Mandiant
Versión de integración: 6.0
Configura la integración de Mandiant en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Raíz de la IU | String | https://advantage.mandiant.com | Sí | Es la raíz de la IU de la instancia de Mandiant. |
| Raíz de la API | String | https://api.intelligence.mandiant.com | Sí | Es la raíz de la API de la instancia de Mandiant. |
| ID de cliente | Contraseña | N/A | No | Es el ID de cliente de la cuenta de Mandiant. |
| Archivo del certificado de CA | String | N/A | No | Es el secreto del cliente de la cuenta de Mandiant. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido. |
Cómo generar el ID de cliente y el secreto del cliente
Ve a Configuración -> Acceso y claves de API y haz clic en Obtener ID y secreto de la clave.
Casos de uso
Enriquecer entidades
Acciones
Ping
Descripción
Prueba la conectividad con Mandiant con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Mandiant server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: “No se pudo conectar al servidor de Mandiant. Error is {0}".format(exception.stacktrace)" |
General |
Enriquece entidades
Descripción
Enriquece las entidades con información de Mandiant. Entidades admitidas: Nombre de host, dirección IP, URL, hash de archivo, actor de amenazas y vulnerabilidad.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Umbral de la Puntuación de gravedad | Número entero | 50 | Sí | Especifica la puntuación de gravedad más baja que se usa para marcar la entidad como sospechosa. Nota: Solo los indicadores (nombre de host, dirección IP, hash de archivo, URL) se pueden marcar como sospechosos. Máximo: 100 |
| Crear estadística | Casilla de verificación | Marcado | No | Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad. |
| Solo la estadística de entidad sospechosa | Casilla de verificación | Desmarcado | No | Si se habilita, la acción solo crea una estadística para las entidades sospechosas. Nota: El parámetro "Create Insight" debe estar habilitado. También se crean estadísticas para las entidades "Actor de amenazas" y "Vulnerabilidad", aunque no se marquen como sospechosas. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- URL
- Hash de archivo
- Agente de amenazas
- Vulnerabilidad
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
Resultado de JSON para indicadores
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Resultado de JSON para el actor de amenazas
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Resultado de JSON para la vulnerabilidad
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Enriquecimiento de entidades
Tabla de enriquecimiento para indicadores: prefijo Mandiant_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| first_seen | first_seen | Cuando está disponible en JSON |
| last_seen | last_seen | Cuando está disponible en JSON |
| Eventarc | CSV de "sources/source_name" únicos | Cuando está disponible en JSON |
| mscore | mscore | Cuando está disponible en JSON |
| attributed_associations_{associated_associations/type} | Es un CSV de attributed_associations/name por attributed_associations/type, por lo que hay una clave por tipo. Por ejemplo, todo el software malicioso está en un solo lugar. |
Cuando está disponible en JSON |
| report_link | Está hecha a mano. | Cuando está disponible en JSON |
Tabla de enriquecimiento para el prefijo del agente de amenazas Mandiant_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| motivaciones | CSV de motivaciones/nombre | Cuando está disponible en JSON |
| aliases | CSV de alias o nombre | Cuando está disponible en JSON |
| industrias | CSV de industrias/nombre | Cuando está disponible en JSON |
| malware | CSV de software malicioso o nombre | Cuando está disponible en JSON |
| locations\_source | CSV de ubicaciones, fuente, país y nombre | Cuando está disponible en JSON |
| locations\_target | CSV de ubicaciones, objetivo y nombre | Cuando está disponible en JSON |
| cve | CSV de cve/cve\_id | Cuando está disponible en JSON |
| descripción | descripción | Cuando está disponible en JSON |
| last\_activity\_time | last\_activity\_time | Cuando está disponible en JSON |
| report\_link | Está hecha a mano. | Cuando está disponible en JSON |
Tabla de enriquecimiento para vulnerabilidad: prefijo Mandiant_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| Eventarc | CSV de source_name | Cuando está disponible en JSON |
| exploitation_state | exploitation_state | Cuando está disponible en JSON |
| date_of_disclosure | date_of_disclosure | Cuando está disponible en JSON |
| vendor_fix_references | vendor_fix_references/url | Cuando está disponible en JSON |
| título | título | Cuando está disponible en JSON |
| exploitation_vectors | CSV de exploitation_vectors | Cuando está disponible en JSON |
| descripción | descripción | Cuando está disponible en JSON |
| risk_rating | risk_rating | Cuando está disponible en JSON |
| available_mitigation | CSV de available_mitigation | Cuando está disponible en JSON |
| exploitation_consequence | exploitation_consequence | Cuando está disponible en JSON |
| report_link | Está hecha a mano. | Cuando está disponible en JSON |
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de Mandiant: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información de Mandiant: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace)" |
General |
| Tabla del muro de casos | Título de la tabla: {entity.identifier} Columnas de la tabla:
|
Entidad |
Obtener entidades relacionadas
Descripción
Obtén información sobre los IOC relacionados con entidades a partir de la información de Mandiant. Entidades admitidas: Nombre de host, dirección IP, URL, hash de archivo y actor de amenazas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Puntuación de gravedad más baja | Número entero | 50 | Sí | Especifica la puntuación de gravedad más baja que se usa para devolver indicadores relacionados. Máximo: 100 |
| Cantidad máxima de IOCs que se devolverán | Número entero | 100 | No | Especifica la cantidad de indicadores que la acción debe procesar por entidad. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- URL
- Hash de archivo
- Agente de amenazas
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se devolvieron correctamente los indicadores relacionados para las siguientes entidades con información de Mandiant: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se encontraron indicadores relacionados para las siguientes entidades con la información de Mandiant: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "No se encontraron indicadores relacionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Related Entities". Reason: {0}''.format(error.Stacktrace)" |
General |
Enriquece los IOC
Descripción
Obtiene información sobre los IOC de Mandiant.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Identificadores de IOC | CSV | N/A | Sí | Especifica una lista separada por comas de los IOC que se deben enriquecer. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un IOC (is_success=true): "Se enriquecieron correctamente los siguientes IOC con información de Mandiant: {ioc .identifier}". Si no hay datos disponibles para un IOC (is_success=true): "No se pudo enriquecer los siguientes IOC con información de Mandiant: {ioc .identifier}". Si los datos no están disponibles para todos los IOC (is_success=false): "No se enriqueció ningún IOC". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro, se mostrará el mensaje "Error al ejecutar la acción "Get Related Entities". Reason: {0}''.format(error.Stacktrace) |
General |
Obtener detalles del software malicioso
Descripción
Obtén información sobre software malicioso de Mandiant.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombres de software malicioso | CSV | N/A | Sí | Especifica una lista separada por comas de los nombres de software malicioso que se deben enriquecer. |
| Crear estadística | Casilla de verificación | Marcado | No | Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad. |
| Recupera IOC relacionados | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera indicadores relacionados con el software malicioso proporcionado. |
| Cantidad máxima de IoC relacionados que se devolverán | Número entero | 100 | No | Especifica la cantidad de indicadores que la acción debe procesar por malware. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un software malicioso (is_success=true): "Se enriqueció correctamente el siguiente software malicioso con información de Mandiant: {nombre del software malicioso}". Si no hay datos disponibles para un software malicioso (is_success=true): "No se pudo enriquecer el siguiente software malicioso con información de Mandiant: {nombre del software malicioso}". Si los datos no están disponibles para todo el software malicioso (is_success=false): "No se encontró información sobre software malicioso". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener detalles de malware". Reason: {0}''.format(error.Stacktrace)" |
General |
| Tabla del muro de casos | Nombre de la tabla: Resultados de software malicioso Columnas de la tabla:
|
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.