이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Mandiant

통합 버전: 6.0

Google Security Operations에서 Mandiant 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
UI 루트	문자열	https://advantage.mandiant.com	예	Mandiant 인스턴스의 UI 루트입니다.
API 루트	문자열	https://api.intelligence.mandiant.com	예	Mandiant 인스턴스의 API 루트입니다.
클라이언트 ID	비밀번호	해당 사항 없음	아니요	Mandiant 계정의 클라이언트 ID입니다.
CA 인증서 파일	문자열	해당 사항 없음	아니요	Mandiant 계정의 클라이언트 보안 비밀번호입니다.
SSL 확인	체크박스	선택 해제	예	사용 설정하면 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다.

클라이언트 ID 및 클라이언트 보안 비밀번호를 생성하는 방법

설정 -> API 액세스 및 키로 이동하여 키 ID 및 보안 비밀 가져오기를 클릭합니다.

사용 사례

항목을 보강합니다.

작업

핑

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Mandiant에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
is_success	True/False	is_success=False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Mandiant 서버에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'Mandiant 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)"	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 Mandiant 서버에 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

성공하지 못한 경우: 'Mandiant 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)"

일반

항목 보강

설명

Mandiant의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, IP 주소, URL, 파일 해시, 위협 행위자, 취약점

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
심각도 점수 기준	정수	50	예	엔티티를 의심스러운 것으로 표시하는 데 사용되는 가장 낮은 심각도 점수를 지정합니다. 참고: 지표 (호스트 이름, IP 주소, 파일 해시, URL)만 의심스러운 것으로 표시할 수 있습니다. 최대: 100
통계 만들기	체크박스	선택	No	사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다.
의심스러운 항목 통계만	체크박스	선택 해제	아니요	사용 설정하면 작업에서 의심스러운 항목에 대한 통계만 만듭니다. 참고: 'Create Insight' 매개변수가 사용 설정되어 있어야 합니다. '위협 행위자' 및 '취약점' 항목은 의심스러운 것으로 표시되지 않더라도 통계가 생성됩니다.

매개변수 표시 이름

유형

기본값

필수 항목

설명

심각도 점수 기준

정수

예

엔티티를 의심스러운 것으로 표시하는 데 사용되는 가장 낮은 심각도 점수를 지정합니다.

참고: 지표 (호스트 이름, IP 주소, 파일 해시, URL)만 의심스러운 것으로 표시할 수 있습니다.

최대: 100

통계 만들기

체크박스

선택

사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다.

의심스러운 항목 통계만

체크박스

선택 해제

아니요

사용 설정하면 작업에서 의심스러운 항목에 대한 통계만 만듭니다.

참고: 'Create Insight' 매개변수가 사용 설정되어 있어야 합니다.

'위협 행위자' 및 '취약점' 항목은 의심스러운 것으로 표시되지 않더라도 통계가 생성됩니다.

실행

이 작업은 다음 항목에서 실행됩니다.

호스트 이름
IP 주소
URL
파일 해시
위협 행위자
취약점

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
is_success	True/False	is_success=False

JSON 결과

지표의 JSON 결과

{
    "Entity": "173.254.xx.xx",
    "EntityResult": {
      "first_seen": "2022-03-22T21:46:43.000Z",
      "last_seen": "2022-05-22T00:58:48.000Z",
      "sources": [
        {
          "first_seen": "2022-03-22T21:46:46.000+0000",
          "last_seen": "2022-03-24T19:12:57.000+0000",
          "osint": false,
          "category": [],
          "source_name": "Mandiant"
        }
      ],
      "mscore": 100,
      "attributed_associations": [
        {
          "id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
          "name": "EMOTET",
          "type": "malware"
        }
      ],
      "misp": {
        "smtp-receiving-ips": false,
        "covid": false,
        "eicar.com": false,
        "majestic_million": false,
        "sinkholes": false,
        "alexa": false,
        "cisco_top1000": false,
        "microsoft": false,
        "microsoft-office365": false,
        "crl-hostname": false,
        "googlebot": false,
        "microsoft-azure-germany": false,
        "microsoft-attack-simulator": false,
        "microsoft-azure": false,
        "rfc5735": false,
        "tranco10k": false,
        "dax30": false,
        "public-dns-v4": false,
        "dynamic-dns": false,
        "public-dns-v6": false,
        "covid-19-cyber-threat-coalition-whitelist": false,
        "common-ioc-false-positive": false,
        "cisco_1M": false,
        "google-gmail-sending-ips": false,
        "microsoft-azure-china": false,
        "stackpath": false,
        "google": false,
        "cloudflare": false,
        "moz-top500": false,
        "tranco": false,
        "tlds": false,
        "university_domains": false,
        "smtp-sending-ips": false,
        "cisco_top20k": false,
        "empty-hashes": false,
        "nioc-filehash": false,
        "amazon-aws": false,
        "url-shortener": false,
        "microsoft-office365-ip": false,
        "microsoft-win10-connection-endpoints": false,
        "microsoft-azure-us-gov": false,
        "majestic_million_1M": false,
        "mozilla-CA": false,
        "whats-my-ip": false,
        "microsoft-office365-cn": false,
        "vpn-ipv6": false,
        "rfc3849": false,
        "rfc6761": false,
        "security-provider-blogpost": false,
        "cisco_top5k": false,
        "apple": false,
        "public-dns-hostname": false,
        "mozilla-IntermediateCA": false,
        "rfc1918": false,
        "ti-falsepositives": false,
        "akamai": false,
        "bank-website": false,
        "alexa_1M": false,
        "automated-malware-analysis": false,
        "rfc6598": false,
        "google-gcp": false,
        "ovh-cluster": false,
        "multicast": false,
        "phone_numbers": false,
        "fastly": false,
        "cisco_top10k": false,
        "second-level-tlds": false,
        "wikimedia": false,
        "disposable-email": false,
        "common-contact-emails": false,
        "vpn-ipv4": true,
        "ipv6-linklocal": false,
        "covid-19-krassi-whitelist": false,
        "crl-ip": false
      },
      "id": "ipv4--da5b1f26-cf25-5a61-9c93-xxxxx",
      "type": "ipv4",
      "value": "173.254.xx.xx",
      "is_publishable": true,
      "last_updated": "2022-05-22T01:04:46.098Z",
      "report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
    }
  }

위협 행위자의 JSON 결과

{
    "Entity": "APxxxxx",
    "EntityResult": {
      "motivations": [
        {
          "id": "motivation--1b8ca82a-7cff-5622-bedd-xxxx",
          "name": "Espionage",
          "attribution_scope": "confirmed"
        }
      ],
      "aliases": [
        {
          "name": "Comment Crew (Internet)",
          "attribution_scope": "confirmed"
        }
      ],
      "industries": [
        {
          "id": "identity--cc593632-0c42-500c-8d0b-xxxxx",
          "name": "Aerospace & Defense",
          "attribution_scope": "confirmed"
        },
        {
          "id": "identity--8768c9d0-830d-5c94-88d1-xxxxxxx",
          "name": "Transportation",
          "attribution_scope": "confirmed"
        }
      ],
      "observed": [
        {
          "earliest": "2003-06-20T12:00:00.000Z",
          "recent": "2015-10-20T00:00:00.000Z",
          "attribution_scope": "confirmed"
        }
      ],
      "malware": [
        {
          "id": "malware--09673ebc-9fbf-5ab0-9130-xxxxx",
          "name": "AGEDMOAT",
          "attribution_scope": "confirmed"
        },
        {
          "id": "malware--a2de25d8-beae-5e86-b10e-xxxxxx",
          "name": "ZERODUE",
          "attribution_scope": "confirmed"
        }
      ],
      "tools": [
        {
          "id": "malware--57e5ea29-1c08-5f80-b28e-xxxxx",
          "name": "ANGRYIP",
          "attribution_scope": "confirmed"
        }
      ],
      "suspected_attribution": [],
      "locations": {
        "source": [
          {
            "region": {
              "id": "location--02178345-7a8a-546a-b82f-xxxxx",
              "name": "Asia",
              "attribution_scope": "confirmed"
            },
            "sub_region": {
              "id": "location--c80cc2c3-c5b6-5769-b228-xxxxx",
              "name": "East Asia",
              "attribution_scope": "confirmed"
            },
            "country": {
              "id": "location--26e2c717-7772-5ad5-8f0c-xxxxx",
              "name": "China",
              "iso2": "CN",
              "attribution_scope": "confirmed"
            }
          }
        ],
        "target": [
          {
            "id": "location--a509dfc8-789b-595b-a201-xxxxx",
            "name": "Belgium",
            "iso2": "be",
            "region": "Europe",
            "sub-region": "West Europe",
            "attribution_scope": "confirmed"
          }
        ],
        "target_sub_region": [
          {
            "id": "location--7b33370b-da4b-5c48-9741-xxxxx",
            "name": "East Asia",
            "key": "eastasia",
            "region": "Asia",
            "attribution_scope": "confirmed"
          }
        ],
        "target_region": [
          {
            "id": "location--9488166d-6469-5e54-ba5f-xxxxx",
            "name": "Africa",
            "key": "africa",
            "attribution_scope": "confirmed"
          }
        ]
      },
      "cve": [
        {
          "id": "vulnerability--8cb90843-f69a-5aa6-95dc-xxxxx",
          "cve_id": "CVE-2009-xxxx",
          "attribution_scope": "confirmed"
        }
      ],
      "associated_uncs": [],
      "id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-xxxxx",
      "name": "APxxxx",
      "description": "A description of the threat actor",
      "type": "threat-actor",
      "last_updated": "2022-05-29T05:30:48.000Z",
      "last_activity_time": "2015-10-20T00:00:00.000Z",
      "audience": [
        {
          "name": "intel_fusion",
          "license": "INTEL_RBI_FUS"
        }
      ],
      "is_publishable": true,
      "counts": {
        "reports": 171,
        "malware": 92,
        "cve": 1,
        "associated_uncs": 0,
        "aliases": 4,
        "industries": 16,
        "attack_patterns": 111
      },
      "intel_free": true,
      "report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
    }
  }

취약점의 JSON 결과

  {
    "Entity": "CVE-2022-xxxx",
    "EntityResult": {
      "exploits": [],
      "vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A:&nbsp;NetWeaver Application Server for ABAP&nbsp;7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
      "sources": [
        {
          "source_description": "Company A Security Patch Day – January 2022",
          "source_name": "Company A",
          "url": "https://wiki.scn.company.com/wiki/pages/viewpage.action?pageId=596902035",
          "date": "2022-01-11T17:00:00.000Z",
          "unique_id": "59690xxxx"
        }
      ],
      "exploitation_state": "No Known",
      "date_of_disclosure": "2022-01-11T07:00:00.000Z",
      "id": "vulnerability--27efc4f2-4d7b-5d39-a96f-xxxxx",
      "vendor_fix_references": [
        {
          "url": "https://launchpad.support.company.com/#/notes/311xxxxx",
          "name": "Company A (311xxxx) Security Update Information",
          "unique_id": "311xxxxx"
        }
      ],
      "title": "Company A NetWeaver Application Server 7.86 Unspecified Vulnerability",
      "exploitation_vectors": [
        "General Network Connectivity"
      ],
      "was_zero_day": false,
      "vulnerable_cpes": [
        {
          "technology_name": "netweaver_as_abap 7.31",
          "vendor_name": "Company A",
          "cpe_title": "company a netweaver_as_abap 7.31",
          "cpe": "cpe:2.3:a:aompany a:netweaver_as_abap:7.31:*:*:*:*:*:*:*"
        }
      ],
      "executive_summary": "<p>An unspecified vulnerability exists within Company A&nbsp;NetWeaver Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
      "cwe": "Unknown",
      "description": null,
      "cve_id": "CVE-2022-xxxx",
      "risk_rating": "LOW",
      "observed_in_the_wild": false,
      "common_vulnerability_scores": {
        "v2.0": {
          "access_complexity": "LOW",
          "temporal_score": 3,
          "confidentiality_impact": "PARTIAL",
          "report_confidence": "CONFIRMED",
          "base_score": 4,
          "access_vector": "NETWORK",
          "vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
          "integrity_impact": "NONE",
          "availability_impact": "NONE",
          "remediation_level": "OFFICIAL_FIX",
          "authentication": "SINGLE",
          "exploitability": "UNPROVEN"
        }
      },
      "available_mitigation": [
        "Patch"
      ],
      "exploitation_consequence": "Information Disclosure",
      "analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
      "audience": [
        "intel_vuln"
      ],
      "publish_date": "2022-01-11T18:24:00.000Z",
      "workarounds": null,
      "type": "vulnerability",
      "is_publishable": true,
      "associated_actors": [],
      "associated_malware": [],
      "intel_free": false,
      "report_link": "https://advantage.mandiant.com/indicator/ipv4/ipv4--da5b1f26-xxxx-5a61-9c93-6dxxxxxxxxxx"
    }
  }

항목 보강

지표 보강 테이블 - 접두사 Mandiant_

보강 필드 이름	소스(JSON 키)	로직 - 적용 시기
first_seen	first_seen	JSON으로 제공되는 경우
last_seen	last_seen	JSON으로 제공되는 경우
소스	고유한 'sources/source_name'의 CSV	JSON으로 제공되는 경우
mscore	mscore	JSON으로 제공되는 경우
attributed_associations_{associated_associations/type}	속성이 지정된 연결/유형별 속성이 지정된 연결/이름의 CSV입니다. 유형당 하나의 키가 있습니다. 예를 들어 모든 멀웨어가 한곳에 있습니다.	JSON으로 제공되는 경우
report_link	맞춤형으로 제작됩니다.	JSON으로 제공되는 경우

위협 행위자 보강 테이블 - 접두사 Mandiant_

보강 필드 이름	소스(JSON 키)	로직 - 적용 시기
동기	동기/이름의 CSV	JSON으로 제공되는 경우
aliases	별칭/이름의 CSV	JSON으로 제공되는 경우
업종	업종/이름의 CSV	JSON으로 제공되는 경우
멀웨어	멀웨어/이름의 CSV	JSON으로 제공되는 경우
locations\_source	위치/소스/국가/이름의 CSV	JSON으로 제공되는 경우
locations\_target	위치/타겟/이름의 CSV	JSON으로 제공되는 경우
cve	cve/cve\_id의 CSV	JSON으로 제공되는 경우
설명	설명	JSON으로 제공되는 경우
last\_activity\_time	last\_activity\_time	JSON으로 제공되는 경우
report\_link	맞춤형으로 제작됩니다.	JSON으로 제공되는 경우

취약점 보강 테이블 - 접두사 Mandiant_

보강 필드 이름	소스(JSON 키)	로직 - 적용 시기
소스	source_name의 CSV	JSON으로 제공되는 경우
exploitation_state	exploitation_state	JSON으로 제공되는 경우
date_of_disclosure	date_of_disclosure	JSON으로 제공되는 경우
vendor_fix_references	vendor_fix_references/url	JSON으로 제공되는 경우
제목	제목	JSON으로 제공되는 경우
exploitation_vectors	exploitation_vectors의 CSV	JSON으로 제공되는 경우
설명	설명	JSON으로 제공되는 경우
risk_rating	risk_rating	JSON으로 제공되는 경우
available_mitigation	available_mitigation의 CSV	JSON으로 제공되는 경우
exploitation_consequence	exploitation_consequence	JSON으로 제공되는 경우
report_link	맞춤형으로 제작됩니다.	JSON으로 제공되는 경우

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace)'	일반
케이스 월 테이블	테이블 제목: {entity.identifier} 테이블 열: 키 값	항목

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.'

항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.'

모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.'

작업이 실패하고 플레이북 실행을 중지해야 합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace)'

일반

케이스 월 테이블

테이블 제목: {entity.identifier}

테이블 열:

항목

매개변수 표시 이름	유형	기본값	필수 항목	설명
가장 낮은 심각도 점수	정수	50	예	관련 지표를 반환하는 데 사용되는 가장 낮은 심각도 점수를 지정합니다. 최대: 100
반환할 최대 IOC 수	정수	100	아니요	작업에서 항목당 처리해야 하는 지표 수를 지정합니다.

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목의 관련 지표를 성공적으로 반환했습니다.' 하나의 항목에 데이터를 사용할 수 없는 경우 (is_success=true): 'Mandiant: {entity.identifier}의 정보를 사용하여 다음 항목에 대한 관련 지표가 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우 (is_success=false): '관련 지표를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 항목 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)'	일반

IOC 보강

설명

Mandiant에서 IOC에 관한 정보를 가져옵니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
IOC 식별자	CSV	해당 사항 없음	예	강화해야 하는 IOC의 쉼표로 구분된 목록을 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
is_success	True/False	is_success=False

JSON 결과

{
    "first_seen": "2011-09-12T12:23:13.000Z",
    "last_seen": "2011-09-12T12:23:13.000Z",
    "sources": [
        {
            "first_seen": "2011-09-12T12:23:13.000+0000",
            "last_seen": "2011-09-12T12:23:13.000+0000",
            "osint": false,
            "category": [],
            "source_name": "Mandiant"
        }
    ],
    "mscore": 47,
    "attributed_associations": [
        {
            "id": "threat-actor--0ac5c1db-8ad6-54b8-b4b9-c32fc738c54a",
            "name": "APT1",
            "type": "threat-actor"
        }
    ],
    "misp": {
        "smtp-receiving-ips": false,
        "covid": false,
        "eicar.com": false,
        "majestic_million": false,
        "sinkholes": false,
        "alexa": false,
        "cisco_top1000": false,
        "crl-hostname": false,
        "microsoft-office365": false,
        "microsoft": false,
        "googlebot": false,
        "microsoft-azure-germany": false,
        "microsoft-attack-simulator": false,
        "microsoft-azure": false,
        "rfc5735": false,
        "tranco10k": false,
        "public-dns-v4": false,
        "dax30": false,
        "dynamic-dns": false,
        "public-dns-v6": false,
        "covid-19-cyber-threat-coalition-whitelist": false,
        "common-ioc-false-positive": false,
        "cisco_1M": false,
        "google-gmail-sending-ips": false,
        "microsoft-azure-china": false,
        "stackpath": false,
        "google": false,
        "cloudflare": false,
        "moz-top500": false,
        "tranco": false,
        "tlds": true,
        "university_domains": false,
        "smtp-sending-ips": false,
        "cisco_top20k": false,
        "empty-hashes": false,
        "nioc-filehash": false,
        "amazon-aws": false,
        "url-shortener": false,
        "microsoft-office365-ip": false,
        "microsoft-win10-connection-endpoints": false,
        "microsoft-azure-us-gov": false,
        "majestic_million_1M": false,
        "mozilla-CA": false,
        "whats-my-ip": false,
        "microsoft-office365-cn": false,
        "vpn-ipv6": false,
        "rfc3849": false,
        "rfc6761": false,
        "security-provider-blogpost": false,
        "cisco_top5k": false,
        "apple": false,
        "public-dns-hostname": false,
        "mozilla-IntermediateCA": false,
        "rfc1918": false,
        "ti-falsepositives": false,
        "akamai": false,
        "bank-website": false,
        "automated-malware-analysis": false,
        "rfc6598": false,
        "alexa_1M": false,
        "google-gcp": false,
        "ovh-cluster": false,
        "multicast": false,
        "phone_numbers": false,
        "fastly": false,
        "cisco_top10k": false,
        "second-level-tlds": true,
        "wikimedia": false,
        "disposable-email": false,
        "common-contact-emails": false,
        "vpn-ipv4": false,
        "ipv6-linklocal": false,
        "covid-19-krassi-whitelist": false,
        "crl-ip": false
    },
    "id": "fqdn--25667188-bcf5-5abc-b1cc-caabfa18e2b3",
    "type": "fqdn",
    "value": "agru.qpoe.com",
    "is_publishable": true,
    "is_exclusive": true,
    "last_updated": "2022-02-21T13:20:27.176Z"
}

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 IOC에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 성공적으로 보강했습니다.' 하나의 IOC에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 보강할 수 없습니다.' 일부 IOC에 데이터를 사용할 수 없는 경우 (is_success=false): '보강된 IOC가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 항목 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

하나의 IOC에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 성공적으로 보강했습니다.'

하나의 IOC에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {ioc .identifier}의 정보를 사용하여 다음 IOC를 보강할 수 없습니다.'

일부 IOC에 데이터를 사용할 수 없는 경우 (is_success=false): '보강된 IOC가 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''관련 항목 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

일반

멀웨어 세부정보 가져오기

설명

Mandiant에서 멀웨어에 관한 정보를 가져옵니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
멀웨어 이름	CSV	해당 사항 없음	예	강화해야 하는 멀웨어 이름을 쉼표로 구분하여 지정합니다.
통계 만들기	체크박스	선택	No	사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다.
관련 IOC 가져오기	체크박스	선택	아니요	사용 설정하면 이 작업이 제공된 멀웨어와 관련된 표시기를 가져옵니다.
반환할 최대 관련 IOC 수	정수	100	아니요	작업에서 멀웨어별로 처리해야 하는 표시기 수를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예시
is_success	True/False	is_success=False

JSON 결과

{
    "inherently_malicious": 1,
    "operating_systems": [
        "Windows"
    ],
    "aliases": [],
    "capabilities": [
        {
            "name": "Allocates memory",
            "description": "Capable of allocating memory. "
        }
    ],
    "detections": [],
    "yara": [],
    "roles": [
        "Cryptocurrency Miner"
    ],
    "malware": [],
    "actors": [],
    "cve": [],
    "id": "malware--96f82012-c77e-5887-bee9-69aec0b88578",
    "name": "PHOTOMINER",
    "description": "PHOTOMINER is a Windows-based modular cryptocurrency mining malware that communicates over HTTP.",
    "type": "malware",
    "last_updated": "2022-04-13T02:59:30.000Z",
    "last_activity_time": "2022-04-13T02:59:30.000Z",
    "audience": [
        {
            "name": "intel_fusion",
            "license": "INTEL_RBI_FUS"
        }
    ],
    "is_publishable": true,
    "counts": {
        "reports": 0,
        "capabilities": 26,
        "malware": 0,
        "actors": 0,
        "detections": 0,
        "cve": 0,
        "aliases": 0,
        "industries": 5,
        "attack_patterns": 19
    },
    "intel_free": false
}

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 멀웨어에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 성공적으로 보강했습니다.' 하나의 멀웨어에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 보강할 수 없습니다.' 일부 멀웨어에 대해 데이터를 사용할 수 없는 경우 (is_success=false): '멀웨어 정보를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''멀웨어 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)'	일반
케이스 월 테이블	표 이름: 멀웨어 결과 테이블 열: 이름 - 이름 설명 - description 별칭 - {aliases/name}의 CSV 최근 활동 시간 - {last_activity_time}	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

하나의 멀웨어에 데이터를 사용할 수 있는 경우 (is_success=true): 'Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 성공적으로 보강했습니다.'

하나의 멀웨어에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Mandiant: {malware name}의 정보를 사용하여 다음 멀웨어를 보강할 수 없습니다.'

일부 멀웨어에 대해 데이터를 사용할 수 없는 경우 (is_success=false): '멀웨어 정보를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''멀웨어 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)'

일반

케이스 월 테이블

표 이름: 멀웨어 결과

테이블 열:

이름 - 이름
설명 - description
별칭 - {aliases/name}의 CSV
최근 활동 시간 - {last_activity_time}

일반

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.