Lastline
整合版本:5.0
應用實例
動態分析 URL 或檔案物件。
在 Google Security Operations 中設定 Lastline 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | https://user.lastline.com | 是 | Lastline API 根層級 |
| 使用者名稱 | 字串 | 不適用 | 是 | 整合時要使用的 Lastline 帳戶使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 用於整合的 Lastline 帳戶密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 指定整合功能是否應檢查 API 根目錄是否已設定有效憑證。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Lastline 服務的連線。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
提交網址
說明
為提供的網址提交分析工作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 用於分析的網址 | 字串 | 不適用 | 是 | 指定要分析的網址。 |
| 等待報表產生? | 核取方塊 | 已勾選 | 否 | 指定動作是否應等待報表建立完成。掃描完成後,您也可以稍後使用「取得分析結果」動作取得報表。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
如果未勾選「等待報表」核取方塊:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
如果已勾選「等待報表」核取方塊:
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
| 資料表 | 表格名稱:「{0} 分析結果」。 資料表資料欄: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 分數 Malicious_Activity |
一般 |
提交檔案
說明
針對提供的檔案提交分析工作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 是 | 指定要分析的檔案完整路徑。 |
| 等待報表產生? | 核取方塊 | 已勾選 | 否 | 指定動作是否應等待報表建立完成。掃描完成後,您也可以稍後使用「取得分析結果」動作取得報表。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
如果未勾選「等待報表」核取方塊:
{
"success": 1,
"data": {
"submission_timestamp": "2021-03-10 07:13:25",
"task_uuid": "543b3a6ffd17001009d4e10cfa16c2c3",
"expires": "2021-03-11 14:51:57"
}
}
如果已勾選「等待報表」核取方塊:
{
"success": 1,
"data": {
"activity_to_mitre_techniques": {
"Search: Enumerates running processes": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
],
"Settings: Requiring rights elevation in browser": [
{
"tactics": [
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1112",
"name": "Modify Registry"
}
],
"Autostart: Registering a scheduled task": [
{
"tactics": [
{
"id": "TA0002",
"name": "Execution"
},
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1053",
"name": "Scheduled Task"
}
],
"Memory: Tracking process identifiers through mutexes": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1055",
"name": "Process Injection"
}
],
"Autostart: Registering a new service at startup": [
{
"tactics": [
{
"id": "TA0003",
"name": "Persistence"
},
{
"id": "TA0004",
"name": "Privilege Escalation"
}
],
"id": "T1050",
"name": "New Service"
}
],
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)": [
{
"tactics": [
{
"id": "TA0004",
"name": "Privilege Escalation"
},
{
"id": "TA0005",
"name": "Defense Evasion"
}
],
"id": "T1134",
"name": "Access Token Manipulation"
}
],
"Search: Enumerates loaded modules": [
{
"tactics": [
{
"id": "TA0007",
"name": "Discovery"
}
],
"id": "T1057",
"name": "Process Discovery"
}
]
},
"submission": "2021-03-14 04:51:20",
"expires": "2021-03-16 03:30:53",
"child_tasks": [
{
"task_uuid": "226d6278859c00102b480de14f0f1835",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "9894fee9908c001002eed0219fad3d28",
"score": 0,
"tag": "File extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "f543a862fe90001023e3a67cc2769a30",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "05efc0b74077001027ab691bdc7971ae",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
},
{
"task_uuid": "390905dc316200102cd51e8880973a26",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "a3710e5d6a1400102540b44b56011019",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "c3a87f9a2f1b0010203b6049def1a1ac",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO"
},
{
"task_uuid": "5fb932bf8dfc00100fbb9f2c75e8a061",
"score": 0,
"tag": "URL extracted from analysis subject",
"parent_report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22"
}
],
"reports": [
{
"relevance": 1.0,
"report_uuid": "5749cedc8a1d6828hssTbnLGm6AOH3AUpefWyKY6nK8xCfvaZNEO",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 10"
},
{
"relevance": 0.0,
"report_uuid": "d4672aa84d9aa966WyYQH1SwRbltbJ3IzDXGUf7fL8F9uQwLOs4T",
"report_versions": [
"ll-static"
],
"description": "Static analysis"
},
{
"relevance": 1.0,
"report_uuid": "aad392a7339d5b51VH8vSLfPk5llbmidNtkUBTCCayKfK6j5wX22",
"report_versions": [
"ll-int-win",
"ll-win-timeline-based",
"ioc:ll",
"ioc:stix",
"ioc:openioc",
"ioc:openioc:tanium",
"ll-win-timeline-thread-based"
],
"description": "Dynamic analysis on Microsoft Windows 7"
}
],
"submission_timestamp": "2021-03-15 06:37:17",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"score": 39,
"malicious_activity": [
"Autostart: Registering a new service at startup",
"Autostart: Registering a scheduled task",
"Memory: Tracking process identifiers through mutexes",
"Search: Enumerates loaded modules",
"Search: Enumerates running processes",
"Settings: Granting rights to debug or read memory of another process(SeDebugPrivilege)",
"Settings: Requiring rights elevation in browser",
"Steal: Targeting Windows Saved Credential"
],
"analysis_subject": {
"sha256": "3ed0fead30f80313e7fdb275652295108f8044da592f27aa7e98232bf40b4738",
"sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"mime_type": "application/x-pe-app-32bit-i386",
"md5": "a6d2b2f3ff369137748ff40403606862"
},
"last_submission_timestamp": "2021-03-15 06:37:17"
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
| 資料表 | 表格名稱:「{0} 分析結果」。 資料表資料欄: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 分數 Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
一般 |
| 附件 | fileName:lastline_file_analisys_full_report.json fileContent:要求 5 的 JSON 回應 |
一般 |
搜尋分析記錄
說明
搜尋 Lastline 完成的分析工作記錄。提交網址或檔案雜湊時,可以提供 md5 或 sha1 格式。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 提交內容的名稱 | 字串 | 不適用 | 否 | 要搜尋的提交內容名稱。可以是網址或檔案雜湊,格式為 MD5 和 SHA1。 |
| 提交類型 | DDL | 未指定 | 否 | 視需要指定要搜尋的提交類型,可以是網址或 FileHash。 |
| 可倒轉的小時數上限 | 整數 | 24 | 否 | 要搜尋已完成分析工作的時間範圍 |
| 在最近 x 次掃描中搜尋 | 整數 | 100 | 是 | 在 Any.Run 執行的最後 x 次分析中搜尋報表。 |
| 略過前 x 次掃描 | 整數 | 0 | 否 | 略過 Any.Run API 傳回的前 x 次掃描。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"success": 1,
"data": [
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:37:18",
"analysis_history_id": 711622656,
"title": null,
"score": 39
},
{
"username": "tip.labops@siemplify.co",
"status": "finished",
"task_subject_filename": null,
"task_subject_sha1": "933b0903a87d1ec2c1b54e4608223f42168422c7",
"task_uuid": "8af81dd5b542001024d946e57d28c99b",
"task_subject_md5": "a6d2b2f3ff369137748ff40403606862",
"task_subject_url": null,
"task_start_time": "2021-03-15 06:28:24",
"analysis_history_id": 3856791660,
"title": null,
"score": 39
},
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應失敗並停止執行應對手冊:
|
一般 |
| 資料表 | 表格名稱:搜尋結果 資料表資料欄: 工作 UUID md5 sha1 SHA256 網址 狀態 提交者 (使用者名稱) 提交時間 |
一般 |
取得分析結果
說明
使用先前完成的分析工作結果,擴充 Google SecOps FileHash 或 URL 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 整數 | 70 | 是 | 如果實體的分數值高於指定門檻,請將實體標示為可疑。 |
| 在最近 x 次掃描中搜尋 | 整數 | 25 | 是 | 在 Lastline 執行的最後 x 次分析中,搜尋所提供實體的報告。 |
| 建立洞察資料? | 核取方塊 | 已取消勾選 | 否 | 指定是否要根據報表資料建立洞察資料。 |
執行時間
這項動作會對下列實體執行:
- 檔案雜湊 (md-5、sha-1、sha-256)
- 網址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"success": 1,
"data": {
"submission": "2021-03-14 04:46:11",
"expires": "2021-03-16 04:46:10",
"task_uuid": "5801c22ce6b4001003e58377051920f2",
"reports": [
{
"relevance": 1.0,
"report_uuid": "36150b54987b7f8bIUnzQWg2UgKxu8qdz7caWKwqyWz1yyE1aFpa9g",
"report_versions": [
"ll-pcap"
],
"description": "Pcap analysis"
},
{
"relevance": 1.0,
"report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q",
"report_versions": [
"ll-web"
],
"description": "Dynamic analysis in instrumented Chrome browser"
}
],
"submission_timestamp": "2021-03-15 03:58:51",
"child_tasks": [
{
"task_uuid": "772d23d8d59500100f87aac889c70ece",
"score": 0,
"tag": "network traffic analysis",
"parent_report_uuid": "a03998ee0d483efaRlYorEk0lbJUBcMXkYP1YfeGpQTufOFDWraR5Q"
}
],
"score": 0,
"malicious_activity": [
"Info: A Domain / URL of high reputation was visited"
],
"analysis_subject": {
"url": "https://yahoo.com"
},
"last_submission_timestamp": "2021-03-15 03:58:51"
}
}
實體擴充
方法 1:網址
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| IsSuspicous | 如果達到特定門檻,實體應標示為可疑。 |
| Lastline.Submission_Timestamp | 一律 |
| Lastline.Latest_Submission_Timestamp | 一律 |
| Lastline.Results_Expiry_Timestamp | 一律 |
| Lastline.Analysis_Task_UUID | 一律 |
| Lastline.Score | 一律 |
| Lastline.Malicious_Activity | 一律 |
方法 2:檔案
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| IsSuspicous | 如果達到特定門檻,實體應標示為可疑。 |
| Lastline.Submission_Timestamp | 一律 |
| Lastline.Latest_Submission_Timestamp | 一律 |
| Lastline.Results_Expiry_Timestamp | 一律 |
| Lastline.Analysis_Task_UUID | 一律 |
| Lastline.Score | 一律 |
| Lastline.Malicious_Activity | 一律 |
| Lastline.md5 | 一律 |
| Lastline.sha1 | 一律 |
| Lastline.sha256 | 一律 |
| Lastline.mime\_type | 一律 |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
| 表格 (適用於網址) | 表格名稱:「{0} 分析結果」。 資料表資料欄: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 分數 Malicious_Activity |
一般 |
| 表格 (適用於 FileHash) | 表格名稱:「{0} 分析結果」。 資料表資料欄: Submission_Timestamp Latest_Submission_Timestamp Results_Expiry_Timestamp Analysis_Task_UUID 分數 Malicious_Activity md5_hash sha1_hash sha256_hash mime_type |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。