Integrare Mandiant Threat Intelligence con Google SecOps
Versione integrazione: 14.0
Questo documento spiega come integrare Mandiant Threat Intelligence con Google Security Operations (Google SecOps).
Casi d'uso
L'integrazione di Mandiant Threat Intelligence utilizza le funzionalità di Google SecOps per supportare i seguenti casi d'uso:
Triage e assegnazione di punteggio automatici: arricchisci le entità (IP, hash, nomi host, URL) in un caso attivo con il punteggio di gravità Mandiant (M-Score) per determinare automaticamente lo stato di sospetto e dare la priorità agli indicatori ad alto rischio in base alla soglia configurata.
Correlazione e analisi delle minacce: passa da un indicatore (IP, hash o URL) per recuperare e correlare gli oggetti Mandiant associati, inclusi utenti malintenzionati, famiglie di malware e vulnerabilità (CVE) collegati all'attività osservata.
Ricerca e correzione proattive: utilizza nomi di malware o attori di minacce noti (da report esterni) per recuperare tutti gli indicatori di compromissione (IOC) correlati, come hash di file o IP appena identificati per il blocco difensivo o la ricerca proattiva nell'ambiente.
Parametri di integrazione
L'integrazione di Mandiant Threat Intelligence richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
UI Root |
Obbligatorio. La radice dell'interfaccia utente dell'istanza Mandiant. |
API Root |
Obbligatorio. La radice API dell'istanza Mandiant. Per eseguire l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Client ID |
Facoltativo. L'ID client dell'account Mandiant Threat Intelligence. Per generare l'ID client in Mandiant Threat Intelligence, vai a Impostazioni account > Accesso API e chiavi > Ottieni ID chiave e secret. |
Client Secret |
Facoltativo. Il client secret dell'account Mandiant Threat Intelligence. Per generare il client secret in Mandiant Threat Intelligence, vai a Impostazioni account > Accesso e chiavi API > Ottieni ID e secret chiave. |
GTI API Key |
Facoltativo. La chiave API di Google Threat Intelligence. Per l'autenticazione tramite Google Threat Intelligence, imposta il valore di
Quando esegui l'autenticazione utilizzando la chiave API Google Threat Intelligence, ha la priorità rispetto ad altri metodi di autenticazione. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Mandiant Threat Intelligence. Abilitato per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Arricchisci entità
Utilizza l'azione Arricchisci entità per arricchire le entità utilizzando le informazioni di Mandiant Threat Intelligence.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
CVEDomainFile HashHostnameIP AddressThreat ActorURL
Input azione
L'azione Arricchisci entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Severity Score Threshold |
Obbligatorio. Il punteggio di gravità minimo che un'entità deve raggiungere o superare per essere contrassegnata come sospetta. L'azione può contrassegnare come sospetti solo i seguenti indicatori:
Il valore massimo è Il valore predefinito è |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento contenente tutte le informazioni recuperate sull'entità. Abilitato per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera insight solo per le entità ritenute sospette in base alla soglia di gravità configurata. Gli approfondimenti vengono sempre creati per le entità |
Output dell'azione
L'azione Arricchisci entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella di arricchimento delle entità
La seguente tabella elenca i valori per l'arricchimento degli indicatori quando si utilizza l'azione Arricchisci entità:
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
first_seen |
first_seen |
Quando disponibile nel risultato JSON. |
last_seen |
last_seen |
Quando disponibile nel risultato JSON. |
sources |
Un file CSV di valori sources/source_name univoci. |
Quando disponibile nel risultato JSON. |
mscore |
mscore |
Quando disponibile nel risultato JSON. |
attributed_associations_{associated_associations/type}
|
Un file CSV di chiavi attributed_associations/name per
ogni tipo attributed_associations/type (una chiave per ogni
tipo). |
Quando disponibile nel risultato JSON. |
report_link |
Realizzato. | Quando disponibile nel risultato JSON. |
La seguente tabella elenca i valori per l'arricchimento dell'entità Threat Actors
quando utilizzi l'azione Arricchisci entità:
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
motivations |
Un file CSV dei valori motivations/name. |
Quando disponibile nel risultato JSON. |
aliases |
Un file CSV dei valori aliases/name. |
Quando disponibile nel risultato JSON. |
industries |
Un file CSV dei valori industries/name. |
Quando disponibile nel risultato JSON. |
malware |
Un file CSV dei valori malware/name. |
Quando disponibile nel risultato JSON. |
locations\_source |
Un file CSV dei valori locations/source/country/name. |
Quando disponibile nel risultato JSON. |
locations\_target |
Un file CSV dei valori locations/target/name. |
Quando disponibile nel risultato JSON. |
cve |
Un file CSV dei valori cve/cve\_id. |
Quando disponibile nel risultato JSON. |
description |
description |
Quando disponibile nel risultato JSON. |
last\_activity\_time |
last\_activity\_time |
Quando disponibile nel risultato JSON. |
report\_link |
Realizzato. | Quando disponibile nel risultato JSON. |
La seguente tabella elenca i valori per l'arricchimento dell'entità Vulnerability
quando utilizzi l'azione Arricchisci entità:
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
sources |
Un file CSV dei valori source_name. |
Quando disponibile nel risultato JSON. |
exploitation_state |
exploitation_state |
Quando disponibile nel risultato JSON. |
date_of_disclosure |
date_of_disclosure |
Quando disponibile nel risultato JSON. |
vendor_fix_references |
vendor_fix_references/url |
Quando disponibile nel risultato JSON. |
title |
title |
Quando disponibile nel risultato JSON. |
exploitation_vectors |
Un file CSV dei valori exploitation_vectors. |
Quando disponibile nel risultato JSON. |
description |
description |
Quando disponibile nel risultato JSON. |
risk_rating |
risk_rating |
Quando disponibile nel risultato JSON. |
available_mitigation |
Un file CSV dei valori available_mitigation. |
Quando disponibile nel risultato JSON. |
exploitation_consequence |
exploitation_consequence |
Quando disponibile nel risultato JSON. |
report_link |
Realizzato | Quando disponibile nel risultato JSON. |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON per gli indicatori ricevuti quando si utilizza l'azione Arricchisci entità:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Il seguente esempio mostra l'output del risultato JSON per l'entità Threat Actor
ricevuto quando si utilizza l'azione Arricchisci entità:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
L'esempio seguente mostra l'output del risultato JSON per l'entità Vulnerability
ricevuta quando si utilizza l'azione Arricchisci entità:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Messaggi di output
L'azione Arricchisci entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action MandiantThreatIntelligence - Enrich
Entities. Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Arricchire gli IOC
Utilizza l'azione Arricchisci IOC per recuperare i dati di threat intelligence relativi a IOC specifici da Mandiant.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Arricchisci indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Identifiers |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione per recuperare i dati di intelligence sulle minacce. |
Output dell'azione
L'azione Arricchisci indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci indicatori di compromissione:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Messaggi di output
L'azione Arricchisci indicatori di compromissione può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Visualizzare i dettagli del malware
Utilizza l'azione Ottieni dettagli sul malware per ottenere informazioni sul malware da Mandiant Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Recupera dettagli malware richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Malware Names |
Obbligatorio. Un elenco separato da virgole di nomi di malware da arricchire. |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento che contiene tutte le informazioni recuperate sull'entità. Abilitato per impostazione predefinita. |
Fetch Related IOCs |
Facoltativo. Se selezionata, l'azione recupera gli indicatori correlati al malware fornito. Abilitato per impostazione predefinita. |
Max Related IOCs To Return |
Facoltativo. Il numero massimo di indicatori correlati che l'azione elabora per ogni voce di malware. Il valore predefinito è |
Output dell'azione
L'azione Ottieni dettagli malware fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Malware Details:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Messaggi di output
L'azione Ottieni dettagli malware può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Recupera dettagli malware:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Recupero entità correlate
Utilizza l'azione Ottieni entità correlate per ottenere dettagli sugli indicatori di compromissione (IOC) correlati alle entità utilizzando le informazioni di Mandiant Threat Intelligence.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURL
Input azione
L'azione Ottieni entità correlate richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Lowest Severity Score |
Obbligatorio. Il punteggio di gravità minimo che un indicatore deve soddisfare per essere incluso nei risultati. Il valore massimo è Il valore predefinito è |
Max IOCs To Return |
Facoltativo. Il numero massimo di indicatori di compromissione recuperati dall'azione per ogni entità elaborata. Il valore predefinito è |
Output dell'azione
L'azione Recupera entità correlate fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related Entities:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Messaggi di output
L'azione Recupera entità correlate può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera entità correlate:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Dindin
Utilizza l'azione Ping per testare la connettività a Mandiant Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to the Mandiant server with the
provided connection parameters! |
L'azione è riuscita. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.