Lastline
통합 버전: 5.0
사용 사례
URL 또는 파일 객체의 동적 분석
Google Security Operations에서 Lastline 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://user.lastline.com | 예 | Lastline API 루트 |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | 통합에서 사용할 Lastline 계정 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 통합에 사용할 Lastline 계정 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 통합에서 API 루트가 유효한 인증서로 구성되어 있는지 확인해야 하는지 지정합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Lastline 서비스에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
URL 제출
설명
제공된 URL에 대한 분석 작업을 제출합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 분석할 URL | 문자열 | 해당 사항 없음 | 예 | 분석할 URL을 지정합니다. |
| 보고서를 기다리시겠어요? | 체크박스 | 선택 | 아니요 | 작업이 보고서 생성을 기다려야 하는지 여부를 지정합니다. 스캔이 완료된 후 Get Analysis Results 작업을 사용하여 보고서를 나중에 가져올 수도 있습니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
'보고서 대기' 체크박스가 설정되지 않은 경우:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
'보고서 대기' 체크박스가 설정된 경우:
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
| 표 | 표 이름: '{0} 분석 결과' 테이블 열: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 점수 Malicious_Activity |
일반 |
파일 제출
설명
제공된 파일의 분석 작업을 제출합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 파일 경로 | 문자열 | 해당 사항 없음 | 예 | 분석할 파일의 전체 경로를 지정합니다. |
| 보고서를 기다리시겠어요? | 체크박스 | 선택 | 아니요 | 작업이 보고서 생성을 기다려야 하는지 여부를 지정합니다. 스캔이 완료된 후 Get Analysis Results 작업을 사용하여 보고서를 나중에 가져올 수도 있습니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
'보고서 대기' 체크박스가 설정되지 않은 경우:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
'보고서 대기' 체크박스가 설정된 경우:
{
"success": 1,
"data": {
"activity_to_mitre_techniques": {
"Search: Enumerates running processes": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
],
"Settings: Requiring rights elevation in browser": [
{
"tactics": [
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1112",
"name": "Modify Registry"
}
],
"Autostart: Registering a scheduled task": [
{
"tactics": [
{
"id": "TA0002",
"name": "Execution"
},
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1053",
"name": "Scheduled Task"
}
],
"Memory: Tracking process identifiers through mutexes": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1055",
"name": "Process Injection"
}
],
"Autostart: Registering a new service at startup": [
{
"tactics": [
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1050",
"name": "New Service"
}
],
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1134",
"name": "Access Token Manipulation"
}
],
"Search: Enumerates loaded modules": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
]
},
"submission": "2021-03-14 04:51:20",
"expires": "2021-03-16 03:30:53",
"child_tasks": [
{
"task_uuid": "226d6278859c00102b480de14f0f1835",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "9894fee9908c001002eed0219fad3d28",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "f543a862fe90001023e3a67cc2769a30",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "05efc0b74077001027ab691bdc7971ae",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "390905dc316200102cd51e8880973a26",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "a3710e5d6a1400102540b44b56011019",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
}
],
"reports": [
{
"relevance": 1.0,
"report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 10"
},
{
"relevance": 0.0,
"report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
"report_versions": [
"ll-static"
],
"description": "Static analysis"
},
{
"relevance": 1.0,
"report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 7"
}
],
"submission_timestamp": "2021-03-15 06:37:17",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"score": 39,
"malicious_activity": [
"Autostart: Registering a new service at startup",
"Autostart: Registering a scheduled task",
"Memory: Tracking process identifiers through mutexes",
"Search: Enumerates loaded modules",
"Search: Enumerates running processes",
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
"Settings: Requiring rights elevation in browser",
"Steal: Targeting Windows Saved Credential"
],
"analysis_subject": {
"sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
"sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"mime_type": "application/x-pe-app-32bit-i386",
"md5": "a6d2b2f3ff369137748ff40403606862"
},
"last_submission_timestamp": "2021-03-15 06:37:17"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
| 표 | 표 이름: '{0} 분석 결과' 테이블 열: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 점수 Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
일반 |
| 첨부파일 | fileName: lastline_file_analisys_full_report.json fileContent: 요청 5의 JSON 응답 |
일반 |
검색 분석 기록
설명
Lastline 완료된 분석 작업 기록을 검색합니다. 제출 시 md5 또는 sha1 형식의 URL 또는 Filehash를 제공할 수 있습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제출물 이름 | 문자열 | 해당 사항 없음 | 아니요 | 검색할 제출 이름입니다. MD5 및 SHA1 형식의 URL 또는 Filehash일 수 있습니다. |
| 제출 유형 | DDL | 지정되지 않음 | 아니요 | 선택적으로 검색할 제출 유형(URL 또는 FileHash)을 지정합니다. |
| 최대 이전 시간 | 정수 | 24 | 아니요 | 완료된 분석 작업을 검색할 기간 |
| 최근 x회 스캔에서 검색 | 정수 | 100 | 예 | Any.Run에서 실행된 마지막 x 분석에서 보고서를 검색합니다. |
| 처음 x개 스캔 건너뛰기 | 정수 | 0 | 아니요 | Any.Run API에서 반환된 처음 x개의 스캔을 건너뜁니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"success": 1,
"data": [
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:37:18",
"analysis_history_id": 711622656,
"title": null,
"score": 39
},
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:28:24",
"analysis_history_id": 3856791660,
"title": null,
"score": 39
},
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
| 표 | 표 이름: 검색 결과 테이블 열: 작업 UUID md5 sha1 Sha256 URL 상태 제출자 (사용자 이름) 제출 날짜 |
일반 |
분석 결과 가져오기
설명
이전에 완료된 분석 작업 결과로 Google SecOps FileHash 또는 URL 엔티티를 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기준 | 정수 | 70 | 예 | 엔티티의 점수 값이 지정된 기준점을 초과하는 경우 엔티티를 의심스러운 것으로 표시합니다. |
| 최근 x회 스캔에서 검색 | 정수 | 25 | 예 | Lastline에서 실행된 마지막 x 분석에서 제공된 항목의 보고서를 검색합니다. |
| 통계를 만들까요? | 체크박스 | 선택 해제 | 아니요 | 보고서 데이터를 기반으로 통계를 생성할지 여부를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 파일 해시 (md-5, sha-1, sha-256)
- URL
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
항목 보강
옵션 1. URL
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| IsSuspicous | 특정 기준을 충족하는 경우 항목을 의심스러운 항목으로 표시해야 합니다. |
| Lastline.Submission_Timestamp | 항상 |
| Lastline.Latest_Submission_Timestamp | 항상 |
| Lastline.Results_Expiry_Timestamp | 항상 |
| Lastline.Analysis_Task_UUID | 항상 |
| Lastline.Score | 항상 |
| Lastline.Malicious_Activity | 항상 |
옵션 2. 파일
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| IsSuspicous | 특정 기준을 충족하는 경우 항목을 의심스러운 항목으로 표시해야 합니다. |
| Lastline.Submission_Timestamp | 항상 |
| Lastline.Latest_Submission_Timestamp | 항상 |
| Lastline.Results_Expiry_Timestamp | 항상 |
| Lastline.Analysis_Task_UUID | 항상 |
| Lastline.Score | 항상 |
| Lastline.Malicious_Activity | 항상 |
| Lastline.md5 | 항상 |
| Lastline.sha1 | 항상 |
| Lastline.sha256 | 항상 |
| Lastline.mime\_type | 항상 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
| 표 (URL용) | 표 이름: '{0} 분석 결과' 테이블 열: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 점수 Malicious_Activity |
일반 |
| 표 (FileHash용) | 표 이름: '{0} 분석 결과' 테이블 열: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 점수 Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.