Google SecOps와 Mandiant Threat Intelligence 통합
이 문서에서는 Mandiant Threat Intelligence를 Google Security Operations (Google SecOps)와 통합하는 방법을 안내합니다.
통합 버전: 11.0
통합 매개변수
Mandiant Threat Intelligence 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
UI Root |
필수 Mandiant 인스턴스의 UI 루트입니다. 기본값은 |
API Root |
필수 Mandiant 인스턴스의 API 루트입니다. 기본값은 Google Threat Intelligence 사용자 인증 정보로 인증하려면 |
Client ID |
선택사항 Mandiant Threat Intelligence 계정의 클라이언트 ID입니다. Mandiant Threat Intelligence에서 클라이언트 ID를 생성하려면 계정 설정 > API 액세스 및 키 > 키 ID 및 보안 비밀 가져오기로 이동합니다. |
Client Secret |
선택사항 Mandiant Threat Intelligence 계정의 클라이언트 보안 비밀번호입니다. Mandiant Threat Intelligence에서 클라이언트 보안 비밀을 생성하려면 계정 설정 > API 액세스 및 키 > 키 ID 및 보안 비밀 가져오기로 이동합니다. |
GTI API Key |
선택사항
Google Threat Intelligence의 API 키입니다. Google 위협 인텔리전스를 사용하여 인증하려면 Google 위협 인텔리전스 API 키를 사용하여 인증하면 다른 인증 방법보다 우선합니다. |
Verify SSL |
필수 선택하면 통합에서 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.
작업
작업에 관한 자세한 내용은 Workdesk의 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
항목 보강
항목 보강 작업을 사용하여 Mandiant 위협 인텔리전스의 정보를 사용하여 항목을 보강합니다. 이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
항목 보강 작업은 다음 Google SecOps 항목에서 실행됩니다.
HostnameIP AddressURLFile HashThreat ActorVulnerability
작업 입력
Enrich Entities 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Severity Score Threshold |
필수 항목을 의심스러운 것으로 표시하는 가장 낮은 심각도 점수입니다. 이 작업은 기본값은 50개입니다. 최댓값은 100입니다. |
Create Insight |
선택사항 선택하면 작업에서 항목에 대해 검색된 모든 정보가 포함된 통계를 만듭니다. 기본적으로 선택됩니다. |
Only Suspicious Entity Insight |
선택사항 선택하면 작업에서 의심스러운 항목에 대해서만 통계를 만듭니다. 이 매개변수를 선택하는 경우 |
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강
다음 표에는 엔티티 보강 작업을 사용할 때의 지표 보강 값이 나와 있습니다.
| 보강 필드 이름 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
first_seen |
first_seen |
JSON으로 제공되는 경우에 적용됩니다. |
last_seen |
last_seen |
JSON으로 제공되는 경우에 적용됩니다. |
sources |
고유한 sources/source_name 값의 CSV 파일 |
JSON으로 제공되는 경우에 적용됩니다. |
mscore |
mscore |
JSON으로 제공되는 경우에 적용됩니다. |
attributed_associations_{associated_associations/type}
|
모든 attributed_associations/type 유형의 attributed_associations/name 키 CSV 파일 (유형당 하나의 키) |
JSON으로 제공되는 경우에 적용됩니다. |
report_link |
제작되었습니다. | JSON으로 제공되는 경우에 적용됩니다. |
다음 표에는 Enrich Entities 작업을 사용할 때 Threat Actors 엔티티의 보강 값이 나와 있습니다.
| 보강 필드 이름 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
motivations |
motivations/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
aliases |
aliases/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
industries |
industries/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
malware |
malware/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
locations\_source |
locations/source/country/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
locations\_target |
locations/target/name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
cve |
cve/cve\_id 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
description |
description |
JSON으로 제공되는 경우에 적용됩니다. |
last\_activity\_time |
last\_activity\_time |
JSON으로 제공되는 경우에 적용됩니다. |
report\_link |
제작되었습니다. | JSON으로 제공되는 경우에 적용됩니다. |
다음 표에는 Enrich Entities 작업을 사용할 때 Vulnerability 엔티티의 보강 값이 나와 있습니다.
| 보강 필드 이름 | 소스 (JSON 키) | 적용 범위 |
|---|---|---|
sources |
source_name 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
exploitation_state |
exploitation_state |
JSON으로 제공되는 경우에 적용됩니다. |
date_of_disclosure |
date_of_disclosure |
JSON으로 제공되는 경우에 적용됩니다. |
vendor_fix_references |
vendor_fix_references/url |
JSON으로 제공되는 경우에 적용됩니다. |
title |
title |
JSON으로 제공되는 경우에 적용됩니다. |
exploitation_vectors |
exploitation_vectors 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
description |
description |
JSON으로 제공되는 경우에 적용됩니다. |
risk_rating |
risk_rating |
JSON으로 제공되는 경우에 적용됩니다. |
available_mitigation |
available_mitigation 값의 CSV입니다. |
JSON으로 제공되는 경우에 적용됩니다. |
exploitation_consequence |
exploitation_consequence |
JSON으로 제공되는 경우에 적용됩니다. |
report_link |
공예 | JSON으로 제공되는 경우에 적용됩니다. |
JSON 결과
다음 예는 엔티티 보강 작업을 사용할 때 수신된 지표의 JSON 결과 출력을 보여줍니다.
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
다음 예시에서는 Enrich Entities(엔티티 보강) 작업을 사용할 때 수신된 Threat Actor 엔티티의 JSON 결과 출력을 보여줍니다.
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
다음 예시에서는 Enrich Entities(엔티티 보강) 작업을 사용할 때 수신된 Vulnerability 엔티티의 JSON 결과 출력을 보여줍니다.
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
출력 메시지
Enrich Entities 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Enrich Entities 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 보강
IOC 보강 작업을 사용하여 Mandiant 위협 인텔리전스에서 IOC에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Identifiers |
필수 강화할 IOC의 쉼표로 구분된 목록입니다. |
작업 출력
IOC 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 IOC 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
출력 메시지
IOC 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
멀웨어 세부정보 가져오기
멀웨어 세부정보 가져오기 작업을 사용하여 Mandiant Threat Intelligence에서 멀웨어에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
멀웨어 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Malware Names |
필수 강화할 멀웨어 이름을 쉼표로 구분한 목록입니다. |
Create Insight |
선택사항 선택하면 작업에서 항목에 대해 검색된 모든 정보가 포함된 통계를 만듭니다. |
Fetch Related IOCs |
선택사항 선택하면 작업이 제공된 멀웨어와 관련된 표시기를 가져옵니다. |
Max Related IOCs To Return |
선택사항 작업에서 각 악성코드에 대해 처리하는 지표 수입니다. 기본값은 100입니다. |
작업 출력
멀웨어 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 멀웨어 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
출력 메시지
멀웨어 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 멀웨어 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 항목 가져오기
관련 항목 가져오기 작업을 사용하여 Mandiant 위협 인텔리전스의 정보를 사용하여 항목과 관련된 침해 지표 (IOC)에 관한 세부정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HostnameIP AddressURLFile HashThreat Actor
작업 입력
관련 항목 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Lowest Severity Score |
필수 관련 지표를 반환하는 가장 낮은 심각도 점수입니다. 기본값은 50개입니다. 최댓값은 100입니다. |
Max IOCs To Return |
선택사항 작업에서 각 항목에 대해 처리하는 표시기 수입니다. 기본값은 100입니다. |
작업 출력
관련 항목 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 항목 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
출력 메시지
관련 항목 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 항목 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 Mandiant 위협 인텔리전스와의 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.