McAfee ATD
Versão da integração: 11.0
Configure a integração do McAfee ATD no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Verifique o hash
Descrição
Verifique se um hash está na lista negra.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_blacklisted | Verdadeiro/Falso | is_blacklisted:False |
Resultado JSON
[{
"EntityResult": true,
"Entity": "ebdd035084968f675ee1510519dd8319"
}]
Get Analyzer Profiles
Descrição
Obtenha dados dos perfis do analisador do Trellix ATD.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"overrideOS": 0,
"logZip": 0,
"family": 0,
"default64OSName": "",
"artimas": 0,
"yararules": 0,
"xMode": 0,
"consoleLog": 0,
"sophosAV": 0,
"defaultVM": 0,
"userLog": 0,
"filePassword1": "",
"dnnEnable": 0,
"recusiveAnalysis": 0,
"imageid": 0,
"vmDesc": "Only Down Selectors",
"heuristic": 0,
"netdriveZip": 0,
"ssKeyid": 1,
"gtiTS": 1,
"ssAPIid": 1,
"pe32": 0,
"createTime": "2012-12-01 02:16:01",
"locBlackList": 1,
"openarchive": 1,
"yaraScan": 0,
"runtimeArgument": "",
"dumpZip": 0,
"userid": 1,
"filePassword": "",
"internet": 0,
"default32OSName": "",
"lastChange": "2018-08-20 01:04:37",
"summary": 1,
"maxExecTime": 180,
"asm": 0,
"ntvLog": 0,
"name": "Analyzer Profile 1",
"reAnalysis": 1,
"noPDF": 0,
"flp": 0,
"mfeAV": 1,
"aviraAV": 0,
"vmProfileid": 1,
"gam": 1,
"gml": 0,
"netLog": 0,
"sandbox": 0,
"dropZip": 0,
"selectedOSName": "",
"minExecTime": 5,
"ssLevelid": 1,
"gtiURLRep": 0,
"customrules": 0,
"locWhiteList": 0
}]
Obter relatório
Descrição
Obtenha um relatório para IDs de tarefas.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| IDs das tarefas | String | N/A | Os IDs das tarefas para as quais obter relatórios, separados por vírgulas. |
| Crie estatísticas | Booleano | Marcado | Se estiver ativada, a ação cria uma estatística com todas as informações obtidas sobre o relatório. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| relatório | Verdadeiro/Falso | report:False |
Resultado JSON
{
"95":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"Name": "events.txt",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7", "sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"parent_archive": "Not Available",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior": ["Identified as --- by GTI File Reputation", "Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Severity": "0",
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
}
}
Tchim-tchim
Descrição
Verifique se o utilizador tem uma ligação ao Trellix ATD através do respetivo dispositivo.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enviar ficheiro
Descrição
Envie um ficheiro para análise.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Caminhos de ficheiros | String | N/A | Os caminhos do ficheiro a enviar, separados por vírgulas. |
| ID do perfil do analisador | String | N/A | O ID do perfil do analisador com o qual fazer a análise. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| task_id | Verdadeiro/Falso | task_id:False |
Resultado JSON
{
"C:\\temp\\test.txt\": 95
}
Enviar URL
Descrição
Envie um URL para análise.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| ID do perfil do analisador | String | N/A | O ID do perfil do analisador para analisar os URLs. Pode encontrá-lo na ATD na secção Perfil do analisador de políticas. |
| Crie estatísticas | Booleano | Marcado | Se estiver ativada, a ação cria uma estatística com todas as informações obtidas sobre a entidade. |
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Resumo | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| relatório | Verdadeiro/Falso | report:False |
Resultado JSON
[{
"EntityResult":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7",
"parent_archive": "Not Available",
"Name": "events.txt",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior":
["Identified as --- by GTI File Reputation",
"Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe",
"Severity": "0"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
},
"Entity": "http://google.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.