McAfee ATD
Versão da integração: 11.0
Configurar a integração do McAfee ATD no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Verificar hash
Descrição
Verifica se um hash está na lista de bloqueio.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_blacklisted | Verdadeiro/Falso | is_blacklisted:False |
Resultado do JSON
[{
"EntityResult": true,
"Entity": "ebdd035084968f675ee1510519dd8319"
}]
Receber perfis do analisador
Descrição
Recebe dados de perfis do analisador do ATD da Trellix.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"overrideOS": 0,
"logZip": 0,
"family": 0,
"default64OSName": "",
"artimas": 0,
"yararules": 0,
"xMode": 0,
"consoleLog": 0,
"sophosAV": 0,
"defaultVM": 0,
"userLog": 0,
"filePassword1": "",
"dnnEnable": 0,
"recusiveAnalysis": 0,
"imageid": 0,
"vmDesc": "Only Down Selectors",
"heuristic": 0,
"netdriveZip": 0,
"ssKeyid": 1,
"gtiTS": 1,
"ssAPIid": 1,
"pe32": 0,
"createTime": "2012-12-01 02:16:01",
"locBlackList": 1,
"openarchive": 1,
"yaraScan": 0,
"runtimeArgument": "",
"dumpZip": 0,
"userid": 1,
"filePassword": "",
"internet": 0,
"default32OSName": "",
"lastChange": "2018-08-20 01:04:37",
"summary": 1,
"maxExecTime": 180,
"asm": 0,
"ntvLog": 0,
"name": "Analyzer Profile 1",
"reAnalysis": 1,
"noPDF": 0,
"flp": 0,
"mfeAV": 1,
"aviraAV": 0,
"vmProfileid": 1,
"gam": 1,
"gml": 0,
"netLog": 0,
"sandbox": 0,
"dropZip": 0,
"selectedOSName": "",
"minExecTime": 5,
"ssLevelid": 1,
"gtiURLRep": 0,
"customrules": 0,
"locWhiteList": 0
}]
Acessar relatório
Descrição
Receba um relatório para IDs de tarefas.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| IDs de tarefas | String | N/A | Os IDs das tarefas para buscar relatórios, separados por vírgulas. |
| Criar insight | Booleano | Selecionado | Se ativada, a ação vai criar um insight com todas as informações recuperadas sobre o relatório. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| relatório | Verdadeiro/Falso | report:False |
Resultado do JSON
{
"95":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"Name": "events.txt",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7", "sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"parent_archive": "Not Available",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior": ["Identified as --- by GTI File Reputation", "Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Severity": "0",
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
}
}
Ping
Descrição
Verifique se o usuário tem uma conexão com o Trellix ATD pelo dispositivo dele.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enviar arquivo
Descrição
Envie um arquivo para análise.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Caminhos de arquivos | String | N/A | Os caminhos do arquivo a ser enviado, separados por vírgulas. |
| ID do perfil do Analyzer | String | N/A | O ID do perfil do analisador a ser usado. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| task_id | Verdadeiro/Falso | task_id:False |
Resultado do JSON
{
"C:\\temp\\test.txt\": 95
}
Enviar URL
Descrição
Envie um URL para análise.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| ID do perfil do Analyzer | String | N/A | O ID do perfil do analisador para analisar os URLs. Ele pode ser encontrado na seção "Perfil da Análise de políticas" da ATD. |
| Criar insight | Booleano | Selecionado | Se ativada, a ação vai criar um insight com todas as informações recuperadas sobre a entidade. |
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Resumo | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| relatório | Verdadeiro/Falso | report:False |
Resultado do JSON
[{
"EntityResult":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7",
"parent_archive": "Not Available",
"Name": "events.txt",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior":
["Identified as --- by GTI File Reputation",
"Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe",
"Severity": "0"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
},
"Entity": "http://google.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.