Google SecOps와 Mandiant 통합
이 문서에서는 Mandiant를 Google Security Operations와 통합하는 방법을 설명합니다.
사용 사례
Mandiant 통합은 Google SecOps 기능을 사용하여 다음 사용 사례를 지원합니다.
호스트 이름, IP 주소, URL 보강: 네트워크 기반 지표의 위협 인텔리전스를 자동으로 검색하여 악의적인 활동을 식별합니다.
파일 해시 분석: Mandiant의 저장소에 대해 MD5, SHA-1, SHA-256 해시를 평가하여 파일이 알려진 위협인지 확인합니다.
관련 지표 식별: 특정 공격자 또는 취약성과 관련된 추가 IOC를 발견하여 더 광범위한 공격 표면을 매핑합니다.
악성코드 세부정보 가져오기: 사고 대응에 도움이 되도록 역할과 일반적인 타겟을 비롯한 악성코드군에 관한 타겟 정보를 가져옵니다.
시작하기 전에
Google SecOps와 Mandiant 간의 연결을 인증하려면 유효한 클라이언트 ID와 클라이언트 보안 비밀번호를 제공해야 합니다.
Mandiant Advantage 콘솔 내에서 이러한 사용자 인증 정보를 생성하고 관리할 수 있습니다.
이러한 사용자 인증 정보를 생성하는 방법에 관한 자세한 내용은 Mandiant API 가이드를 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| UI 루트 | 문자열 | https://advantage.mandiant.com | 예 | Mandiant 인스턴스의 UI 루트입니다. |
| API 루트 | 문자열 | https://api.intelligence.mandiant.com | 예 | Mandiant 인스턴스의 API 루트입니다. |
| 클라이언트 ID | 비밀번호 | 해당 사항 없음 | 아니요 | Mandiant 계정의 클라이언트 ID입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Mandiant 계정의 클라이언트 보안 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
클라이언트 ID 및 클라이언트 보안 비밀번호를 생성하는 방법
설정 -> API 액세스 및 키로 이동하여 키 ID 및 보안 비밀 가져오기를 클릭합니다.
사용 사례
항목을 보강합니다.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Mandiant에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Mandiant 서버에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'Mandiant 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)" |
일반 |
항목 보강
Mandiant의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, IP 주소, URL, 파일 해시, 위협 행위자, 취약점
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 심각도 점수 기준 | 정수 | 50 | 예 | 엔티티를 의심스러운 것으로 표시하는 데 사용되는 가장 낮은 심각도 점수를 지정합니다. 참고: 지표 (호스트 이름, IP 주소, 파일 해시, URL)만 의심스러운 것으로 표시할 수 있습니다. 최대: 100 |
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. |
| 의심스러운 항목 통계만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 의심스러운 항목에 대한 통계만 만듭니다. 참고: '통계 만들기' 매개변수가 사용 설정되어 있어야 합니다. '위협 행위자' 및 '취약점' 항목에 대한 통계도 의심스러운 것으로 표시되지 않더라도 생성됩니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- URL
- 파일 해시
- 위협 행위자
- 취약점
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
지표의 JSON 결과
{
"Entity": "173.254.xx.xx",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
"type": "ipv4",
"value": "173.254.xx.xx",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
위협 행위자의 JSON 결과
{
"Entity": "APxxxxx",
"EntityResult": {
"motivations": [
{
"id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
"name": "Espionage",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
"name": "AGEDMOAT",
"attribution_scope": "confirmed"
},
{
"id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
"name": "ZERODUE",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
"name": "ANGRYIP",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--02178345-7a8a-546a-b82f-xxxxx",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--a509dfc8-789b-595b-a201-xxxxx",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--7b33370b-da4b-5c48-9741-xxxxx",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--9488166d-6469-5e54-ba5f-xxxxx",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
"cve_id": "CVE-2009-xxxx",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
"name": "APxxxx",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
취약점의 JSON 결과
{
"Entity": "CVE-2022-xxxx",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: NetWeaver Application Server for ABAP 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "59690xxxx"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/311xxxxx",
"name": "Company A (311xxxx) Security Update Information",
"unique_id": "311xxxxx"
}
],
"title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "netweaver_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a netweaver_as_abap 7.31",
"cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-2022-xxxx",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
}
}
항목 보강
지표 보강 테이블 - 접두사 Mandiant_
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| first_seen | first_seen | JSON으로 제공되는 경우 |
| last_seen | last_seen | JSON으로 제공되는 경우 |
| 소스 | 고유한 'sources/source_name'의 CSV | JSON으로 제공되는 경우 |
| mscore | mscore | JSON으로 제공되는 경우 |
| attributed_associations_{associated_associations/type} | 속성이 지정된 연결/유형별 속성이 지정된 연결/이름의 CSV입니다. 유형당 하나의 키가 있습니다. 예를 들어 모든 멀웨어가 한곳에 있습니다. |
JSON으로 제공되는 경우 |
| report_link | 맞춤형입니다. | JSON으로 제공되는 경우 |
위협 행위자 보강 테이블 - 접두사 Mandiant_
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| 동기 | 동기/이름의 CSV | JSON으로 제공되는 경우 |
| aliases | 별칭/이름의 CSV | JSON으로 제공되는 경우 |
| 업종 | 업종/이름의 CSV | JSON으로 제공되는 경우 |
| 멀웨어 | 멀웨어/이름의 CSV | JSON으로 제공되는 경우 |
| locations\_source | 위치/소스/국가/이름의 CSV | JSON으로 제공되는 경우 |
| locations\_target | 위치/타겟/이름의 CSV | JSON으로 제공되는 경우 |
| cve | cve/cve\_id의 CSV | JSON으로 제공되는 경우 |
| 설명 | 설명 | JSON으로 제공되는 경우 |
| last\_activity\_time | last\_activity\_time | JSON으로 제공되는 경우 |
| report\_link | 맞춤형입니다. | JSON으로 제공되는 경우 |
취약점 보강 테이블 - 접두사 Mandiant_
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| 소스 | source_name의 CSV | JSON으로 제공되는 경우 |
| exploitation_state | exploitation_state | JSON으로 제공되는 경우 |
| date_of_disclosure | date_of_disclosure | JSON으로 제공되는 경우 |
| vendor_fix_references | vendor_fix_references/url | JSON으로 제공되는 경우 |
| 제목 | 제목 | JSON으로 제공되는 경우 |
| exploitation_vectors | exploitation_vectors의 CSV | JSON으로 제공되는 경우 |
| 설명 | 설명 | JSON으로 제공되는 경우 |
| risk_rating | risk_rating | JSON으로 제공되는 경우 |
| available_mitigation | available_mitigation의 CSV | JSON으로 제공되는 경우 |
| exploitation_consequence | exploitation_consequence | JSON으로 제공되는 경우 |
| report_link | 맞춤형입니다. | JSON으로 제공되는 경우 |
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace)' |
일반 |
| 케이스 월 테이블 | 테이블 제목: {entity.identifier} 테이블 열:
|
항목 |
관련 항목 가져오기
Mandiant의 정보를 사용하여 항목과 관련된 IOC에 관한 정보를 가져옵니다. 지원되는 항목: 호스트 이름, IP 주소, URL, 파일 해시, 위협 행위자
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 가장 낮은 심각도 점수 | 정수 | 50 | 예 | 관련 지표를 반환하는 데 사용되는 가장 낮은 심각도 점수를 지정합니다. 최대: 100 |
| 반환할 최대 IOC 수 | 정수 | 100 | 아니요 | 작업에서 항목당 처리해야 하는 지표 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- URL
- 파일 해시
- 위협 행위자
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"hash": [{value}],
"url": [{value}],
"fqdn": [{value}],
"ip": [{value}],
"email": [{value}]
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목의 관련 지표를 성공적으로 반환했습니다.' 하나의 항목에 데이터를 사용할 수 없는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목에 대한 관련 지표가 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우 (is_success=false): '관련 지표를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 항목 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
IOC 보강
Mandiant에서 IOC에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| IOC 식별자 | CSV | 해당 사항 없음 | 예 | 강화해야 하는 IOC의 쉼표로 구분된 목록을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
"name": "APT1",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
"type": "fqdn",
"value": "agru.qpoe.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 IOC에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 성공적으로 보강했습니다.' 하나의 IOC에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 보강할 수 없습니다.' 일부 IOC에 데이터를 사용할 수 없는 경우 (is_success=false): '보강된 IOC가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 항목 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
멀웨어 세부정보 가져오기
Mandiant에서 멀웨어에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 멀웨어 이름 | CSV | 해당 사항 없음 | 예 | 강화해야 하는 멀웨어 이름을 쉼표로 구분하여 지정합니다. |
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. |
| 관련 IOC 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 이 작업이 제공된 멀웨어와 관련된 표시기를 가져옵니다. |
| 반환할 최대 관련 IOC 수 | 정수 | 100 | 아니요 | 작업에서 멀웨어별로 처리해야 하는 표시기 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
"name": "PHOTOMINER",
"description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 멀웨어에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 성공적으로 보강했습니다.' 하나의 멀웨어에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 보강할 수 없습니다.' 일부 멀웨어에 대해 데이터를 사용할 수 없는 경우 (is_success=false): '멀웨어 정보를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''멀웨어 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
| 케이스 월 테이블 | 표 이름: 멀웨어 결과 테이블 열:
|
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.