Integra Mandiant Threat Intelligence con Google SecOps
Versión de integración: 14.0
En este documento, se explica cómo integrar Mandiant Threat Intelligence en Google Security Operations (Google SecOps).
Casos de uso
La integración de Mandiant Threat Intelligence usa las capacidades de Google SecOps para admitir los siguientes casos de uso:
Clasificación y puntuación automatizadas: Enriquecer entidades (IP, hashes, nombres de host y URLs) en un caso activo con la puntuación de gravedad de Mandiant (M-Score) para determinar automáticamente el estado de sospecha y priorizar los indicadores de alto riesgo según el umbral configurado
Correlación e investigación de amenazas: Cambia de un indicador (IP, hash o URL) para recuperar y correlacionar objetos de Mandiant asociados, incluidos los agentes de amenazas, las familias de malware y las vulnerabilidades (CVE) vinculadas a la actividad observada.
Cacería y corrección proactivas: Usa nombres conocidos de malware o de actores de amenazas (de informes externos) para recuperar todos los indicadores de compromiso (IOC) relacionados, como los hashes de archivos o las IPs recién identificados para el bloqueo defensivo o la cacería proactiva en todo el entorno.
Parámetros de integración
La integración de Mandiant Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. Es la raíz de la IU de la instancia de Mandiant. |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Mandiant. Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Client ID |
Es opcional. Es el ID de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el ID de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de la clave. |
Client Secret |
Es opcional. Es el secreto del cliente de la cuenta de Mandiant Threat Intelligence. Para generar el secreto del cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de la clave. |
GTI API Key |
Es opcional. Es la clave de API de Google Threat Intelligence. Para autenticarte con Google Threat Intelligence, configura el valor Cuando te autenticas con la clave de la API de Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Mandiant Threat Intelligence. Habilitada de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.
Enriquece entidades
Usa la acción Enrich Entities para enriquecer entidades con la información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Entradas de acción
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Severity Score Threshold |
Obligatorio. Es la puntuación de gravedad mínima que debe alcanzar o superar una entidad para marcarse como sospechosa. La acción solo puede marcar los siguientes indicadores como sospechosos:
El valor máximo es El valor predeterminado es |
Create Insight |
Es opcional. Si se selecciona, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. Habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Es opcional. Si se selecciona, la acción genera estadísticas solo para las entidades que se determinan como sospechosas según el umbral de gravedad configurado. Las estadísticas siempre se crean para las entidades |
Resultados de la acción
La acción Enrich Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los valores para el enriquecimiento de indicadores cuando se usa la acción Enrich Entities:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
first_seen |
first_seen |
Cuando está disponible en el resultado JSON. |
last_seen |
last_seen |
Cuando está disponible en el resultado JSON. |
sources |
Es un archivo CSV de valores sources/source_name únicos. |
Cuando está disponible en el resultado JSON. |
mscore |
mscore |
Cuando está disponible en el resultado JSON. |
attributed_associations_{associated_associations/type}
|
Un archivo CSV de claves de attributed_associations/name para cada tipo de attributed_associations/type (una clave para cada tipo) |
Cuando está disponible en el resultado JSON. |
report_link |
Elaborado. | Cuando está disponible en el resultado JSON. |
En la siguiente tabla, se enumeran los valores para el enriquecimiento de la entidad Threat Actors cuando se usa la acción Enrich Entities:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
motivations |
Es un CSV de valores motivations/name. |
Cuando está disponible en el resultado JSON. |
aliases |
Es un CSV de valores aliases/name. |
Cuando está disponible en el resultado JSON. |
industries |
Es un CSV de valores industries/name. |
Cuando está disponible en el resultado JSON. |
malware |
Es un CSV de valores malware/name. |
Cuando está disponible en el resultado JSON. |
locations\_source |
Es un CSV de valores locations/source/country/name. |
Cuando está disponible en el resultado JSON. |
locations\_target |
Es un CSV de valores locations/target/name. |
Cuando está disponible en el resultado JSON. |
cve |
Es un CSV de valores cve/cve\_id. |
Cuando está disponible en el resultado JSON. |
description |
description |
Cuando está disponible en el resultado JSON. |
last\_activity\_time |
last\_activity\_time |
Cuando está disponible en el resultado JSON. |
report\_link |
Elaborado. | Cuando está disponible en el resultado JSON. |
En la siguiente tabla, se enumeran los valores para el enriquecimiento de la entidad Vulnerability cuando se usa la acción Enrich Entities:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
sources |
Es un CSV de valores source_name. |
Cuando está disponible en el resultado JSON. |
exploitation_state |
exploitation_state |
Cuando está disponible en el resultado JSON. |
date_of_disclosure |
date_of_disclosure |
Cuando está disponible en el resultado JSON. |
vendor_fix_references |
vendor_fix_references/url |
Cuando está disponible en el resultado JSON. |
title |
title |
Cuando está disponible en el resultado JSON. |
exploitation_vectors |
Es un CSV de valores exploitation_vectors. |
Cuando está disponible en el resultado JSON. |
description |
description |
Cuando está disponible en el resultado JSON. |
risk_rating |
risk_rating |
Cuando está disponible en el resultado JSON. |
available_mitigation |
Es un CSV de valores available_mitigation. |
Cuando está disponible en el resultado JSON. |
exploitation_consequence |
exploitation_consequence |
Cuando está disponible en el resultado JSON. |
report_link |
Elaborado | Cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON de los indicadores recibidos cuando se usa la acción Enrich Entities:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo, se muestra el resultado JSON de la entidad Threat Actor que se recibe cuando se usa la acción Enrich Entities:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo, se muestra el resultado JSON de la entidad Vulnerability recibida cuando se usa la acción Enrich Entities:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enriquece los IOC
Usa la acción Enrich IOCs para recuperar datos de inteligencia sobre amenazas acerca de IOCs específicos de Mandiant.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Identifiers |
Obligatorio. Es una lista separada por comas de los IOC para los que se recuperarán datos de inteligencia sobre amenazas. |
Resultados de la acción
La acción Enrich IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener detalles del software malicioso
Usa la acción Get Malware Details para obtener información sobre software malicioso de Mandiant Threat Intelligence.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Get Malware Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Malware Names |
Obligatorio. Es una lista separada por comas de los nombres de software malicioso que se deben enriquecer. |
Create Insight |
Es opcional. Si se selecciona, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. Habilitada de forma predeterminada. |
Fetch Related IOCs |
Es opcional. Si se selecciona, la acción recupera indicadores relacionados con el software malicioso proporcionado. Habilitada de forma predeterminada. |
Max Related IOCs To Return |
Es opcional. Es la cantidad máxima de indicadores relacionados que procesa la acción para cada entrada de software malicioso. El valor predeterminado es |
Resultados de la acción
La acción Get Malware Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Malware Details:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Mensajes de salida
La acción Get Malware Details puede mostrar los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Malware Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener entidades relacionadas
Usa la acción Get Related Entities para obtener detalles sobre los indicadores de compromiso (IOC) relacionados con las entidades a partir de la información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURL
Entradas de acción
La acción Get Related Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Lowest Severity Score |
Obligatorio. Es la puntuación de gravedad mínima que debe cumplir un indicador para incluirse en los resultados. El valor máximo es El valor predeterminado es |
Max IOCs To Return |
Es opcional. Es la cantidad máxima de IOC que la acción recupera para cada entidad procesada. El valor predeterminado es |
Resultados de la acción
La acción Get Related Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Entities:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Mensajes de salida
La acción Get Related Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Ping
Usa la acción Ping para probar la conectividad con Mandiant Threat Intelligence.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.