Mandiant を Google SecOps と統合する
このドキュメントでは、Mandiant を Google Security Operations と統合する方法について説明します。
ユースケース
Mandiant インテグレーションは、Google SecOps の機能を使用して次のユースケースをサポートします。
ホスト名、IP アドレス、URL を強化する: ネットワークベースのインジケーターの脅威インテリジェンスを自動的に取得して、悪意のあるアクティビティを特定します。
ファイル ハッシュを分析する: Mandiant のリポジトリに対して MD5、SHA-1、SHA-256 ハッシュを評価し、ファイルが既知の脅威であるかどうかを判断します。
関連するインジケーターを特定する: 特定の脅威アクターや脆弱性に関連する追加の IOC を検出し、より広範な攻撃対象領域をマッピングします。
マルウェアの詳細を取得する: マルウェア ファミリーの役割や一般的なターゲットなど、マルウェア ファミリーに関するターゲット情報を取得して、インシデント対応に役立てます。
始める前に
Google SecOps と Mandiant 間の接続を認証するには、有効なクライアント ID とクライアント シークレットを指定する必要があります。
これらの認証情報は、Mandiant Advantage コンソール内で生成して管理できます。
これらの認証情報を生成する手順については、Mandiant API ガイドをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| UI ルート | 文字列 | https://advantage.mandiant.com | ○ | Mandiant インスタンスの UI ルート。 |
| API ルート | 文字列 | https://api.intelligence.mandiant.com | ○ | Mandiant インスタンスの API ルート。 |
| クライアント ID | パスワード | なし | × | Mandiant アカウントのクライアント ID。 |
| CA 証明書ファイル | 文字列 | なし | × | Mandiant アカウントのクライアント シークレット。 |
| SSL を確認する | チェックボックス | オフ | ○ | 有効になっている場合は、Mandiant サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
クライアント ID とクライアント シークレットを生成する方法
[Settings] -> [API Access and Keys] に移動し、[Get Key ID and Secret] をクリックします。
ユースケース
エンティティを拡充します。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Mandiant への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Mandiant サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「Mandiant サーバーへの接続に失敗しました。エラー: {0}".format(exception.stacktrace)」 |
一般 |
エンティティの拡充
Mandiant の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、IP アドレス、URL、ファイル ハッシュ、脅威アクター、脆弱性。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 重大度スコアのしきい値 | Integer | 50 | ○ | エンティティを不審としてマークするために使用される最も低い重大度スコアを指定します。 注: 不審とマークできるのは、インジケーター(ホスト名、IP アドレス、ファイル ハッシュ、URL)のみです。 最大値: 100 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、エンティティに関して取得したすべての情報を含む分析情報が作成されます。 |
| 不審なエンティティのインサイトのみ | チェックボックス | オフ | × | 有効にした場合、アクションによって不審なエンティティに関するインサイトのみが作成されます。 注: 「インサイトの作成」パラメータを有効にする必要があります。 「脅威アクター」エンティティと「脆弱性」エンティティの分析情報も、不審としてマークされていなくても作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- URL
- ファイル ハッシュ
- 脅威アクター
- 脆弱性
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
インジケーターの JSON の結果
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
脅威アクターの JSON 結果
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
脆弱性の JSON の結果
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
エンティティ拡充
インジケーターの拡充テーブル - 接頭辞 Mandiant_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| first_seen | first_seen | JSON で利用可能な場合 |
| last_seen | last_seen | JSON で利用可能な場合 |
| ソース | 一意の「sources/source_name」の CSV | JSON で利用可能な場合 |
| mscore | mscore | JSON で利用可能な場合 |
| attributed_associations_{associated_associations/type} | attributed_associations/type ごとの attributed_associations/name の CSV。タイプごとに 1 つのキー。 たとえば、すべてのマルウェアが 1 か所にあります。 |
JSON で利用可能な場合 |
| report_link | それは作られたものです。 | JSON で利用可能な場合 |
脅威アクターの拡充テーブル - 接頭辞 Mandiant_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| モチベーション | motivations/name の CSV | JSON で利用可能な場合 |
| aliases | エイリアス/名前の CSV | JSON で利用可能な場合 |
| 業界 | 業種/名前 の CSV | JSON で利用可能な場合 |
| 不正なソフトウェア | マルウェア/名前の CSV | JSON で利用可能な場合 |
| locations\_source | locations/source/country/name の CSV | JSON で利用可能な場合 |
| locations\_target | locations/target/name の CSV | JSON で利用可能な場合 |
| cve | cve/cve\_id の CSV | JSON で利用可能な場合 |
| 説明 | 説明 | JSON で利用可能な場合 |
| last\_activity\_time | last\_activity\_time | JSON で利用可能な場合 |
| report\_link | それは作られたものです。 | JSON で利用可能な場合 |
脆弱性の拡充テーブル - 接頭辞 Mandiant_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| ソース | source_name の CSV | JSON で利用可能な場合 |
| exploitation_state | exploitation_state | JSON で利用可能な場合 |
| date_of_disclosure | date_of_disclosure | JSON で利用可能な場合 |
| vendor_fix_references | vendor_fix_references/url | JSON で利用可能な場合 |
| title | title | JSON で利用可能な場合 |
| exploitation_vectors | exploitation_vectors の CSV | JSON で利用可能な場合 |
| 説明 | 説明 | JSON で利用可能な場合 |
| risk_rating | risk_rating | JSON で利用可能な場合 |
| available_mitigation | available_mitigation の CSV | JSON で利用可能な場合 |
| exploitation_consequence | exploitation_consequence | JSON で利用可能な場合 |
| report_link | それは作られたものです。 | JSON で利用可能な場合 |
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Mandiant の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Mandiant の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}。」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティが拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}「.format(error.Stacktrace)」 |
全般 |
| Case Wall テーブル | テーブルのタイトル: {entity.identifier} テーブル列:
|
エンティティ |
関連エンティティを取得する
Mandiant の情報を使用して、エンティティに関連する IOC に関する情報を取得します。サポートされるエンティティ: ホスト名、IP アドレス、URL、ファイル ハッシュ、脅威アクター。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 最低重大度スコア | Integer | 50 | ○ | 関連するインジケーターを返すために使用される最も低い重大度スコアを指定します。 最大値: 100 |
| 返される IOC の最大数 | Integer | 100 | × | アクションがエンティティごとに処理する必要があるインジケーターの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- URL
- ファイル ハッシュ
- 脅威アクター
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Mandiant の情報を使用して、次のエンティティに関連する指標が正常に返されました: {entity.identifier}。」 1 つのエンティティにデータが利用できない場合(is_success=true): 「Mandiant の情報を使用して、次のエンティティに関連する指標が見つかりませんでした: {entity.identifier}。」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「関連するインジケーターが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「関連エンティティの取得」の実行エラー。理由: {0}「.format(error.Stacktrace)」 |
全般 |
IOC を拡充する
Mandiant から IOC に関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| IOC 識別子 | CSV | なし | ○ | 拡充する必要がある IOC のカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つの IOC にデータが利用可能な場合(is_success=true): 「Mandiant の情報を使用して次の IOC を拡充しました: {ioc.identifier}」 1 つの IOC にデータが利用できない場合(is_success=true): 「アクションは、Mandiant の情報を使用して次の IOC を拡充できませんでした: {ioc.identifier}。」 すべての IOC でデータが利用できない場合(is_success=false): 「IOC は拡充されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「アクション「関連エンティティの取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
マルウェアの詳細を取得する
Mandiant からマルウェアに関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| マルウェア名 | CSV | なし | ○ | 拡充する必要があるマルウェア名のカンマ区切りのリストを指定します。 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、エンティティに関して取得したすべての情報を含む分析情報が作成されます。 |
| 関連する IOC を取得する | チェックボックス | オン | × | 有効にすると、アクションは指定されたマルウェアに関連するインジケーターを取得します。 |
| 返される関連 IOC の最大数 | Integer | 100 | × | マルウェアごとにアクションで処理する必要があるインジケーターの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのマルウェアにデータが利用可能な場合(is_success=true): 「Mandiant の情報を使用して次のマルウェアを拡充しました: {malware name}」 1 つのマルウェアにデータが利用できない場合(is_success=true): 「アクションは、Mandiant の情報を使用して次のマルウェアを拡充できませんでした: {マルウェア名}」 すべてのマルウェアでデータが利用可能でない場合(is_success=false): 「マルウェア情報が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合: 「アクション「マルウェアの詳細を取得」の実行エラー。理由: {0}「.format(error.Stacktrace)」 |
全般 |
| Case Wall テーブル | テーブル名: Malware Results テーブル列:
|
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。