Mandiant Threat Intelligence를 Google SecOps와 통합
통합 버전: 14.0
이 문서에서는 Mandiant 위협 인텔리전스를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
사용 사례
Mandiant Threat Intelligence 통합은 Google SecOps 기능을 사용하여 다음 사용 사례를 지원합니다.
자동 분류 및 점수 매기기: 활성 케이스의 엔터티 (IP, 해시, 호스트 이름, URL)를 Mandiant 심각도 점수 (M-Score)로 보강하여 의심 상태를 자동으로 확인하고 구성된 임곗값을 기반으로 위험도가 높은 지표의 우선순위를 지정합니다.
위협 상관관계 및 조사: 지표 (IP, 해시 또는 URL)에서 피벗하여 관찰된 활동에 연결된 위협 행위자, 멀웨어 패밀리, 취약점 (CVE) 등 관련 Mandiant 객체를 검색하고 상호 연관시킵니다.
사전 헌팅 및 수정: 알려진 멀웨어 또는 위협 행위자 이름(외부 보고서에서)을 사용하여 환경 전반에서 방어적 차단 또는 사전 헌팅을 위해 새로 식별된 파일 해시 또는 IP와 같은 모든 관련 침해 지표 (IOC)를 가져옵니다.
통합 매개변수
Mandiant Threat Intelligence 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
UI Root |
필수 항목입니다. Mandiant 인스턴스의 UI 루트입니다. |
API Root |
필수 항목입니다. Mandiant 인스턴스의 API 루트입니다. Google Threat Intelligence 사용자 인증 정보로 인증하려면 |
Client ID |
선택사항입니다. Mandiant Threat Intelligence 계정의 클라이언트 ID입니다. Mandiant Threat Intelligence에서 클라이언트 ID를 생성하려면 계정 설정 > API 액세스 및 키 > 키 ID 및 보안 비밀 가져오기로 이동합니다. |
Client Secret |
선택사항입니다. Mandiant Threat Intelligence 계정의 클라이언트 보안 비밀번호입니다. Mandiant Threat Intelligence에서 클라이언트 보안 비밀을 생성하려면 계정 설정 > API 액세스 및 키 > 키 ID 및 보안 비밀 가져오기로 이동합니다. |
GTI API Key |
선택사항입니다. Google Threat Intelligence의 API 키입니다. Google Threat Intelligence를 사용하여 인증하려면 Google 위협 인텔리전스 API 키를 사용하여 인증하면 다른 인증 방법보다 우선합니다. |
Verify SSL |
필수 항목입니다. 선택하면 Mandiant 위협 인텔리전스 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.
항목 보강
항목 보강 작업을 사용하여 Mandiant 위협 인텔리전스의 정보를 사용하여 항목을 보강합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
CVEDomainFile HashHostnameIP AddressThreat ActorURL
작업 입력
Enrich Entities 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Severity Score Threshold |
필수 항목입니다. 의심스러운 것으로 표시되기 위해 항목이 충족하거나 초과해야 하는 최소 심각도 점수입니다. 이 작업은 다음 표시기만 의심스러운 것으로 표시할 수 있습니다.
최댓값은 기본값은 |
Create Insight |
선택사항입니다. 선택하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. 기본적으로 사용 설정됩니다. |
Only Suspicious Entity Insight |
선택사항입니다. 선택하면 작업은 구성된 심각도 임계값을 기준으로 의심스러운 것으로 판단된 항목에 대해서만 통계를 생성합니다. 통계는 의심스러운 상태와 관계없이 항상 |
작업 출력
Enrich Entities 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강 테이블
다음 표에는 엔티티 보강 작업을 사용할 때의 지표 보강 값이 나와 있습니다.
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
first_seen |
first_seen |
JSON 결과에서 사용할 수 있는 경우 |
last_seen |
last_seen |
JSON 결과에서 사용할 수 있는 경우 |
sources |
고유한 sources/source_name 값의 CSV 파일 |
JSON 결과에서 사용할 수 있는 경우 |
mscore |
mscore |
JSON 결과에서 사용할 수 있는 경우 |
attributed_associations_{associated_associations/type}
|
모든 attributed_associations/type 유형의 attributed_associations/name 키 CSV 파일 (유형당 하나의 키) |
JSON 결과에서 사용할 수 있는 경우 |
report_link |
제작되었습니다. | JSON 결과에서 사용할 수 있는 경우 |
다음 표에는 엔티티 보강 작업을 사용할 때 Threat Actors 엔티티의 보강 값이 나와 있습니다.
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
motivations |
motivations/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
aliases |
aliases/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
industries |
industries/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
malware |
malware/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
locations\_source |
locations/source/country/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
locations\_target |
locations/target/name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
cve |
cve/cve\_id 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
description |
description |
JSON 결과에서 사용할 수 있는 경우 |
last\_activity\_time |
last\_activity\_time |
JSON 결과에서 사용할 수 있는 경우 |
report\_link |
제작되었습니다. | JSON 결과에서 사용할 수 있는 경우 |
다음 표에는 엔티티 보강 작업을 사용할 때 Vulnerability 엔티티의 보강 값이 나와 있습니다.
| 보강 필드 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
sources |
source_name 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
exploitation_state |
exploitation_state |
JSON 결과에서 사용할 수 있는 경우 |
date_of_disclosure |
date_of_disclosure |
JSON 결과에서 사용할 수 있는 경우 |
vendor_fix_references |
vendor_fix_references/url |
JSON 결과에서 사용할 수 있는 경우 |
title |
title |
JSON 결과에서 사용할 수 있는 경우 |
exploitation_vectors |
exploitation_vectors 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
description |
description |
JSON 결과에서 사용할 수 있는 경우 |
risk_rating |
risk_rating |
JSON 결과에서 사용할 수 있는 경우 |
available_mitigation |
available_mitigation 값의 CSV입니다. |
JSON 결과에서 사용할 수 있는 경우 |
exploitation_consequence |
exploitation_consequence |
JSON 결과에서 사용할 수 있는 경우 |
report_link |
공예 | JSON 결과에서 사용할 수 있는 경우 |
JSON 결과
다음 예는 엔티티 보강 작업을 사용할 때 수신된 지표의 JSON 결과 출력을 보여줍니다.
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
다음 예시에서는 Enrich Entities(엔티티 보강) 작업을 사용할 때 수신된 Threat Actor 엔티티의 JSON 결과 출력을 보여줍니다.
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
다음 예는 Enrich Entities 작업을 사용할 때 수신된 Vulnerability 엔티티의 JSON 결과 출력을 보여줍니다.
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
출력 메시지
Enrich Entities 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Enrich Entities 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
IOC 보강
IOC 보강 작업을 사용하여 Mandiant에서 특정 IOC에 관한 위협 인텔리전스 데이터를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Identifiers |
필수 항목입니다. 위협 인텔리전스 데이터를 가져올 IOC의 쉼표로 구분된 목록입니다. |
작업 출력
IOC 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 IOC 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
출력 메시지
IOC 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
멀웨어 세부정보 가져오기
멀웨어 세부정보 가져오기 작업을 사용하여 Mandiant Threat Intelligence에서 멀웨어에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
멀웨어 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Malware Names |
필수 항목입니다. 강화할 멀웨어 이름을 쉼표로 구분한 목록입니다. |
Create Insight |
선택사항입니다. 선택하면 작업에서 항목에 대해 검색된 모든 정보가 포함된 통계를 만듭니다. 기본적으로 사용 설정됩니다. |
Fetch Related IOCs |
선택사항입니다. 선택하면 작업에서 제공된 멀웨어와 관련된 표시기를 가져옵니다. 기본적으로 사용 설정됩니다. |
Max Related IOCs To Return |
선택사항입니다. 작업이 각 멀웨어 항목에 대해 처리하는 관련 지표의 최대 수입니다. 기본값은 |
작업 출력
멀웨어 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 멀웨어 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
출력 메시지
멀웨어 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 멀웨어 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
관련 항목 가져오기
관련 항목 가져오기 작업을 사용하여 Mandiant 위협 인텔리전스의 정보를 사용하여 항목과 관련된 침해 지표 (IOC)에 관한 세부정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressThreat ActorURL
작업 입력
관련 항목 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Lowest Severity Score |
필수 항목입니다. 결과에 포함되기 위해 지표가 충족해야 하는 최소 심각도 점수입니다. 최댓값은 기본값은 |
Max IOCs To Return |
선택사항입니다. 작업에서 처리된 각 항목에 대해 가져오는 최대 IOC 수입니다. 기본값은 |
작업 출력
관련 항목 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 항목 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
출력 메시지
관련 항목 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 항목 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
핑
Ping 작업을 사용하여 Mandiant 위협 인텔리전스와의 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.