Mandiant in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Mandiant in Google Security Operations einbinden.
Anwendungsfälle
Bei der Mandiant-Integration werden Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:
Hostnamen, IP-Adressen und URLs anreichern: Rufen Sie automatisch Threat Intelligence für netzwerkbasierte Indikatoren ab, um schädliche Aktivitäten zu erkennen.
Datei-Hashes analysieren: MD5-, SHA-1- und SHA-256-Hashes werden mit dem Repository von Mandiant verglichen, um festzustellen, ob Dateien bekannte Bedrohungen sind.
Zugehörige Indikatoren identifizieren: Finden Sie zusätzliche IOCs, die mit bestimmten Angreifern oder Sicherheitslücken in Verbindung stehen, um eine größere Angriffsfläche zu ermitteln.
Malware-Details abrufen: Sie erhalten gezielte Informationen zu Malware-Familien, einschließlich ihrer Rollen und häufigen Ziele, um die Incident Response zu unterstützen.
Hinweis
Um die Verbindung zwischen Google SecOps und Mandiant zu authentifizieren, müssen Sie eine gültige Client-ID und einen gültigen Clientschlüssel angeben.
Sie können diese Anmeldedaten in Ihrer Mandiant Advantage-Konsole generieren und verwalten.
Eine ausführliche Anleitung zum Generieren dieser Anmeldedaten finden Sie im Mandiant API-Leitfaden.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| UI-Stammknoten | String | https://advantage.mandiant.com | Ja | UI-Root der Mandiant-Instanz. |
| API-Stamm | String | https://api.intelligence.mandiant.com | Ja | API-Root der Mandiant-Instanz. |
| Client-ID | Passwort | – | Nein | Client-ID des Mandiant-Kontos. |
| CA-Zertifikatsdatei | String | – | Nein | Clientschlüssel des Mandiant-Kontos. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Client-ID und Clientschlüssel generieren
Rufen Sie Einstellungen > API-Zugriff und Schlüssel auf und klicken Sie auf Schlüssel-ID und Secret abrufen.
Anwendungsbereiche
Entitäten anreichern.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Mandiant mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Bei Erfolg: „Successfully connected to the Mandiant server with the provided connection parameters!“ (Es wurde eine Verbindung zum Mandiant-Server mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn das nicht funktioniert: „Verbindung zum Mandiant-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)" |
Allgemein |
Entitäten anreichern
Entitäten mit Informationen von Mandiant anreichern Unterstützte Einheiten: Hostname, IP-Adresse, URL, Datei-Hash, Bedrohungsakteur, Sicherheitslücke.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Schwellenwert für Schweregrad | Ganzzahl | 50 | Ja | Geben Sie den niedrigsten Schweregrad an, der verwendet wird, um die Einheit als verdächtig zu kennzeichnen. Hinweis:Nur Indikatoren (Hostname, IP-Adresse, Datei-Hash, URL) können als verdächtig markiert werden. Maximum: 100 |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
| Nur Informationen zu verdächtigen Entitäten | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird mit der Aktion nur ein Insight für verdächtige Einheiten erstellt. Hinweis:Der Parameter „Create Insight“ muss aktiviert sein. Auch für die Einheiten „Threat Actor“ und „Vulnerability“ werden Statistiken erstellt, obwohl sie nicht als verdächtig gekennzeichnet sind. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- URL
- Datei-Hash
- Bedrohungsakteur
- Sicherheitslücke
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
JSON-Ergebnis für Indikatoren
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
JSON-Ergebnis für Bedrohungsakteur
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
JSON-Ergebnis für Sicherheitslücke
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Entitätsanreicherung
Anreicherungstabelle für Indikatoren – Präfix Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| first_seen | first_seen | Wenn in JSON verfügbar |
| last_seen | last_seen | Wenn in JSON verfügbar |
| sources | CSV-Datei mit eindeutigen „sources/source_name“-Werten | Wenn in JSON verfügbar |
| mscore | mscore | Wenn in JSON verfügbar |
| attributed_associations_{associated_associations/type} | CSV-Datei mit „attributed_associations/name“ pro „attributed_associations/type“, also ein Schlüssel pro Typ. So befindet sich beispielsweise die gesamte Malware an einem Ort. |
Wenn in JSON verfügbar |
| report_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Enrichment Table for Threat Actor – Prefix Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| Beweggründe | CSV-Datei mit Gründen/Namen | Wenn in JSON verfügbar |
| Aliasse | CSV-Datei mit Aliasen/Namen | Wenn in JSON verfügbar |
| Branchen | CSV-Datei mit Branchen/Namen | Wenn in JSON verfügbar |
| Malware | CSV-Datei mit Malware/Name | Wenn in JSON verfügbar |
| locations\_source | CSV-Datei mit Standorten/Quelle/Land/Name | Wenn in JSON verfügbar |
| locations\_target | CSV-Datei mit Standorten/Ziel/Name | Wenn in JSON verfügbar |
| cve | CSV-Datei mit CVEs/cve\_id | Wenn in JSON verfügbar |
| Beschreibung | Beschreibung | Wenn in JSON verfügbar |
| last\_activity\_time | last\_activity\_time | Wenn in JSON verfügbar |
| report\_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Enrichment Table for Vulnerability – Prefix Mandiant_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| sources | CSV-Datei mit source_name | Wenn in JSON verfügbar |
| exploitation_state | exploitation_state | Wenn in JSON verfügbar |
| date_of_disclosure | date_of_disclosure | Wenn in JSON verfügbar |
| vendor_fix_references | vendor_fix_references/url | Wenn in JSON verfügbar |
| Titel | Titel | Wenn in JSON verfügbar |
| exploitation_vectors | CSV-Datei mit exploitation_vectors | Wenn in JSON verfügbar |
| Beschreibung | Beschreibung | Wenn in JSON verfügbar |
| risk_rating | risk_rating | Wenn in JSON verfügbar |
| available_mitigation | CSV-Datei mit verfügbaren Maßnahmen | Wenn in JSON verfügbar |
| exploitation_consequence | exploitation_consequence | Wenn in JSON verfügbar |
| report_link | Es wurde erstellt. | Wenn in JSON verfügbar |
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn Daten für eine Entität verfügbar sind (is_success=true): „Die folgenden Entitäten wurden mit Informationen von Mandiant angereichert: {entity.identifier}.“ Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen von Mandiant anreichern: {entity.identifier}.“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} Tabellenspalten:
|
Entität |
Zugehörige Entitäten abrufen
Informationen zu IOCs im Zusammenhang mit Entitäten mithilfe von Informationen von Mandiant abrufen Unterstützte Einheiten: Hostname, IP-Adresse, URL, Datei-Hash, Bedrohungsakteur.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Niedrigster Schweregrad | Ganzzahl | 50 | Ja | Geben Sie den niedrigsten Schweregrad an, der zum Zurückgeben zugehöriger Indikatoren verwendet wird. Maximum: 100 |
| Maximale Anzahl zurückzugebender IOCs | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der Indikatoren an, die für jede Einheit verarbeitet werden müssen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- URL
- Datei-Hash
- Bedrohungsakteur
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn Daten für eine Einheit verfügbar sind (is_success=true): „Successfully returned related indicators for the following entities using information from Mandiant: {entity.identifier}.“ (Es wurden erfolgreich zugehörige Indikatoren für die folgenden Einheiten mit Informationen von Mandiant zurückgegeben: {entity.identifier}.) Wenn für eine Entität keine Daten verfügbar sind (is_success=true): „Für die folgenden Entitäten wurden anhand von Informationen von Mandiant keine zugehörigen Indikatoren gefunden: {entity.identifier}.“ Wenn keine Daten für alle Einheiten verfügbar sind (is_success=false): „Es wurden keine zugehörigen Indikatoren gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Zugehörige Einheiten abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
IOCs anreichern
Informationen zu IOCs von Mandiant abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| IOC-Kennungen | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der IOCs an, die angereichert werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn Daten für einen IOC verfügbar sind (is_success=true): „Die folgenden IOCs wurden mit Informationen von Mandiant angereichert: {ioc .identifier}.“ Wenn für einen IOC keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden IOCs nicht mit Informationen von Mandiant anreichern: {ioc .identifier}.“ Wenn für alle IOCs keine Daten verfügbar sind (is_success=false): „Es wurden keine IOCs angereichert.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Zugehörige Einheiten abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Malware-Details abrufen
Informationen zu Malware von Mandiant
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Malware-Namen | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Malware-Namen an, die angereichert werden müssen. |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
| Zugehörige IOCs abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion Indikatoren abgerufen, die mit der angegebenen Malware zusammenhängen. |
| Maximale Anzahl der zurückzugebenden ähnlichen IOCs | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der Indikatoren an, die für jede Malware verarbeitet werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn Daten für eine Malware verfügbar sind (is_success=true): „Die folgende Malware wurde mit Informationen von Mandiant angereichert: {Name der Malware}.“ Wenn für eine Malware keine Daten verfügbar sind (is_success=true): „Action wasn't able to enrich the following malware using information from Mandiant: {malware name}.“ (Die Aktion konnte die folgende Malware nicht mit Informationen von Mandiant anreichern: {Name der Malware}.) Wenn keine Daten für alle Malware verfügbar sind (is_success=false): „Es wurden keine Malware-Informationen gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Malware-Details abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Malware-Ergebnisse Tabellenspalten:
|
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten