Mandiant Threat Intelligence in Google SecOps einbinden
In diesem Dokument finden Sie eine Anleitung zur Integration von Mandiant Threat Intelligence in Google Security Operations (Google SecOps).
Integrationsversion: 11.0
Integrationsparameter
Für die Mandiant Threat Intelligence-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
UI Root |
Erforderlich Der UI-Root der Mandiant-Instanz. Der Standardwert ist |
API Root |
Erforderlich Das API-Stammverzeichnis der Mandiant-Instanz. Der Standardwert ist Geben Sie zum Authentifizieren mit Google Threat Intelligence-Anmeldedaten den folgenden Wert ein: |
Client ID |
Optional Die Client-ID des Mandiant Threat Intelligence-Kontos. Wenn Sie die Client-ID in Mandiant Threat Intelligence generieren möchten, rufen Sie Kontoeinstellungen > API-Zugriff und ‑Schlüssel > Schlüssel-ID und ‑Secret abrufen auf. |
Client Secret |
Optional Der Clientschlüssel des Mandiant Threat Intelligence-Kontos. Um das Client-Secret in Mandiant Threat Intelligence zu generieren, gehen Sie zu Kontoeinstellungen > API-Zugriff und ‑Schlüssel > Schlüssel-ID und ‑Secret abrufen. |
GTI API Key |
Optional
Der API-Schlüssel von Google Threat Intelligence. Wenn Sie sich mit Google Threat Intelligence authentifizieren möchten, legen Sie den Parameterwert Wenn Sie sich mit dem Google Threat Intelligence API-Schlüssel authentifizieren, hat dies Vorrang vor anderen Authentifizierungsmethoden. |
Verify SSL |
Erforderlich Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in Ihrem Arbeitsbereich reagieren und Manuelle Aktion ausführen.
Entitäten anreichern
Mit der Aktion Enrich Entities (Entitäten anreichern) können Sie Entitäten mit Informationen aus Mandiant Threat Intelligence anreichern. Diese Aktion unterstützt nur die Hashes MD5, SHA-1 und SHA-256.
Die Aktion Enrich Entities wird für die folgenden Google SecOps-Entitäten ausgeführt:
HostnameIP AddressURLFile HashThreat ActorVulnerability
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Severity Score Threshold |
Erforderlich Der niedrigste Schweregrad, bei dem die Entität als verdächtig markiert wird. Mit der Aktion können die folgenden Indikatoren als verdächtig markiert werden: Der Standardwert ist 50. Der Höchstwert ist 100. |
Create Insight |
Optional Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der alle abgerufenen Informationen zur Entität enthält. Standardmäßig ausgewählt. |
Only Suspicious Entity Insight |
Optional Wenn diese Option ausgewählt ist, werden Statistiken nur für verdächtige Einheiten erstellt. Wenn Sie diesen Parameter auswählen, müssen Sie auch den Parameter |
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
In der folgenden Tabelle sind die Werte für die Anreicherung von Indikatoren bei Verwendung der Aktion Enrich Entities aufgeführt:
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
first_seen |
first_seen |
Gilt, wenn sie in JSON verfügbar ist. |
last_seen |
last_seen |
Gilt, wenn sie in JSON verfügbar ist. |
sources |
Eine CSV-Datei mit eindeutigen sources/source_name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
mscore |
mscore |
Gilt, wenn sie in JSON verfügbar ist. |
attributed_associations_{associated_associations/type}
|
Eine CSV-Datei mit attributed_associations/name-Schlüsseln für jeden attributed_associations/type-Typ (ein Schlüssel für jeden Typ). |
Gilt, wenn sie in JSON verfügbar ist. |
report_link |
Erstellt. | Gilt, wenn sie in JSON verfügbar ist. |
In der folgenden Tabelle sind die Werte für die Anreicherung der Threat Actors-Entität bei Verwendung der Aktion Enrich Entities aufgeführt:
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
motivations |
CSV-Datei mit motivations/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
aliases |
CSV-Datei mit aliases/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
industries |
CSV-Datei mit industries/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
malware |
CSV-Datei mit malware/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
locations\_source |
CSV-Datei mit locations/source/country/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
locations\_target |
CSV-Datei mit locations/target/name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
cve |
CSV-Datei mit cve/cve\_id-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
description |
description |
Gilt, wenn sie in JSON verfügbar ist. |
last\_activity\_time |
last\_activity\_time |
Gilt, wenn sie in JSON verfügbar ist. |
report\_link |
Erstellt. | Gilt, wenn sie in JSON verfügbar ist. |
In der folgenden Tabelle sind die Werte für die Anreicherung der Vulnerability-Entität bei Verwendung der Aktion Enrich Entities aufgeführt:
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
sources |
CSV-Datei mit source_name-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
exploitation_state |
exploitation_state |
Gilt, wenn sie in JSON verfügbar ist. |
date_of_disclosure |
date_of_disclosure |
Gilt, wenn sie in JSON verfügbar ist. |
vendor_fix_references |
vendor_fix_references/url |
Gilt, wenn sie in JSON verfügbar ist. |
title |
title |
Gilt, wenn sie in JSON verfügbar ist. |
exploitation_vectors |
CSV-Datei mit exploitation_vectors-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
description |
description |
Gilt, wenn sie in JSON verfügbar ist. |
risk_rating |
risk_rating |
Gilt, wenn sie in JSON verfügbar ist. |
available_mitigation |
CSV-Datei mit available_mitigation-Werten. |
Gilt, wenn sie in JSON verfügbar ist. |
exploitation_consequence |
exploitation_consequence |
Gilt, wenn sie in JSON verfügbar ist. |
report_link |
Crafted | Gilt, wenn sie in JSON verfügbar ist. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe für Indikatoren, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen werden:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Das folgende Beispiel zeigt die JSON-Ausgabe für die Threat Actor-Einheit, die bei Verwendung der Aktion Enrich Entities empfangen wird:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Das folgende Beispiel zeigt die JSON-Ausgabe für die Vulnerability-Einheit, die bei Verwendung der Aktion Enrich Entities empfangen wird:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Ausgabemeldungen
Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs anreichern
Mit der Aktion IOCs anreichern können Sie Informationen zu IOCs aus Mandiant Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOCs anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Identifiers |
Erforderlich Eine durch Kommas getrennte Liste der zu erweiternden IOCs. |
Aktionsausgaben
Die Aktion IOCs anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion IOCs anreichern empfangen wird:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Ausgabemeldungen
Die Aktion IOCs anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Malware-Details abrufen
Mit der Aktion Get Malware Details (Malware-Details abrufen) können Sie Informationen zu Malware von Mandiant Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Malware Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Malware Names |
Erforderlich Eine durch Kommas getrennte Liste der Malware-Namen, die angereichert werden sollen. |
Create Insight |
Optional Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der alle abgerufenen Informationen zur Entität enthält. |
Fetch Related IOCs |
Optional Wenn diese Option ausgewählt ist, werden mit der Aktion Indikatoren abgerufen, die mit der angegebenen Malware zusammenhängen. |
Max Related IOCs To Return |
Optional Die Anzahl der Indikatoren, die von der Aktion für jede Malware verarbeitet werden. Der Standardwert ist 100. |
Aktionsausgaben
Die Aktion Get Malware Details (Malwaredetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Malware Details (Malwaredetails abrufen) empfangen wird:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Ausgabemeldungen
Die Aktion Get Malware Details (Malwaredetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Malware Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige Entitäten abrufen
Mit der Aktion Get Related Entities (Zugehörige Entitäten abrufen) können Sie Details zu Bedrohungsindikatoren (Indicators of Compromise, IOCs) abrufen, die mit Entitäten verknüpft sind. Dazu werden Informationen aus Mandiant Threat Intelligence verwendet.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HostnameIP AddressURLFile HashThreat Actor
Aktionseingaben
Für die Aktion Zugehörige Einheiten abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Lowest Severity Score |
Erforderlich Der niedrigste Schweregrad, für den zugehörige Indikatoren zurückgegeben werden sollen. Der Standardwert ist 50. Der Höchstwert ist 100. |
Max IOCs To Return |
Optional Die Anzahl der Indikatoren, die für jede Entität von der Aktion verarbeitet werden. Der Standardwert ist 100. |
Aktionsausgaben
Die Aktion Get Related Entities (Zugehörige Einheiten abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Entities (Zugehörige Entitäten abrufen) empfangen wird:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Ausgabemeldungen
Die Aktion Get Related Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Zugehörige Einheiten abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Mandiant Threat Intelligence zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
Die Aktion wurde ausgeführt. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten