McAfee ATD
Version de l'intégration : 11.0
Configurer l'intégration de McAfee ATD dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Vérifier le hachage
Description
Vérifiez si un hachage est mis sur liste noire.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_blacklisted | Vrai/Faux | is_blacklisted:False |
Résultat JSON
[{
"EntityResult": true,
"Entity": "ebdd035084968f675ee1510519dd8319"
}]
Obtenir des profils Analyzer
Description
Obtenez les données des profils de l'analyseur Trellix ATD.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"overrideOS": 0,
"logZip": 0,
"family": 0,
"default64OSName": "",
"artimas": 0,
"yararules": 0,
"xMode": 0,
"consoleLog": 0,
"sophosAV": 0,
"defaultVM": 0,
"userLog": 0,
"filePassword1": "",
"dnnEnable": 0,
"recusiveAnalysis": 0,
"imageid": 0,
"vmDesc": "Only Down Selectors",
"heuristic": 0,
"netdriveZip": 0,
"ssKeyid": 1,
"gtiTS": 1,
"ssAPIid": 1,
"pe32": 0,
"createTime": "2012-12-01 02:16:01",
"locBlackList": 1,
"openarchive": 1,
"yaraScan": 0,
"runtimeArgument": "",
"dumpZip": 0,
"userid": 1,
"filePassword": "",
"internet": 0,
"default32OSName": "",
"lastChange": "2018-08-20 01:04:37",
"summary": 1,
"maxExecTime": 180,
"asm": 0,
"ntvLog": 0,
"name": "Analyzer Profile 1",
"reAnalysis": 1,
"noPDF": 0,
"flp": 0,
"mfeAV": 1,
"aviraAV": 0,
"vmProfileid": 1,
"gam": 1,
"gml": 0,
"netLog": 0,
"sandbox": 0,
"dropZip": 0,
"selectedOSName": "",
"minExecTime": 5,
"ssLevelid": 1,
"gtiURLRep": 0,
"customrules": 0,
"locWhiteList": 0
}]
Télécharger le rapport
Description
Obtenez un rapport pour les ID de tâches.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| ID des tâches | Chaîne | N/A | ID des tâches pour lesquelles récupérer les rapports, séparés par une virgule. |
| Créer un insight | Booléen | Cochée | Si cette option est activée, l'action créera un insight contenant toutes les informations récupérées sur le rapport. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| rapport | Vrai/Faux | report:False |
Résultat JSON
{
"95":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"Name": "events.txt",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7", "sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"parent_archive": "Not Available",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior": ["Identified as --- by GTI File Reputation", "Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Severity": "0",
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
}
}
Ping
Description
Vérifiez que l'utilisateur est connecté à Trellix ATD depuis son appareil.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Envoyer le fichier
Description
Envoyez un fichier pour analyse.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chemins des fichiers | Chaîne | N/A | Chemins d'accès au fichier à envoyer, séparés par une virgule. |
| ID du profil de l'analyseur | Chaîne | N/A | ID du profil d'analyseur à utiliser pour l'analyse. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| task_id | Vrai/Faux | task_id:False |
Résultat JSON
{
"C:\\temp\\test.txt\": 95
}
Envoyer une URL
Description
Envoyez une URL à analyser.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| ID du profil de l'analyseur | Chaîne | N/A | ID du profil d'analyseur à utiliser pour analyser les URL. Vous le trouverez dans ATD, dans la section "Profil Policy Analyzer". |
| Créer un insight | Booléen | Cochée | Si cette option est activée, l'action créera un insight contenant toutes les informations récupérées sur l'entité. |
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Résumé | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| rapport | Vrai/Faux | report:False |
Résultat JSON
[{
"EntityResult":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7",
"parent_archive": "Not Available",
"Name": "events.txt",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior":
["Identified as --- by GTI File Reputation",
"Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe",
"Severity": "0"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
},
"Entity": "http://google.com"
}]
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.