Integrar Mandiant Threat Intelligence con Google SecOps
Versión de integración: 14.0
En este documento se explica cómo integrar Mandiant Threat Intelligence con Google Security Operations (Google SecOps).
Casos prácticos
La integración de Mandiant Threat Intelligence usa las funciones de Google SecOps para admitir los siguientes casos prácticos:
Triaje y puntuación automatizados: enriquece las entidades (IPs, hashes, nombres de host y URLs) de un caso activo con la puntuación de gravedad de Mandiant (puntuación M) para determinar automáticamente el estado de sospecha y priorizar los indicadores de alto riesgo en función del umbral configurado.
Correlación e investigación de amenazas: pasa de un indicador (IP, hash o URL) a recuperar y correlacionar objetos de Mandiant asociados, como atacantes, familias de malware y vulnerabilidades (CVEs) vinculados a la actividad observada.
Búsqueda y corrección proactivas: usa nombres de malware o de agentes de amenazas conocidos (de informes externos) para obtener todos los indicadores de vulneración relacionados, como los hashes de archivos o las IPs recién identificados, para bloquearlos de forma defensiva o para realizar búsquedas proactivas en todo el entorno.
Parámetros de integración
La integración de Mandiant Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. La raíz de la interfaz de usuario de la instancia de Mandiant. |
API Root |
Obligatorio. La raíz de la API de la instancia de Mandiant. Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Client ID |
Opcional. El ID de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el ID de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de la API > Obtener ID y secreto de la clave. |
Client Secret |
Opcional. El secreto de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el secreto de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de clave. |
GTI API Key |
Opcional. La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor Cuando te autenticas mediante la clave de la API Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Mandiant Threat Intelligence. Esta opción está habilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Enriquecer entidades
Usa la acción Enriquecer entidades para enriquecer entidades con la información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Entradas de acciones
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Severity Score Threshold |
Obligatorio. La puntuación de gravedad mínima que debe alcanzar o superar una entidad para marcarse como sospechosa. La acción solo puede marcar como sospechosos los siguientes indicadores:
El valor máximo es El valor predeterminado es |
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo generará estadísticas de las entidades que se hayan determinado como sospechosas en función del umbral de gravedad configurado. Las estadísticas se crean siempre para las entidades |
Resultados de la acción
La acción Enriquecer entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla de enriquecimiento de entidades
En la siguiente tabla se indican los valores del enriquecimiento de indicadores al usar la acción Enriquecer entidades:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
first_seen |
first_seen |
Cuando esté disponible en el resultado JSON. |
last_seen |
last_seen |
Cuando esté disponible en el resultado JSON. |
sources |
Un archivo CSV de valores sources/source_name únicos. |
Cuando esté disponible en el resultado JSON. |
mscore |
mscore |
Cuando esté disponible en el resultado JSON. |
attributed_associations_{associated_associations/type}
|
Un archivo CSV de claves attributed_associations/name para
cada tipo attributed_associations/type (una clave por cada
tipo). |
Cuando esté disponible en el resultado JSON. |
report_link |
Elaborado. | Cuando esté disponible en el resultado JSON. |
En la siguiente tabla se indican los valores del enriquecimiento de la entidad Threat Actors al usar la acción Enriquecer entidades:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
motivations |
Un archivo CSV con los valores de motivations/name. |
Cuando esté disponible en el resultado JSON. |
aliases |
Un archivo CSV con los valores de aliases/name. |
Cuando esté disponible en el resultado JSON. |
industries |
Un archivo CSV con los valores de industries/name. |
Cuando esté disponible en el resultado JSON. |
malware |
Un archivo CSV con los valores de malware/name. |
Cuando esté disponible en el resultado JSON. |
locations\_source |
Un archivo CSV con los valores de locations/source/country/name. |
Cuando esté disponible en el resultado JSON. |
locations\_target |
Un archivo CSV con los valores de locations/target/name. |
Cuando esté disponible en el resultado JSON. |
cve |
Un archivo CSV con los valores de cve/cve\_id. |
Cuando esté disponible en el resultado JSON. |
description |
description |
Cuando esté disponible en el resultado JSON. |
last\_activity\_time |
last\_activity\_time |
Cuando esté disponible en el resultado JSON. |
report\_link |
Elaborado. | Cuando esté disponible en el resultado JSON. |
En la siguiente tabla se indican los valores del enriquecimiento de la entidad Vulnerability al usar la acción Enriquecer entidades:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
sources |
Un archivo CSV con los valores de source_name. |
Cuando esté disponible en el resultado JSON. |
exploitation_state |
exploitation_state |
Cuando esté disponible en el resultado JSON. |
date_of_disclosure |
date_of_disclosure |
Cuando esté disponible en el resultado JSON. |
vendor_fix_references |
vendor_fix_references/url |
Cuando esté disponible en el resultado JSON. |
title |
title |
Cuando esté disponible en el resultado JSON. |
exploitation_vectors |
Un archivo CSV con los valores de exploitation_vectors. |
Cuando esté disponible en el resultado JSON. |
description |
description |
Cuando esté disponible en el resultado JSON. |
risk_rating |
risk_rating |
Cuando esté disponible en el resultado JSON. |
available_mitigation |
Un archivo CSV con los valores de available_mitigation. |
Cuando esté disponible en el resultado JSON. |
exploitation_consequence |
exploitation_consequence |
Cuando esté disponible en el resultado JSON. |
report_link |
Elaborado | Cuando esté disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON de los indicadores recibidos al usar la acción Enrich Entities (Enriquecer entidades):
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo se muestra la salida del resultado JSON de la entidad Threat Actor recibida al usar la acción Enriquecer entidades:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo se muestra la salida del resultado JSON de la entidad Vulnerability recibida al usar la acción Enriquecer entidades:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Enriquecer IOCs
Usa la acción Enrich IOCs para obtener datos de inteligencia sobre amenazas de Mandiant sobre IOCs específicos.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Identifiers |
Obligatorio. Lista separada por comas de IOCs de los que se van a obtener datos de inteligencia sobre amenazas. |
Resultados de la acción
La acción Enriquecer indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich IOCs (Enriquecer indicadores de compromiso):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener detalles del malware
Usa la acción Obtener detalles del malware para obtener información sobre malware de Mandiant Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Malware Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Malware Names |
Obligatorio. Lista de nombres de malware separados por comas para enriquecer. |
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene toda la información obtenida sobre la entidad. Esta opción está habilitada de forma predeterminada. |
Fetch Related IOCs |
Opcional. Si se selecciona esta opción, la acción obtiene indicadores relacionados con el malware proporcionado. Esta opción está habilitada de forma predeterminada. |
Max Related IOCs To Return |
Opcional. Número máximo de indicadores relacionados que procesa la acción para cada entrada de malware. El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles del malware proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Malware Details (Obtener detalles del malware):
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Mensajes de salida
La acción Get Malware Details puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener detalles del malware:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener entidades relacionadas
Usa la acción Obtener entidades relacionadas para obtener detalles sobre indicadores de riesgo (IOCs) relacionados con entidades mediante información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURL
Entradas de acciones
La acción Obtener entidades relacionadas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Lowest Severity Score |
Obligatorio. La puntuación de gravedad mínima que debe tener un indicador para incluirse en los resultados. El valor máximo es El valor predeterminado es |
Max IOCs To Return |
Opcional. Número máximo de indicadores de compromiso que la acción obtiene de cada entidad procesada. El valor predeterminado es |
Resultados de la acción
La acción Obtener entidades relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related Entities (Obtener entidades relacionadas):
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Mensajes de salida
La acción Obtener entidades relacionadas puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Obtener entidades relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Ping
Usa la acción Ping para probar la conectividad con Mandiant Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.