將 Mandiant Threat Intelligence 整合至 Google SecOps
整合版本:14.0
本文說明如何將 Mandiant Threat Intelligence 與 Google Security Operations (Google SecOps) 整合。
用途
Mandiant Threat Intelligence 整合功能會使用 Google SecOps 功能,支援下列用途:
自動分類和評分:使用 Mandiant 嚴重程度分數 (M 分數) 擴充有效案件中的實體 (IP、雜湊、主機名稱、網址),根據設定的門檻自動判斷可疑狀態,並優先處理高風險指標。
威脅關聯和調查:從指標 (IP、雜湊或網址) 樞紐分析,擷取並關聯相關的 Mandiant 物件,包括與觀察到的活動相關聯的威脅發動者、惡意軟體系列和安全漏洞 (CVE)。
主動獵捕和補救:使用已知的惡意軟體或威脅行為者名稱 (來自外部報告),擷取所有相關的入侵指標 (IOC),例如新識別的檔案雜湊或 IP,以便在環境中進行防禦性封鎖或主動獵捕。
整合參數
整合 Mandiant 威脅情報時,需要下列參數:
| 參數 | 說明 |
|---|---|
UI Root |
必填。 Mandiant 執行個體的 UI 根目錄。 |
API Root |
必填。 Mandiant 執行個體的 API 根目錄。 如要使用 Google Threat Intelligence 憑證進行驗證,請輸入下列值: |
Client ID |
選填。 Mandiant Threat Intelligence 帳戶的用戶端 ID。 如要在 Mandiant Threat Intelligence 中產生用戶端 ID,請依序前往「Account settings」(帳戶設定)「API access and keys」(API 存取權和金鑰)「Get key ID and secret」(取得金鑰 ID 和密鑰)。 |
Client Secret |
選填。 Mandiant Threat Intelligence 帳戶的用戶端密鑰。 如要在 Mandiant Threat Intelligence 中產生用戶端密鑰,請依序前往「Account settings」(帳戶設定)「API access and keys」(API 存取權和金鑰)「Get key ID and secret」(取得金鑰 ID 和密鑰)。 |
GTI API Key |
選填。 Google Threat Intelligence 的 API 金鑰。 如要使用 Google Threat Intelligence 進行驗證,請將 使用 Google Threat Intelligence API 金鑰進行驗證時,系統會優先採用這種方法,而非其他驗證方法。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Mandiant Threat Intelligence 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
充實實體
使用「Enrich Entities」(豐富實體) 動作,透過 Mandiant Threat Intelligence 的資訊豐富實體。
這項動作會在下列 Google SecOps 實體上執行:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
動作輸入內容
「Enrich Entities」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Severity Score Threshold |
必填。 實體必須達到或超過的最低嚴重程度分數,才能標示為可疑。 這項動作只能將下列指標標示為可疑:
最大值為 預設值為 |
Create Insight |
選填。 如果選取這個選項,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 (預設為啟用)。 |
Only Suspicious Entity Insight |
選填。 如果選取這個選項,系統只會針對根據設定的嚴重程度門檻判斷為可疑的實體產生洞察資料。 無論 |
動作輸出內容
「Enrich Entities」(擴充實體) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體擴充資料表
下表列出使用「Enrich Entities」(擴充實體) 動作時,指標擴充功能的相關值:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
first_seen |
first_seen |
JSON 結果中提供時。 |
last_seen |
last_seen |
JSON 結果中提供時。 |
sources |
包含不重複 sources/source_name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
mscore |
mscore |
JSON 結果中提供時。 |
attributed_associations_{associated_associations/type}
|
每個 attributed_associations/type 類型各有一個 attributed_associations/name 鍵的 CSV 檔案 (每個類型各有一個鍵)。 |
JSON 結果中提供時。 |
report_link |
已製作。 | JSON 結果中提供時。 |
下表列出使用「Enrich Entities」(擴充實體) 動作時,Threat Actors 實體的擴充值:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
motivations |
motivations/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
aliases |
aliases/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
industries |
industries/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
malware |
malware/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
locations\_source |
locations/source/country/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
locations\_target |
locations/target/name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
cve |
cve/cve\_id 值的 CSV 檔案。 |
JSON 結果中提供時。 |
description |
description |
JSON 結果中提供時。 |
last\_activity\_time |
last\_activity\_time |
JSON 結果中提供時。 |
report\_link |
已製作。 | JSON 結果中提供時。 |
下表列出使用「Enrich Entities」(擴充實體) 動作時,Vulnerability 實體的擴充值:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
sources |
source_name 值的 CSV 檔案。 |
JSON 結果中提供時。 |
exploitation_state |
exploitation_state |
JSON 結果中提供時。 |
date_of_disclosure |
date_of_disclosure |
JSON 結果中提供時。 |
vendor_fix_references |
vendor_fix_references/url |
JSON 結果中提供時。 |
title |
title |
JSON 結果中提供時。 |
exploitation_vectors |
exploitation_vectors 值的 CSV 檔案。 |
JSON 結果中提供時。 |
description |
description |
JSON 結果中提供時。 |
risk_rating |
risk_rating |
JSON 結果中提供時。 |
available_mitigation |
available_mitigation 值的 CSV 檔案。 |
JSON 結果中提供時。 |
exploitation_consequence |
exploitation_consequence |
JSON 結果中提供時。 |
report_link |
手工製 | JSON 結果中提供時。 |
JSON 結果
下列範例顯示使用「Enrich Entities」動作時收到的指標 JSON 結果輸出內容:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
以下範例顯示使用「Enrich Entities」動作時,收到的 Threat Actor 實體 JSON 結果輸出:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
以下範例顯示使用「Enrich Entities」動作時,收到的 Vulnerability 實體 JSON 結果輸出內容:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
輸出訊息
「Enrich Entities」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich Entities」(擴充實體) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
充實 IOC
使用「Enrich IOCs」動作,從 Mandiant 擷取特定 IOC 的威脅情報資料。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Enrich IOCs」動作需要下列參數:
| 參數 | 說明 |
|---|---|
IOC Identifiers |
必填。 以半形逗號分隔的 IOC 清單,用於擷取威脅情資資料。 |
動作輸出內容
「Enrich IOCs」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Enrich IOCs」動作時收到的 JSON 結果輸出內容:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
輸出訊息
「Enrich IOCs」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich IOCs」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得惡意軟體詳細資料
使用「取得惡意軟體詳細資料」動作,從 Mandiant Threat Intelligence 取得惡意軟體相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得惡意軟體詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Malware Names |
必填。 以半形逗號分隔的惡意軟體名稱清單,用於擴充資訊。 |
Create Insight |
選填。 如果選取這個選項,動作會建立洞察資料,其中包含實體的所有擷取資訊。 (預設為啟用)。 |
Fetch Related IOCs |
選填。 如果選取這個動作,系統會擷取與所提供惡意軟體相關的指標。 (預設為啟用)。 |
Max Related IOCs To Return |
選填。 動作為每個惡意軟體項目處理的相關指標數量上限。 預設值為 |
動作輸出內容
「Get Malware Details」(取得惡意軟體詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得惡意軟體詳細資料」動作時收到的 JSON 結果輸出內容:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
輸出訊息
「取得惡意軟體詳細資料」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得惡意軟體詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得相關實體
使用「Get Related Entities」(取得相關實體) 動作,透過 Mandiant Threat Intelligence 的資訊,取得與實體相關的入侵指標 (IOC) 詳細資料。
這項動作會在下列 Google SecOps 實體上執行:
DomainFile HashHostnameIP AddressThreat ActorURL
動作輸入內容
「取得相關實體」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Lowest Severity Score |
必填。 指標必須達到的最低嚴重程度分數,才會納入結果。 最大值為 預設值為 |
Max IOCs To Return |
選填。 動作為每個已處理的實體擷取的 IOC 數量上限。 預設值為 |
動作輸出內容
「取得相關實體」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得相關實體」動作時收到的 JSON 結果輸出內容:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
輸出訊息
「Get Related Entities」(取得相關實體) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得相關實體」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
乒乓
使用「Ping」動作測試與 Mandiant 威脅情報的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
動作成功。 |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。