Esta página foi traduzida pela API Cloud Translation.

Lastline

Versão de integração: 5.0

Exemplos de utilização

Análise dinâmica de objetos de ficheiros ou URLs.

Configure a integração do Lastline no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da API	String	https://user.lastline.com	Sim	Raiz da API Lastline
Nome de utilizador	String	N/A	Sim	Nome de utilizador da conta do Lastline a usar na integração.
Palavra-passe	Palavra-passe	N/A	Sim	Palavra-passe da conta do Lastline a usar na integração.
Validar SSL	Caixa de verificação	Marcado	Não	Especifique se a integração deve verificar se a raiz da API está configurada com o certificado válido.

Ações

Tchim-tchim

Descrição

Teste a conetividade ao serviço Lastline com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao serviço Lastline estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. O erro é {0}".format(exception.stacktrace) se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação ao serviço Lastline estabelecida com êxito com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. O erro é {0}".format(exception.stacktrace)

se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)

Geral

Enviar URL

Descrição

Envie a tarefa de análise para o URL fornecido.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
URL para análise	String	N/A	Sim	Especifique o URL a analisar.
Aguardar pelo relatório?	Caixa de verificação	Marcado	Não	Especifique se a ação deve aguardar a criação do relatório. Também pode obter o relatório mais tarde com a ação Get Analysis Results (Obter resultados da análise) assim que a análise estiver concluída.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

Se a caixa de verificação Aguardar pelo relatório não estiver selecionada:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Se a caixa de verificação Aguardar pelo relatório estiver selecionada:

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if successful: "Successfully created analysis task for the url {0}".format(url) Se tiver êxito e a caixa de verificação para aguardar o resultado tiver sido fornecida, após a ação estar concluída (obtém o resultado): "Successfully fetched the analysis results for the url {0}".format(url) Se tiver sido fornecido um URL incorreto (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url) Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) A ação deve falhar e parar a execução de um guia interativo: Se as credenciais da API estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a chave ou o token da API fornecidos. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)	Geral
Tabela	Nome da tabela: "{0} Analysis Results". Colunas da tabela: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Pontuação Malicious_Activity	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if successful: "Successfully created analysis task for the url {0}".format(url)
Se tiver êxito e a caixa de verificação para aguardar o resultado tiver sido fornecida, após a ação estar concluída (obtém o resultado): "Successfully fetched the analysis results for the url {0}".format(url)
Se tiver sido fornecido um URL incorreto (is_success=false): "Failed to create analysis task because the provided url {0} is incorrect.".format(url)
Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

A ação deve falhar e parar a execução de um guia interativo:

Se as credenciais da API estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a chave ou o token da API fornecidos. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)

Geral

Tabela

Nome da tabela: "{0} Analysis Results".

Colunas da tabela:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Pontuação

Malicious_Activity

Geral

Enviar ficheiro

Descrição

Envie a tarefa de análise para o ficheiro fornecido.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Caminho do ficheiro	String	N/A	Sim	Especifique o caminho completo para o ficheiro a analisar.
Aguardar pelo relatório?	Caixa de verificação	Marcado	Não	Especifique se a ação deve aguardar a criação do relatório. Também pode obter o relatório mais tarde com a ação Get Analysis Results (Obter resultados da análise) assim que a análise estiver concluída.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

Se a caixa de verificação Aguardar pelo relatório não estiver selecionada:

{
    "success": 1,
    "data": {
        "submission_timestamp": "2021-03-10 07:13:25",
        "task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
        "expires": "2021-03-11 14:51:57"
    }
}

Se a caixa de verificação Aguardar pelo relatório estiver selecionada:

{
    "success": 1,
    "data": {
        "activity_to_mitre_techniques": {
            "Search: Enumerates running processes": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ],
            "Settings: Requiring rights elevation in browser": [
                {
                    "tactics": [
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1112",
                    "name": "Modify Registry"
                }
            ],
            "Autostart: Registering a scheduled task": [
                {
                    "tactics": [
                        {
                            "id": "TA0002",
                            "name": "Execution"
                        },
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1053",
                    "name": "Scheduled Task"
                }
            ],
            "Memory: Tracking process identifiers through mutexes": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1055",
                    "name": "Process Injection"
                }
            ],
            "Autostart: Registering a new service at startup": [
                {
                    "tactics": [
                        {
                            "id": "TA0003",
                            "name": "Persistence"
                        },
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        }
                    ],
                    "id": "T1050",
                    "name": "New Service"
                }
            ],
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
                {
                    "tactics": [
                        {
                            "id": "TA0004",
                            "name": "Privilege Escalation"
                        },
                        {
                            "id": "TA0005",
                            "name": "Defense Evasion"
                        }
                    ],
                    "id": "T1134",
                    "name": "Access Token Manipulation"
                }
            ],
            "Search: Enumerates loaded modules": [
                {
                    "tactics": [
                        {
                            "id": "TA0007",
                            "name": "Discovery"
                        }
                    ],
                    "id": "T1057",
                    "name": "Process Discovery"
                }
            ]
        },
        "submission": "2021-03-14 04:51:20",
        "expires": "2021-03-16 03:30:53",
        "child_tasks": [
            {
                "task_uuid": "226d6278859c00102b480de14f0f1835",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "9894fee9908c001002eed0219fad3d28",
                "score": 0,
                "tag": "File extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "f543a862fe90001023e3a67cc2769a30",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "05efc0b74077001027ab691bdc7971ae",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            },
            {
                "task_uuid": "390905dc316200102cd51e8880973a26",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "a3710e5d6a1400102540b44b56011019",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
            },
            {
                "task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
                "score": 0,
                "tag": "URL extracted from analysis subject",
                "parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
            }
        ],
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 10"
            },
            {
                "relevance": 0.0,
                "report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
                "report_versions": [
                    "ll-static"
                ],
                "description": "Static analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
                "report_versions": [
                    "ll-int-win",
                    "ll-win-timeline-based",
                    "ioc:ll",
                    "ioc:stix",
                    "ioc:openioc",
                    "ioc:openioc:tanium",
                    "ll-win-timeline-thread-based"
                ],
                "description": "Dynamic analysis on Microsoft Windows 7"
            }
        ],
        "submission_timestamp": "2021-03-15 06:37:17",
        "task_uuid": "8af81dd5b542001024d946e57d28c99b",
        "score": 39,
        "malicious_activity": [
            "Autostart: Registering a new service at startup",
            "Autostart: Registering a scheduled task",
            "Memory: Tracking process identifiers through mutexes",
            "Search: Enumerates loaded modules",
            "Search: Enumerates running processes",
            "Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
            "Settings: Requiring rights elevation in browser",
            "Steal: Targeting Windows Saved Credential"
        ],
        "analysis_subject": {
            "sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
            "sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "mime_type": "application/x-pe-app-32bit-i386",
            "md5": "a6d2b2f3ff369137748ff40403606862"
        },
        "last_submission_timestamp": "2021-03-15 06:37:17"
    }
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully created analysis task for the file {0}".format(file) Se for bem-sucedido e a caixa de verificação para aguardar o resultado tiver sido fornecida, após a ação estar concluída (obtém o resultado): "Successfully fetched the analysis results for the file {0}".format(file) Se foi fornecido um caminho do ficheiro incorreto (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file) Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) A ação deve falhar e parar a execução de um guia interativo: Se as credenciais da API estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a chave ou o token da API fornecidos. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)	Geral
Tabela	Nome da tabela: "{0} Analysis Results". Colunas da tabela: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Pontuação Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	Geral
Anexos	fileName: lastline_file_analisys_full_report.json fileContent: resposta JSON do pedido 5	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: "Successfully created analysis task for the file {0}".format(file)
Se for bem-sucedido e a caixa de verificação para aguardar o resultado tiver sido fornecida, após a ação estar concluída (obtém o resultado): "Successfully fetched the analysis results for the file {0}".format(file)
Se foi fornecido um caminho do ficheiro incorreto (is_success=false): "Failed to create analysis task because the provided file path {0} is incorrect.".format(file)
Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

A ação deve falhar e parar a execução de um guia interativo:

Se as credenciais da API estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a chave ou o token da API fornecidos. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)

Geral

Tabela

Nome da tabela: "{0} Analysis Results".

Colunas da tabela:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Pontuação

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

Geral

Anexos

fileName: lastline_file_analisys_full_report.json

fileContent: resposta JSON do pedido 5

Geral

Histórico de análise de pesquisas

Descrição

Pesquise o histórico de tarefas de análise concluídas do Lastline. Para o envio, pode fornecer o URL ou o hash do ficheiro num formato de MD5 ou SHA1.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do envio	String	N/A	Não	Nome do envio a pesquisar. Pode ser um URL ou um hash de ficheiro num formato de MD5 e SHA1.
Tipo de envio	LDD	Não especificado	Não	Opcionalmente, especifique um tipo de envio para pesquisar, seja URL ou FileHash.
Máximo de horas para trás	Número inteiro	24	Não	Período durante o qual pesquisar tarefas de análise concluídas
Pesquise nas últimas x análises	Número inteiro	100	Sim	Pesquise relatórios nas últimas x análises executadas no Any.Run.
Ignorar as primeiras x digitalizações	Número inteiro	0	Não	Ignorar as primeiras x análises devolvidas pela API Any.Run.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "success": 1,
    "data": [
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:37:18",
            "analysis_history_id": 711622656,
            "title": null,
            "score": 39
        },
        {
            "username": "tip.labops@siemplify.co",
            "status": "finished",
            "task_subject_filename": null,
            "task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
            "task_uuid": "8af81dd5b542001024d946e57d28c99b",
            "task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
            "task_subject_url": null,
            "task_start_time": "2021-03-15 06:28:24",
            "analysis_history_id": 3856791660,
            "title": null,
            "score": 39
        },

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução do guia interativo: Se for bem-sucedido e encontrar relatórios: "Encontrei tarefas de análise concluídas da Lastline para os parâmetros de pesquisa fornecidos". Se não conseguir encontrar relatórios: "Não foram encontrados relatórios do Any.Run." A ação deve falhar e parar a execução do guia interativo: Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)	Geral
Tabela	Nome da tabela: resultados da pesquisa Colunas da tabela: UUID da tarefa md5 sha1 SHA-256 URL Estado Enviado por (nome de utilizador) Enviado a	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução do guia interativo:

Se for bem-sucedido e encontrar relatórios: "Encontrei tarefas de análise concluídas da Lastline para os parâmetros de pesquisa fornecidos".
Se não conseguir encontrar relatórios: "Não foram encontrados relatórios do Any.Run."

A ação deve falhar e parar a execução do guia interativo:

Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)

Geral

Tabela

Nome da tabela: resultados da pesquisa

Colunas da tabela:

UUID da tarefa

md5

sha1

SHA-256

URL

Estado

Enviado por (nome de utilizador)

Enviado a

Geral

Obtenha resultados da análise

Descrição

Enriqueça as entidades de URL ou FileHash do Google SecOps com os resultados das tarefas de análise concluídas anteriormente.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite	Número inteiro	70	Sim	Marcar a entidade como suspeita se o valor da pontuação da entidade estiver acima do limite especificado.
Pesquise nas últimas x análises	Número inteiro	25	Sim	Pesquise o relatório da entidade fornecida nas últimas x análises executadas no Lastline.
Criar estatística?	Caixa de verificação	Desmarcado	Não	Especifique se quer criar estatísticas com base nos dados do relatório.

Executar em

Esta ação é executada nas seguintes entidades:

Hash do ficheiro (MD-5, SHA-1, SHA-256)
URL

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "success": 1,
    "data": {
        "submission": "2021-03-14 04:46:11",
        "expires": "2021-03-16 04:46:10",
        "task_uuid": "5801c22ce6b4001003e58377051920f2",
        "reports": [
            {
                "relevance": 1.0,
                "report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
                "report_versions": [
                    "ll-pcap"
                ],
                "description": "Pcap analysis"
            },
            {
                "relevance": 1.0,
                "report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
                "report_versions": [
                    "ll-web"
                ],
                "description": "Dynamic analysis in instrumented Chrome browser"
            }
        ],
        "submission_timestamp": "2021-03-15 03:58:51",
        "child_tasks": [
            {
                "task_uuid": "772d23d8d59500100f87aac889c70ece",
                "score": 0,
                "tag": "network traffic analysis",
                "parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
            }
        ],
        "score": 0,
        "malicious_activity": [
            "Info: A Domain / URL of high reputation was visited"
        ],
        "analysis_subject": {
            "url": "https://yahoo.com"
        },
        "last_submission_timestamp": "2021-03-15 03:58:51"
    }
}

Enriquecimento de entidades

Opção 1. URL

Nome do campo de enriquecimento	Lógica: quando aplicar
IsSuspicous	A entidade deve ser marcada como suspeita se for atingido um limite específico.
Lastline.Submission_Timestamp	Sempre
Lastline.Latest_Submission_Timestamp	Sempre
Lastline.Results_Expiry_Timestamp	Sempre
Lastline.Analysis_Task_UUID	Sempre
Lastline.Score	Sempre
Lastline.Malicious_Activity	Sempre

Opção 2. Ficheiro

Nome do campo de enriquecimento	Lógica: quando aplicar
IsSuspicous	A entidade deve ser marcada como suspeita se for atingido um limite específico.
Lastline.Submission_Timestamp	Sempre
Lastline.Latest_Submission_Timestamp	Sempre
Lastline.Results_Expiry_Timestamp	Sempre
Lastline.Analysis_Task_UUID	Sempre
Lastline.Score	Sempre
Lastline.Malicious_Activity	Sempre
Lastline.md5	Sempre
Lastline.sha1	Sempre
Lastline.sha256	Sempre
Lastline.mime\_type	Sempre

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito e tiver obtido o resultado: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value) Se tiver sido fornecido um URL ou um ficheiro incorreto (is_success=false): "Failed to fetch the analysis results for the {0}".format(url_or_file) Se não foi encontrado nada (is_success=false): "No previously completed analysis tasks were found based on the provided parameters for entity {0}".format(url_or_hash) Se foi fornecida uma entidade não suportada à ação (is_success=false): "O tipo de entidade {0} não é suportado pela ação. Apenas são suportados URLs de Filehash. A ignorar este tipo de entidade".format(entity.type) Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier) A ação deve falhar e parar a execução de um guia interativo: Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace) se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)	Geral
Tabela (para URL)	Nome da tabela: "{0} Analysis Results". Colunas da tabela: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Pontuação Malicious_Activity	Geral
Tabela (para FileHash)	Nome da tabela: "{0} Analysis Results". Colunas da tabela: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID Pontuação Malicious_Activity md5_hash sha1_hash sha256_hash mime_type	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito e tiver obtido o resultado: "Successfully fetched the analysis results for the {0} {1}".format(url_or_filehash, value)
Se tiver sido fornecido um URL ou um ficheiro incorreto (is_success=false): "Failed to fetch the analysis results for the {0}".format(url_or_file)
Se não foi encontrado nada (is_success=false): "No previously completed analysis tasks were found based on the provided parameters for entity {0}".format(url_or_hash)
Se foi fornecida uma entidade não suportada à ação (is_success=false): "O tipo de entidade {0} não é suportado pela ação. Apenas são suportados URLs de Filehash. A ignorar este tipo de entidade".format(entity.type)
Se tiver ocorrido outro erro não crítico (is_success=false): "Failed to create analysis task for the url {0}. Error is {1}".format(url,entity_identifier)

A ação deve falhar e parar a execução de um guia interativo:

Se as credenciais da conta estiverem incorretas: "Falha ao estabelecer ligação ao serviço Lastline com a conta fornecida. Verifique a sua configuração. Error is {0}".format(exception.stacktrace)
se outro erro crítico: "Falha ao estabelecer ligação ao serviço Lastline! O erro é {0}".format(exception.stacktrace)

Geral

Tabela (para URL)

Nome da tabela: "{0} Analysis Results".

Colunas da tabela:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Pontuação

Malicious_Activity

Geral

Tabela (para FileHash)

Nome da tabela: "{0} Analysis Results".

Colunas da tabela:

Submission_Timestamp

Latest_Submission_Timestamp

Results_Expiry_Timestamp

Analysis_Task_UUID

Pontuação

Malicious_Activity

md5_hash

sha1_hash

sha256_hash

mime_type

Geral

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.