Mengintegrasikan Mandiant Threat Intelligence dengan Google SecOps
Versi integrasi: 14.0
Dokumen ini menjelaskan cara mengintegrasikan Mandiant Threat Intelligence dengan Google Security Operations (Google SecOps).
Kasus penggunaan
Integrasi Mandiant Threat Intelligence menggunakan kemampuan Google SecOps untuk mendukung kasus penggunaan berikut:
Triage dan pemberian skor otomatis: Memperkaya entitas (IP, Hash, Nama Host, URL) dalam kasus aktif dengan Skor Keparahan Mandiant (M-Score) untuk menentukan status kecurigaan secara otomatis dan memprioritaskan indikator berisiko tinggi berdasarkan nilai minimum yang dikonfigurasi.
Korelasi dan investigasi ancaman: Lakukan pivot dari indikator (IP, Hash, atau URL) untuk mengambil dan mengorelasikan objek Mandiant terkait, termasuk Pelaku Ancaman, Jenis malware, dan Kerentanan (CVE) yang terkait dengan aktivitas yang diamati.
Perburuan dan perbaikan proaktif: Gunakan nama malware atau pelaku ancaman yang diketahui (dari laporan eksternal) untuk mengambil semua indikator kompromi (IOC) terkait seperti Hash File atau IP yang baru diidentifikasi untuk pemblokiran defensif atau perburuan proaktif di seluruh lingkungan.
Parameter integrasi
Integrasi Mandiant Threat Intelligence memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
UI Root |
Wajib. Root UI instance Mandiant. |
API Root |
Wajib. Root API instance Mandiant. Untuk mengautentikasi dengan kredensial Google Threat Intelligence, masukkan
nilai berikut: |
Client ID |
Opsional. ID klien akun Mandiant Threat Intelligence. Untuk membuat ID klien di Mandiant Threat Intelligence, buka Account settings > API access and keys > Get key ID and secret. |
Client Secret |
Opsional. Rahasia klien akun Mandiant Threat Intelligence. Untuk membuat secret klien di Mandiant Threat Intelligence, buka Account settings > API access and keys > Get key ID and secret. |
GTI API Key |
Opsional. Kunci API Google Threat Intelligence. Untuk mengautentikasi menggunakan Google Threat Intelligence, tetapkan nilai
Saat Anda melakukan autentikasi menggunakan kunci Google Threat Intelligence API, kunci tersebut akan diprioritaskan daripada metode autentikasi lainnya. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Mandiant Threat Intelligence. Diaktifkan secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Memperkaya Entitas
Gunakan tindakan Enrich Entities untuk memperkaya entitas menggunakan informasi dari Mandiant Threat Intelligence.
Tindakan ini berjalan di entity Google SecOps berikut:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Input tindakan
Tindakan Enrich Entities memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Severity Score Threshold |
Wajib. Skor tingkat keparahan minimum yang harus dipenuhi atau dilampaui entitas agar ditandai sebagai mencurigakan. Tindakan ini hanya dapat menandai indikator berikut sebagai mencurigakan:
Nilai maksimum adalah Nilai defaultnya adalah |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi semua informasi yang diambil tentang entitas. Diaktifkan secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk entitas yang ditentukan sebagai mencurigakan berdasarkan ambang batas tingkat keparahan yang dikonfigurasi. Insight selalu dibuat untuk entitas |
Output tindakan
Tindakan Enrich Entities memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel pengayaan entitas
Tabel berikut mencantumkan nilai untuk pengayaan indikator saat menggunakan tindakan Enrich Entities:
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
first_seen |
first_seen |
Jika tersedia di hasil JSON. |
last_seen |
last_seen |
Jika tersedia di hasil JSON. |
sources |
File CSV dengan nilai sources/source_name yang unik. |
Jika tersedia di hasil JSON. |
mscore |
mscore |
Jika tersedia di hasil JSON. |
attributed_associations_{associated_associations/type}
|
File CSV kunci attributed_associations/name untuk
setiap jenis attributed_associations/type (satu kunci untuk setiap
jenis). |
Jika tersedia di hasil JSON. |
report_link |
Dibuat. | Jika tersedia di hasil JSON. |
Tabel berikut mencantumkan nilai untuk pengayaan entitas Threat Actors saat menggunakan tindakan Enrich Entities:
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
motivations |
CSV nilai motivations/name. |
Jika tersedia di hasil JSON. |
aliases |
CSV nilai aliases/name. |
Jika tersedia di hasil JSON. |
industries |
CSV nilai industries/name. |
Jika tersedia di hasil JSON. |
malware |
CSV nilai malware/name. |
Jika tersedia di hasil JSON. |
locations\_source |
CSV nilai locations/source/country/name. |
Jika tersedia di hasil JSON. |
locations\_target |
CSV nilai locations/target/name. |
Jika tersedia di hasil JSON. |
cve |
CSV nilai cve/cve\_id. |
Jika tersedia di hasil JSON. |
description |
description |
Jika tersedia di hasil JSON. |
last\_activity\_time |
last\_activity\_time |
Jika tersedia di hasil JSON. |
report\_link |
Dibuat. | Jika tersedia di hasil JSON. |
Tabel berikut mencantumkan nilai untuk pengayaan entitas Vulnerability saat menggunakan tindakan Enrich Entities:
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
sources |
CSV nilai source_name. |
Jika tersedia di hasil JSON. |
exploitation_state |
exploitation_state |
Jika tersedia di hasil JSON. |
date_of_disclosure |
date_of_disclosure |
Jika tersedia di hasil JSON. |
vendor_fix_references |
vendor_fix_references/url |
Jika tersedia di hasil JSON. |
title |
title |
Jika tersedia di hasil JSON. |
exploitation_vectors |
CSV nilai exploitation_vectors. |
Jika tersedia di hasil JSON. |
description |
description |
Jika tersedia di hasil JSON. |
risk_rating |
risk_rating |
Jika tersedia di hasil JSON. |
available_mitigation |
CSV nilai available_mitigation. |
Jika tersedia di hasil JSON. |
exploitation_consequence |
exploitation_consequence |
Jika tersedia di hasil JSON. |
report_link |
Dibuat | Jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON untuk indikator yang diterima saat menggunakan tindakan Perkaya Entitas:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Contoh berikut menunjukkan output hasil JSON untuk entitas Threat Actor
yang diterima saat menggunakan tindakan Enrich Entities:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Contoh berikut menunjukkan output hasil JSON untuk entitas Vulnerability
yang diterima saat menggunakan tindakan Enrich Entities:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Pesan output
Tindakan Enrich Entities dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Memperkaya IOC
Gunakan tindakan Perkaya IOC untuk mengambil data intelijen ancaman tentang IOC tertentu dari Mandiant.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Enrich IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOC Identifiers |
Wajib. Daftar IOC yang dipisahkan koma untuk mengambil data informasi ancaman. |
Output tindakan
Tindakan Perkaya IOC memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Pesan output
Tindakan Enrich IOCs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Detail Malware
Gunakan tindakan Get Malware Details untuk mendapatkan informasi tentang malware dari Mandiant Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Dapatkan Detail Malware memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Malware Names |
Wajib. Daftar nama malware yang dipisahkan koma untuk diperkaya. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi semua informasi yang diambil tentang entity. Diaktifkan secara default. |
Fetch Related IOCs |
Opsional. Jika dipilih, tindakan akan mengambil indikator yang terkait dengan malware yang diberikan. Diaktifkan secara default. |
Max Related IOCs To Return |
Opsional. Jumlah maksimum indikator terkait yang diproses tindakan untuk setiap entri malware. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Malware Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Malware Details:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Pesan output
Tindakan Get Malware Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Malware:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Entity Terkait
Gunakan tindakan Get Related Entities untuk mendapatkan detail tentang indikator kompromi (IOC) yang terkait dengan entity menggunakan informasi dari Mandiant Threat Intelligence.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressThreat ActorURL
Input tindakan
Tindakan Get Related Entities memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Lowest Severity Score |
Wajib. Skor tingkat keparahan minimum yang harus dipenuhi indikator agar disertakan dalam hasil. Nilai maksimum adalah Nilai defaultnya adalah |
Max IOCs To Return |
Opsional. Jumlah maksimum IOC yang diambil tindakan untuk setiap entity yang diproses. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related Entities memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related Entities:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Pesan output
Tindakan Get Related Entities dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related Entities:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Mandiant Threat Intelligence.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.