

Tabella

Nome tabella:risultati di ricerca

Colonne della tabella:

UUID attività

md5

sha1

SHA256

URL

Stato

Inviata da (nome utente)

Inviato alle

Generale

Recupero risultati analisi

Descrizione

Arricchisci le entità FileHash o URL di Google SecOps con i risultati delle attività di analisi completate in precedenza.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Soglia	Numero intero	70	Sì	Contrassegna l'entità come sospetta se il valore del punteggio per l'entità è superiore alla soglia specificata.
Cerca nelle ultime x scansioni	Numero intero	25	Sì	Cerca il report per l'entità fornita nelle ultime x analisi eseguite in Lastline.
Creare approfondimento?	Casella di controllo	Deselezionata	No	Specifica se creare statistiche in base ai dati del report.

Run On

Questa azione viene eseguita sulle seguenti entità:

Hash file (md-5, sha-1, sha-256)
URL

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Arricchimento delle entità

Opzione 1. URL

Nome campo di arricchimento	Logica - Quando applicarla
IsSuspicous	L'entità deve essere contrassegnata come sospetta se viene raggiunta una soglia specifica.
Lastline.Submission_Timestamp	Sempre
Lastline.Latest_Submission_Timestamp	Sempre
Lastline.Results_Expiry_Timestamp	Sempre
Lastline.Analysis_Task_UUID	Sempre
Lastline.Score	Sempre
Lastline.Malicious_Activity	Sempre

Opzione 2. File

Nome campo di arricchimento	Logica - Quando applicarla
IsSuspicous	L'entità deve essere contrassegnata come sospetta se viene raggiunta una soglia specifica.
Lastline.Submission_Timestamp	Sempre
Lastline.Latest_Submission_Timestamp	Sempre
Lastline.Results_Expiry_Timestamp	Sempre
Lastline.Analysis_Task_UUID	Sempre
Lastline.Score	Sempre
Lastline.Malicious_Activity	Sempre
Lastline.md5	Sempre
Lastline.sha1	Sempre
Lastline.sha256	Sempre
Lastline.mime\_type	Sempre

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e il risultato viene recuperato: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value) Se è stato fornito un URL o un file errato (is_success=false): "Impossibile recuperare i risultati dell'analisi per {0}".format(url_or_file) Se non è stato trovato nulla (is_success=false): "Non sono state trovate attività di analisi completate in precedenza in base ai parametri forniti per l'entità {0}".format(url_or_hash) Se all'azione è stata fornita un'entità non supportata (is_success=false): "Entity type {0} is not supported by the action, only URL of Filehash are supported, skipping this entity type".format(entity.type) Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace) Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)	Generale
Tabella (per URL)	Nome tabella: "{0} Analysis Results". Colonne della tabella: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punteggio Malicious_Activity	Generale
Tabella (per FileHash)	Nome tabella: "{0} Analysis Results". Colonne della tabella: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Punteggio Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine e il risultato viene recuperato: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value)
Se è stato fornito un URL o un file errato (is_success=false): "Impossibile recuperare i risultati dell'analisi per {0}".format(url_or_file)
Se non è stato trovato nulla (is_success=false): "Non sono state trovate attività di analisi completate in precedenza in base ai parametri forniti per l'entità {0}".format(url_or_hash)
Se all'azione è stata fornita un'entità non supportata (is_success=false): "Entity type {0} is not supported by the action, only URL of Filehash are supported, skipping this entity type".format(entity.type)
Se si è verificato un altro errore non critico (is_success=false): "Failed to create analysis task for the url {0}. Errore: {1}".format(url,entity_identifier)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se le credenziali dell'account non sono corrette: "Impossibile connettersi al servizio Lastline con l'account fornito. Controlla la configurazione. Errore: {0}".format(exception.stacktrace)
Se si verifica un altro errore critico: "Impossibile connettersi al servizio Lastline. Error is {0}".format(exception.stacktrace)

Generale

Tabella (per URL)

Nome tabella: "{0} Analysis Results".

Colonne della tabella:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Punteggio

Malicious_Activity

Generale

Tabella (per FileHash)

Nome tabella: "{0} Analysis Results".

Colonne della tabella:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Punteggio

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

Generale

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.