Integrare Mandiant con Google SecOps
Questo documento spiega come integrare Mandiant con Google Security Operations.
Casi d'uso
L'integrazione di Mandiant utilizza le funzionalità di Google SecOps per supportare i seguenti casi d'uso:
Arricchisci nomi host, indirizzi IP e URL: recupera automaticamente le informazioni sulle minacce per gli indicatori basati sulla rete per identificare attività dannose.
Analizza gli hash dei file: valuta gli hash MD5, SHA-1 e SHA-256 rispetto al repository di Mandiant per determinare se i file sono minacce note.
Identifica gli indicatori correlati: scopri altri indicatori di compromissione associati a vulnerabilità o autori delle minacce specifici per mappare una superficie di attacco più ampia.
Recuperare i dettagli del malware: ottieni informazioni mirate sulle famiglie di malware, inclusi i loro ruoli e i target comuni, per facilitare la risposta agli incidenti.
Prima di iniziare
Per autenticare la connessione tra Google SecOps e Mandiant, devi fornire un ID client e un client secret validi.
Puoi generare e gestire queste credenziali nella console Mandiant Advantage.
Per istruzioni dettagliate sulla generazione di queste credenziali, consulta la guida all'API Mandiant.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root UI | Stringa | https://advantage.mandiant.com | Sì | Radice dell'interfaccia utente dell'istanza Mandiant. |
| Root API | Stringa | https://api.intelligence.mandiant.com | Sì | Radice API dell'istanza Mandiant. |
| ID client | Password | N/D | No | ID client dell'account Mandiant. |
| File del certificato CA | Stringa | N/D | No | Client secret dell'account Mandiant. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Mandiant sia valido. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Come generare l'ID client e il client secret
Vai a Settings (Impostazioni) -> API Access and Keys (Accesso e chiavi API) e fai clic su Get Key ID and Secret (Ottieni ID e secret della chiave).
Casi d'uso
Arricchisci le entità.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Testa la connettività a Mandiant con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Mandiant riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Mandiant. Errore: {0}".format(exception.stacktrace)" |
Generale |
Arricchisci entità
Arricchisci le entità utilizzando le informazioni di Mandiant. Entità supportate: nome host, indirizzo IP, URL, hash del file, autore della minaccia, vulnerabilità.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia del punteggio di gravità | Numero intero | 50 | Sì | Specifica il punteggio di gravità più basso utilizzato per contrassegnare l'entità come sospetta. Nota:solo gli indicatori (nome host, indirizzo IP, hash del file, URL) possono essere contrassegnati come sospetti. Massimo: 100 |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un insight contenente tutte le informazioni recuperate sull'entità. |
| Solo approfondimento Entità sospetta | Casella di controllo | Deselezionata | No | Se abilitata, l'azione crea un insight solo per le entità sospette. Nota:il parametro "Crea insight" deve essere attivato. Vengono creati anche gli approfondimenti per le entità "Attore delle minacce" e "Vulnerabilità", anche se non sono contrassegnate come sospette. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- URL
- Hash file
- Utente malintenzionato
- Vulnerabilità
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
Risultato JSON per gli indicatori
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Risultato JSON per l'attore delle minacce
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Risultato JSON per la vulnerabilità
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
Arricchimento delle entità
Tabella di arricchimento per gli indicatori - Prefisso Mandiant_
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| first_seen | first_seen | Se disponibile in formato JSON |
| last_seen | last_seen | Se disponibile in formato JSON |
| sources | File CSV di "sources/source_name" unici | Se disponibile in formato JSON |
| mscore | mscore | Se disponibile in formato JSON |
| attributed_associations_{associated_associations/type} | CSV di attributed_associations/name per attributed_associations/type, quindi una chiave per tipo. Ad esempio, tutto il malware si trova in un unico posto. |
Se disponibile in formato JSON |
| report_link | È artigianale. | Se disponibile in formato JSON |
Tabella di arricchimento per l'utente malintenzionato - Prefisso Mandiant_
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| motivazioni | CSV di motivazioni/nome | Se disponibile in formato JSON |
| alias | CSV di alias/nome | Se disponibile in formato JSON |
| settori | CSV di settori/nome | Se disponibile in formato JSON |
| malware | CSV di malware/nome | Se disponibile in formato JSON |
| locations_source | CSV di località/origine/paese/nome | Se disponibile in formato JSON |
| locations_target | CSV di località/target/nome | Se disponibile in formato JSON |
| cve | CSV di cve/cve\_id | Se disponibile in formato JSON |
| descrizione | descrizione | Se disponibile in formato JSON |
| last\_activity\_time | last\_activity\_time | Se disponibile in formato JSON |
| report\_link | È artigianale. | Se disponibile in formato JSON |
Tabella di arricchimento per la vulnerabilità - Prefisso Mandiant_
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| sources | CSV di source_name | Se disponibile in formato JSON |
| exploitation_state | exploitation_state | Se disponibile in formato JSON |
| date_of_disclosure | date_of_disclosure | Se disponibile in formato JSON |
| vendor_fix_references | vendor_fix_references/url | Se disponibile in formato JSON |
| titolo | titolo | Se disponibile in formato JSON |
| exploitation_vectors | CSV di exploitation_vectors | Se disponibile in formato JSON |
| descrizione | descrizione | Se disponibile in formato JSON |
| risk_rating | risk_rating | Se disponibile in formato JSON |
| available_mitigation | CSV di available_mitigation | Se disponibile in formato JSON |
| exploitation_consequence | exploitation_consequence | Se disponibile in formato JSON |
| report_link | È artigianale. | Se disponibile in formato JSON |
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Mandiant: {entity.identifier}." Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Mandiant: {entity.identifier}." Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
| Tabella Bacheca casi | Titolo della tabella: {entity.identifier} Colonne della tabella:
|
Entità |
Recupero entità correlate
Ricevi informazioni sugli indicatori di compromissione correlati alle entità utilizzando le informazioni di Mandiant. Entità supportate: nome host, indirizzo IP, URL, hash del file, autore della minaccia.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Punteggio di gravità più basso | Numero intero | 50 | Sì | Specifica il punteggio di gravità più basso utilizzato per restituire gli indicatori correlati. Massimo: 100 |
| Numero massimo di IOC da restituire | Numero intero | 100 | No | Specifica il numero di indicatori che l'azione deve elaborare per entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- URL
- Hash file
- Utente malintenzionato
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Indicatori correlati restituiti correttamente per le seguenti entità utilizzando le informazioni di Mandiant: {entity.identifier}." Se non sono disponibili dati per un'entità (is_success=true): "Non sono stati trovati indicatori correlati per le seguenti entità utilizzando le informazioni di Mandiant: {entity.identifier}." Se i dati non sono disponibili per tutte le entità (is_success=false): "Non sono stati trovati indicatori correlati". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera entità correlate". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Arricchire gli IOC
Ricevi informazioni sugli indicatori di compromissione da Mandiant.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Identificatori IOC | CSV | N/D | Sì | Specifica un elenco separato da virgole di indicatori di compromissione da arricchire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un indicatore di compromissione (is_success=true): "Successfully enriched the following IOCs using information from Mandiant: {ioc .identifier}." (Gli indicatori di compromissione seguenti sono stati arricchiti correttamente utilizzando le informazioni di Mandiant: {ioc .identifier}.) Se non sono disponibili dati per un indicatore di compromissione (is_success=true): "L'azione non è riuscita ad arricchire i seguenti indicatori di compromissione utilizzando le informazioni di Mandiant: {ioc .identifier}." Se i dati non sono disponibili per tutti gli indicatori di compromissione (is_success=false): "Nessun indicatore di compromissione è stato arricchito". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera entità correlate". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Visualizzare i dettagli del malware
Ricevi informazioni sui malware da Mandiant.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi dei malware | CSV | N/D | Sì | Specifica un elenco separato da virgole di nomi di malware che devono essere arricchiti. |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un insight contenente tutte le informazioni recuperate sull'entità. |
| Recupera IOC correlati | Casella di controllo | Selezionata | No | Se questa opzione è abilitata, l'azione recupera gli indicatori correlati al malware fornito. |
| Numero massimo di IOC correlati da restituire | Numero intero | 100 | No | Specifica il numero di indicatori che l'azione deve elaborare per ogni malware. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un malware (is_success=true): "Il seguente malware è stato arricchito con successo utilizzando le informazioni di Mandiant: {nome del malware}." Se non sono disponibili dati per un malware (is_success=true): "L'azione non è riuscita ad arricchire il seguente malware utilizzando le informazioni di Mandiant: {nome del malware}." Se i dati non sono disponibili per tutti i malware (is_success=false): "Non sono state trovate informazioni sui malware". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli malware". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
| Tabella Bacheca casi | Nome tabella: Risultati malware Colonne della tabella:
|
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.