Mandiant Threat Intelligence in Google SecOps einbinden
Integrationsversion: 14.0
In diesem Dokument wird beschrieben, wie Sie Mandiant Threat Intelligence in Google Security Operations (Google SecOps) einbinden.
Anwendungsfälle
Bei der Integration von Mandiant Threat Intelligence werden die Google SecOps-Funktionen zur Unterstützung der folgenden Anwendungsfälle verwendet:
Automatisierte Triage und Bewertung: Reichern Sie Entitäten (IP-Adressen, Hashes, Hostnamen, URLs) in einem aktiven Fall mit dem Mandiant Severity Score (M-Score) an, um den Verdachtsstatus automatisch zu bestimmen und Indikatoren mit hohem Risiko anhand des konfigurierten Schwellenwerts zu priorisieren.
Bedrohungsabgleich und ‑untersuchung: Sie können von einem Indikator (IP, Hash oder URL) aus pivotieren, um zugehörige Mandiant-Objekte abzurufen und in Beziehung zu setzen, darunter Bedrohungsakteure, Malware-Familien und Sicherheitslücken (CVEs), die mit der beobachteten Aktivität verknüpft sind.
Proaktive Suche und Abhilfe: Verwenden Sie bekannte Namen von Malware oder Bedrohungsakteuren (aus externen Berichten), um alle zugehörigen Indicators of Compromise (IOCs) abzurufen, z. B. neu identifizierte Dateihashes oder IP-Adressen für die defensive Blockierung oder proaktive Suche in der Umgebung.
Integrationsparameter
Für die Mandiant Threat Intelligence-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
UI Root |
Erforderlich. Der UI-Root der Mandiant-Instanz. |
API Root |
Erforderlich. Das API-Stammverzeichnis der Mandiant-Instanz. Geben Sie zur Authentifizierung mit Google Threat Intelligence-Anmeldedaten den folgenden Wert ein: |
Client ID |
Optional. Die Client-ID des Mandiant Threat Intelligence-Kontos. Wenn Sie die Client-ID in Mandiant Threat Intelligence generieren möchten, gehen Sie zu Kontoeinstellungen > API-Zugriff und ‑Schlüssel > Schlüssel-ID und ‑Secret abrufen. |
Client Secret |
Optional. Der Clientschlüssel des Mandiant Threat Intelligence-Kontos. Um das Client-Secret in Mandiant Threat Intelligence zu generieren, gehen Sie zu Kontoeinstellungen > API-Zugriff und ‑Schlüssel > Schlüssel-ID und ‑Secret abrufen. |
GTI API Key |
Optional. Der API-Schlüssel von Google Threat Intelligence. Wenn Sie sich mit Google Threat Intelligence authentifizieren möchten, legen Sie den Wert Wenn Sie sich mit dem Google Threat Intelligence API-Schlüssel authentifizieren, hat dies Vorrang vor anderen Authentifizierungsmethoden. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Mandiant Threat Intelligence-Server validiert. Standardmäßig aktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.
Entitäten anreichern
Mit der Aktion Enrich Entities (Entitäten anreichern) können Sie Entitäten mit Informationen aus Mandiant Threat Intelligence anreichern.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Severity Score Threshold |
Erforderlich. Der Mindestschweregrad, den eine Entität erreichen oder überschreiten muss, um als verdächtig gekennzeichnet zu werden. Mit der Aktion können nur die folgenden Indikatoren als verdächtig markiert werden:
Der Höchstwert ist Der Standardwert ist |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. Standardmäßig aktiviert. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden Statistiken nur für Entitäten generiert, die basierend auf dem konfigurierten Schweregradschwellenwert als verdächtig eingestuft werden. Statistiken werden immer für |
Aktionsausgaben
Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Werte für die Anreicherung von Indikatoren bei Verwendung der Aktion Enrich Entities aufgeführt:
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
first_seen |
first_seen |
Wenn im JSON-Ergebnis verfügbar. |
last_seen |
last_seen |
Wenn im JSON-Ergebnis verfügbar. |
sources |
Eine CSV-Datei mit eindeutigen sources/source_name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
mscore |
mscore |
Wenn im JSON-Ergebnis verfügbar. |
attributed_associations_{associated_associations/type}
|
Eine CSV-Datei mit attributed_associations/name-Schlüsseln für jeden attributed_associations/type-Typ (ein Schlüssel für jeden Typ). |
Wenn im JSON-Ergebnis verfügbar. |
report_link |
Erstellt. | Wenn im JSON-Ergebnis verfügbar. |
In der folgenden Tabelle sind die Werte für die Anreicherung der Threat Actors-Entität bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) aufgeführt:
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
motivations |
Eine CSV-Datei mit motivations/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
aliases |
Eine CSV-Datei mit aliases/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
industries |
Eine CSV-Datei mit industries/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
malware |
Eine CSV-Datei mit malware/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
locations\_source |
Eine CSV-Datei mit locations/source/country/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
locations\_target |
Eine CSV-Datei mit locations/target/name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
cve |
Eine CSV-Datei mit cve/cve\_id-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
description |
description |
Wenn im JSON-Ergebnis verfügbar. |
last\_activity\_time |
last\_activity\_time |
Wenn im JSON-Ergebnis verfügbar. |
report\_link |
Erstellt. | Wenn im JSON-Ergebnis verfügbar. |
In der folgenden Tabelle sind die Werte für die Anreicherung der Vulnerability-Entität bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) aufgeführt:
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
sources |
Eine CSV-Datei mit source_name-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
exploitation_state |
exploitation_state |
Wenn im JSON-Ergebnis verfügbar. |
date_of_disclosure |
date_of_disclosure |
Wenn im JSON-Ergebnis verfügbar. |
vendor_fix_references |
vendor_fix_references/url |
Wenn im JSON-Ergebnis verfügbar. |
title |
title |
Wenn im JSON-Ergebnis verfügbar. |
exploitation_vectors |
Eine CSV-Datei mit exploitation_vectors-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
description |
description |
Wenn im JSON-Ergebnis verfügbar. |
risk_rating |
risk_rating |
Wenn im JSON-Ergebnis verfügbar. |
available_mitigation |
Eine CSV-Datei mit available_mitigation-Werten. |
Wenn im JSON-Ergebnis verfügbar. |
exploitation_consequence |
exploitation_consequence |
Wenn im JSON-Ergebnis verfügbar. |
report_link |
Crafted | Wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe für Indikatoren, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen werden:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Das folgende Beispiel zeigt die JSON-Ausgabe für die Threat Actor-Einheit, die bei Verwendung der Aktion Enrich Entities empfangen wird:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Im folgenden Beispiel sehen Sie die JSON-Ausgabe für die Vulnerability-Entität, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen wird:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Ausgabenachrichten
Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
IOCs anreichern
Mit der Aktion Enrich IOCs (IOCs anreichern) können Sie Threat Intelligence-Daten zu bestimmten IOCs von Mandiant abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOCs anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Identifiers |
Erforderlich. Eine durch Kommas getrennte Liste von IOCs, für die Threat Intelligence-Daten abgerufen werden sollen. |
Aktionsausgaben
Die Aktion IOCs anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion IOCs anreichern empfangen wird:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Ausgabenachrichten
Die Aktion IOCs anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Malware-Details abrufen
Mit der Aktion Get Malware Details (Malwaredetails abrufen) können Sie Informationen zu Malware von Mandiant Threat Intelligence abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Malware Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Malware Names |
Erforderlich. Eine durch Kommas getrennte Liste der Malware-Namen, die angereichert werden sollen. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der alle abgerufenen Informationen zur Entität enthält. Standardmäßig aktiviert. |
Fetch Related IOCs |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion Indikatoren abgerufen, die mit der angegebenen Malware zusammenhängen. Standardmäßig aktiviert. |
Max Related IOCs To Return |
Optional. Die maximale Anzahl der zugehörigen Indikatoren, die für jeden Malware-Eintrag verarbeitet werden. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Malware Details (Malwaredetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Malware Details (Malwaredetails abrufen) empfangen wird:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Ausgabenachrichten
Die Aktion Get Malware Details (Malwaredetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Malware Details (Malwaredetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zugehörige Entitäten abrufen
Mit der Aktion Get Related Entities (Zugehörige Entitäten abrufen) können Sie Details zu Bedrohungsindikatoren (Indicators of Compromise, IOCs) abrufen, die mit Entitäten verknüpft sind. Dazu werden Informationen aus Mandiant Threat Intelligence verwendet.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressThreat ActorURL
Aktionseingaben
Für die Aktion Zugehörige Einheiten abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Lowest Severity Score |
Erforderlich. Der Mindestschweregrad, den ein Indikator erreichen muss, um in die Ergebnisse aufgenommen zu werden. Der Höchstwert ist Der Standardwert ist |
Max IOCs To Return |
Optional. Die maximale Anzahl von IOCs, die durch die Aktion für jede verarbeitete Entität abgerufen werden. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related Entities (Zugehörige Einheiten abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Entities (Zugehörige Entitäten abrufen) empfangen wird:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Ausgabenachrichten
Die Aktion Get Related Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Zugehörige Einheiten abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Mandiant Threat Intelligence zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
Die Aktion wurde erfolgreich ausgeführt. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten