Intégrer Mandiant Threat Intelligence à Google SecOps
Version de l'intégration : 14.0
Ce document explique comment intégrer Mandiant Threat Intelligence à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration Mandiant Threat Intelligence utilise les fonctionnalités Google SecOps pour prendre en charge les cas d'utilisation suivants :
Tri et évaluation automatisés : enrichissez les entités (adresses IP, hachages, noms d'hôte, URL) d'une demande active avec le score de gravité Mandiant (M-Score) pour déterminer automatiquement l'état de suspicion et hiérarchiser les indicateurs à haut risque en fonction du seuil configuré.
Corrélation et investigation des menaces : passez d'un indicateur (adresse IP, hachage ou URL) pour récupérer et corréler les objets Mandiant associés, y compris les acteurs malveillants, les familles de logiciels malveillants et les failles (CVE) liées à l'activité observée.
Chasse et correction proactives : utilisez des noms de logiciels malveillants ou d'acteurs malveillants connus (à partir de rapports externes) pour récupérer tous les indicateurs de compromission (IOC) associés, tels que les hachages de fichiers ou les adresses IP nouvellement identifiés, pour le blocage défensif ou la chasse proactive dans l'environnement.
Paramètres d'intégration
L'intégration Mandiant Threat Intelligence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
UI Root |
Obligatoire. Racine de l'UI de l'instance Mandiant. |
API Root |
Obligatoire. Racine de l'API de l'instance Mandiant. Pour vous authentifier avec les identifiants Google Threat Intelligence, saisissez la valeur suivante : |
Client ID |
Facultatif. ID client du compte Mandiant Threat Intelligence. Pour générer l'ID client dans Mandiant Threat Intelligence, accédez à Paramètres du compte > Accès et clés API > Obtenir l'ID et le secret de la clé. |
Client Secret |
Facultatif. Code secret du client du compte Mandiant Threat Intelligence. Pour générer le code secret du client dans Mandiant Threat Intelligence, accédez à Paramètres du compte> Accès et clés API> Obtenir l'ID et le secret de la clé. |
GTI API Key |
Facultatif. Clé API de Google Threat Intelligence. Pour vous authentifier à l'aide de Google Threat Intelligence, définissez la valeur Lorsque vous vous authentifiez à l'aide de la clé API Google Threat Intelligence, elle est prioritaire par rapport aux autres méthodes d'authentification. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Mandiant Threat Intelligence. Cette option est activée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Enrichir les entités
Utilisez l'action Enrichir les entités pour enrichir les entités à l'aide des informations de Mandiant Threat Intelligence.
Cette action s'exécute sur les entités Google SecOps suivantes :
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Entrées d'action
L'action Enrichir les entités nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Severity Score Threshold |
Obligatoire. Score de gravité minimal qu'une entité doit atteindre ou dépasser pour être marquée comme suspecte. L'action ne peut marquer que les indicateurs suivants comme suspects :
La valeur maximale est de La valeur par défaut est |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. Cette option est activée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les entités considérées comme suspectes en fonction du seuil de gravité configuré. Des insights sont toujours créés pour les entités |
Sorties d'action
L'action Enrichir les entités fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table d'enrichissement des entités
Le tableau suivant répertorie les valeurs pour l'enrichissement des indicateurs lorsque vous utilisez l'action Enrichir les entités :
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
first_seen |
first_seen |
Lorsqu'il est disponible dans le résultat JSON. |
last_seen |
last_seen |
Lorsqu'il est disponible dans le résultat JSON. |
sources |
Fichier CSV contenant des valeurs sources/source_name uniques. |
Lorsqu'il est disponible dans le résultat JSON. |
mscore |
mscore |
Lorsqu'il est disponible dans le résultat JSON. |
attributed_associations_{associated_associations/type}
|
Un fichier CSV de clés attributed_associations/name pour chaque type attributed_associations/type (une clé pour chaque type). |
Lorsqu'il est disponible dans le résultat JSON. |
report_link |
Conçue. | Lorsqu'il est disponible dans le résultat JSON. |
Le tableau suivant répertorie les valeurs d'enrichissement de l'entité Threat Actors lorsque vous utilisez l'action Enrichir les entités :
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
motivations |
CSV de valeurs motivations/name. |
Lorsqu'il est disponible dans le résultat JSON. |
aliases |
CSV de valeurs aliases/name. |
Lorsqu'il est disponible dans le résultat JSON. |
industries |
CSV de valeurs industries/name. |
Lorsqu'il est disponible dans le résultat JSON. |
malware |
CSV de valeurs malware/name. |
Lorsqu'il est disponible dans le résultat JSON. |
locations\_source |
CSV de valeurs locations/source/country/name. |
Lorsqu'il est disponible dans le résultat JSON. |
locations\_target |
CSV de valeurs locations/target/name. |
Lorsqu'il est disponible dans le résultat JSON. |
cve |
CSV de valeurs cve/cve\_id. |
Lorsqu'il est disponible dans le résultat JSON. |
description |
description |
Lorsqu'il est disponible dans le résultat JSON. |
last\_activity\_time |
last\_activity\_time |
Lorsqu'il est disponible dans le résultat JSON. |
report\_link |
Conçue. | Lorsqu'il est disponible dans le résultat JSON. |
Le tableau suivant répertorie les valeurs d'enrichissement de l'entité Vulnerability lorsque vous utilisez l'action Enrichir les entités :
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
sources |
CSV de valeurs source_name. |
Lorsqu'il est disponible dans le résultat JSON. |
exploitation_state |
exploitation_state |
Lorsqu'il est disponible dans le résultat JSON. |
date_of_disclosure |
date_of_disclosure |
Lorsqu'il est disponible dans le résultat JSON. |
vendor_fix_references |
vendor_fix_references/url |
Lorsqu'il est disponible dans le résultat JSON. |
title |
title |
Lorsqu'il est disponible dans le résultat JSON. |
exploitation_vectors |
CSV de valeurs exploitation_vectors. |
Lorsqu'il est disponible dans le résultat JSON. |
description |
description |
Lorsqu'il est disponible dans le résultat JSON. |
risk_rating |
risk_rating |
Lorsqu'il est disponible dans le résultat JSON. |
available_mitigation |
CSV de valeurs available_mitigation. |
Lorsqu'il est disponible dans le résultat JSON. |
exploitation_consequence |
exploitation_consequence |
Lorsqu'il est disponible dans le résultat JSON. |
report_link |
Conçus | Lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre la sortie des résultats JSON pour les indicateurs reçus lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
L'exemple suivant montre le résultat JSON pour l'entité Threat Actor reçue lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
L'exemple suivant montre le résultat JSON pour l'entité Vulnerability reçue lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Messages de sortie
L'action Enrichir les entités peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Enrichir les IOC
Utilisez l'action Enrichir les IoC pour récupérer les données de renseignements sur les menaces concernant des IoC spécifiques auprès de Mandiant.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Enrichir les IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Identifiers |
Obligatoire. Liste d'IOC séparés par une virgule pour lesquels récupérer des données de renseignements sur les menaces. |
Sorties d'action
L'action Enrichir les IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les IOC :
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Messages de sortie
L'action Enrichir les IOC peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Enrichir les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir des informations sur les logiciels malveillants
Utilisez l'action Obtenir les détails du logiciel malveillant pour obtenir des informations sur les logiciels malveillants à partir de Mandiant Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du logiciel malveillant nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Malware Names |
Obligatoire. Liste de noms de logiciels malveillants à enrichir, séparés par une virgule. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. Cette option est activée par défaut. |
Fetch Related IOCs |
Facultatif. Si cette option est sélectionnée, l'action récupère les indicateurs liés au logiciel malveillant fourni. Cette option est activée par défaut. |
Max Related IOCs To Return |
Facultatif. Nombre maximal d'indicateurs associés que l'action traite pour chaque entrée de logiciel malveillant. La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails du logiciel malveillant fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du logiciel malveillant :
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Messages de sortie
L'action Obtenir les détails du logiciel malveillant peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails du logiciel malveillant :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les entités associées
Utilisez l'action Get Related Entities (Obtenir les entités associées) pour obtenir des informations sur les indicateurs de compromission (IOC) associés aux entités à l'aide des informations de Mandiant Threat Intelligence.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressThreat ActorURL
Entrées d'action
L'action Obtenir les entités associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Lowest Severity Score |
Obligatoire. Score de gravité minimal qu'un indicateur doit atteindre pour être inclus dans les résultats. La valeur maximale est de La valeur par défaut est |
Max IOCs To Return |
Facultatif. Nombre maximal d'IOC que l'action récupère pour chaque entité traitée. La valeur par défaut est |
Sorties d'action
L'action Obtenir les entités associées fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Entities (Obtenir les entités associées) :
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Messages de sortie
L'action Get Related Entities (Obtenir les entités associées) peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les entités associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ping
Utilisez l'action Ping pour tester la connectivité à Mandiant Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
L'action a réussi. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.