Mandiant
Integrationsversion: 6.0
Mandiant-Integration in Google Security Operations konfigurieren
Eine ausführliche Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| UI-Stammknoten | String | https://advantage.mandiant.com | Ja | UI-Root der Mandiant-Instanz. |
| API-Stamm | String | https://api.intelligence.mandiant.com | Ja | API-Root der Mandiant-Instanz. |
| Client-ID | Passwort | – | Nein | Client-ID des Mandiant-Kontos. |
| CA-Zertifikatsdatei | String | – | Nein | Clientschlüssel des Mandiant-Kontos. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. |
Client-ID und Clientschlüssel generieren
Rufen Sie Einstellungen > API-Zugriff und Schlüssel auf und klicken Sie auf Schlüssel-ID und Secret abrufen.
Anwendungsbereiche
Entitäten anreichern.
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Mandiant mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Mandiant server with the provided connection parameters!“ (Es wurde eine Verbindung zum Mandiant-Server mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Mandiant-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)" |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen von Mandiant anreichern Unterstützte Entitäten: Hostname, IP-Adresse, URL, Datei-Hash, Bedrohungsakteur, Sicherheitslücke.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Schwellenwert für Schweregrad | Ganzzahl | 50 | Ja | Geben Sie den niedrigsten Schweregrad an, der verwendet wird, um die Einheit als verdächtig zu kennzeichnen. Hinweis:Nur Indikatoren (Hostname, IP-Adresse, Datei-Hash, URL) können als verdächtig markiert werden. Maximum: 100 |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
| Nur Informationen zu verdächtigen Entitäten | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion nur ein Insight für verdächtige Einheiten erstellt. Hinweis:Der Parameter „Create Insight“ muss aktiviert sein. Auch für die Einheiten „Threat Actor“ und „Vulnerability“ werden Statistiken erstellt, obwohl sie nicht als verdächtig gekennzeichnet sind. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- URL
- Datei-Hash
- Bedrohungsakteur
- Sicherheitslücke
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
JSON-Ergebnis für Indikatoren
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
JSON-Ergebnis für Bedrohungsakteur
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
JSON-Ergebnis für Sicherheitslücke
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Entitätsanreicherung
Anreicherungstabelle für Indikatoren – Präfix Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| first_seen | first_seen | Wenn in JSON verfügbar |
| last_seen | last_seen | Wenn in JSON verfügbar |
| sources | CSV-Datei mit eindeutigen „sources/source_name“-Werten | Wenn in JSON verfügbar |
| mscore | mscore | Wenn in JSON verfügbar |
| attributed_associations_{associated_associations/type} | CSV-Datei mit „attributed_associations/name“ pro „attributed_associations/type“, also ein Schlüssel pro Typ. So befindet sich beispielsweise die gesamte Malware an einem Ort. |
Wenn in JSON verfügbar |
| report_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Enrichment Table for Threat Actor – Prefix Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| Beweggründe | CSV-Datei mit Gründen/Namen | Wenn in JSON verfügbar |
| Aliasse | CSV-Datei mit Aliasen/Namen | Wenn in JSON verfügbar |
| Branchen | CSV-Datei mit Branchen/Namen | Wenn in JSON verfügbar |
| Malware | CSV-Datei mit Malware/Name | Wenn in JSON verfügbar |
| locations\_source | CSV-Datei mit Standorten/Quelle/Land/Name | Wenn in JSON verfügbar |
| locations\_target | CSV-Datei mit Standorten/Ziel/Name | Wenn in JSON verfügbar |
| cve | CSV-Datei mit CVEs/cve\_id | Wenn in JSON verfügbar |
| Beschreibung | Beschreibung | Wenn in JSON verfügbar |
| last\_activity\_time | last\_activity\_time | Wenn in JSON verfügbar |
| report\_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Enrichment Table for Vulnerability – Prefix (Anreicherungstabelle für Sicherheitslücken – Präfix) Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| sources | CSV-Datei mit source_name | Wenn in JSON verfügbar |
| exploitation_state | exploitation_state | Wenn in JSON verfügbar |
| date_of_disclosure | date_of_disclosure | Wenn in JSON verfügbar |
| vendor_fix_references | vendor_fix_references/url | Wenn in JSON verfügbar |
| Titel | Titel | Wenn in JSON verfügbar |
| exploitation_vectors | CSV-Datei mit exploitation_vectors | Wenn in JSON verfügbar |
| Beschreibung | Beschreibung | Wenn in JSON verfügbar |
| risk_rating | risk_rating | Wenn in JSON verfügbar |
| available_mitigation | CSV-Datei mit verfügbaren Maßnahmen | Wenn in JSON verfügbar |
| exploitation_consequence | exploitation_consequence | Wenn in JSON verfügbar |
| report_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Die folgenden Entitäten wurden mit Informationen von Mandiant angereichert: {entity.identifier}.“ Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen von Mandiant anreichern: {entity.identifier}.“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} Tabellenspalten:
|
Entität |
Zugehörige Entitäten abrufen
Beschreibung
Informationen zu IOCs im Zusammenhang mit Entitäten mithilfe von Informationen von Mandiant abrufen Unterstützte Einheiten: Hostname, IP-Adresse, URL, Datei-Hash, Bedrohungsakteur.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Niedrigster Schweregrad | Ganzzahl | 50 | Ja | Geben Sie den niedrigsten Schweregrad an, der zum Zurückgeben zugehöriger Indikatoren verwendet wird. Maximum: 100 |
| Maximale Anzahl zurückzugebender IOCs | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der Indikatoren an, die für jede Einheit verarbeitet werden müssen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- URL
- Datei-Hash
- Bedrohungsakteur
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Einheit verfügbar sind (is_success=true): „Successfully returned related indicators for the following entities using information from Mandiant: {entity.identifier}.“ (Es wurden erfolgreich zugehörige Indikatoren für die folgenden Einheiten mit Informationen von Mandiant zurückgegeben: {entity.identifier}.) Wenn für eine Entität keine Daten verfügbar sind (is_success=true): „Für die folgenden Entitäten wurden anhand von Informationen von Mandiant keine zugehörigen Indikatoren gefunden: {entity.identifier}.“ Wenn keine Daten für alle Einheiten verfügbar sind (is_success=false): „Es wurden keine zugehörigen Indikatoren gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Related Entities‘.“ Grund: {0}''.format(error.Stacktrace) |
Allgemein |
IOCs anreichern
Beschreibung
Informationen zu IOCs von Mandiant abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| IOC-Kennungen | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der IOCs an, die angereichert werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für einen IOC verfügbar sind (is_success=true): „Die folgenden IOCs wurden mit Informationen von Mandiant angereichert: {ioc .identifier}.“ Wenn für einen IOC keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden IOCs nicht mit Informationen von Mandiant anreichern: {ioc .identifier}.“ Wenn für alle IOCs keine Daten verfügbar sind (is_success=false): „Es wurden keine IOCs angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler, wird die folgende Meldung angezeigt: „Fehler beim Ausführen der Aktion ‚Zugehörige Einheiten abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Malware-Details abrufen
Beschreibung
Informationen zu Malware von Mandiant
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Malware-Namen | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Malware-Namen an, die angereichert werden müssen. |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
| Zugehörige IOCs abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion Indikatoren abgerufen, die sich auf die angegebene Malware beziehen. |
| Maximale Anzahl der zurückzugebenden zugehörigen IOCs | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der Indikatoren an, die für jede Malware verarbeitet werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Malware verfügbar sind (is_success=true): „Die folgende Malware wurde mit Informationen von Mandiant angereichert: {Name der Malware}.“ Wenn für eine Malware keine Daten verfügbar sind (is_success=true): „Action wasn't able to enrich the following malware using information from Mandiant: {malware name}.“ (Die Aktion konnte die folgende Malware nicht mit Informationen von Mandiant anreichern: {Name der Malware}.) Wenn keine Daten für alle Malware verfügbar sind (is_success=false): „Es wurden keine Malware-Informationen gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Malware-Details abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Malware-Ergebnisse Tabellenspalten:
|
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten