McAfee ATD
集成版本:11.0
在 Google Security Operations 中配置 McAfee ATD 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
检查哈希
说明
检查哈希是否已列入黑名单。
参数
不适用
使用场景
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_blacklisted | True/False | is_blacklisted:False |
JSON 结果
[{
"EntityResult": true,
"Entity": "ebdd035084968f675ee1510519dd8319"
}]
获取分析器配置文件
说明
获取 Trellix ATD 分析器配置文件数据。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"overrideOS": 0,
"logZip": 0,
"family": 0,
"default64OSName": "",
"artimas": 0,
"yararules": 0,
"xMode": 0,
"consoleLog": 0,
"sophosAV": 0,
"defaultVM": 0,
"userLog": 0,
"filePassword1": "",
"dnnEnable": 0,
"recusiveAnalysis": 0,
"imageid": 0,
"vmDesc": "Only Down Selectors",
"heuristic": 0,
"netdriveZip": 0,
"ssKeyid": 1,
"gtiTS": 1,
"ssAPIid": 1,
"pe32": 0,
"createTime": "2012-12-01 02:16:01",
"locBlackList": 1,
"openarchive": 1,
"yaraScan": 0,
"runtimeArgument": "",
"dumpZip": 0,
"userid": 1,
"filePassword": "",
"internet": 0,
"default32OSName": "",
"lastChange": "2018-08-20 01:04:37",
"summary": 1,
"maxExecTime": 180,
"asm": 0,
"ntvLog": 0,
"name": "Analyzer Profile 1",
"reAnalysis": 1,
"noPDF": 0,
"flp": 0,
"mfeAV": 1,
"aviraAV": 0,
"vmProfileid": 1,
"gam": 1,
"gml": 0,
"netLog": 0,
"sandbox": 0,
"dropZip": 0,
"selectedOSName": "",
"minExecTime": 5,
"ssLevelid": 1,
"gtiURLRep": 0,
"customrules": 0,
"locWhiteList": 0
}]
获取报告
说明
获取任务 ID 的报告。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 任务 ID | 字符串 | 不适用 | 要获取报告的任务的 ID,以英文逗号分隔。 |
| 创建分析数据 | 布尔值 | 勾选 | 如果启用,操作将创建包含报告所有检索到的信息的分析洞见。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 报告 | True/False | report:False |
JSON 结果
{
"95":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"Name": "events.txt",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7", "sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"parent_archive": "Not Available",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior": ["Identified as --- by GTI File Reputation", "Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Severity": "0",
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
}
}
Ping
说明
验证用户是否已通过自己的设备连接到 Trellix ATD。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
提交文件
说明
提交文件以供分析。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 文件路径 | 字符串 | 不适用 | 要提交的文件的路径,以英文逗号分隔。 |
| 分析器配置文件 ID | 字符串 | 不适用 | 要使用的分析器配置文件的 ID。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| task_id | True/False | task_id:False |
JSON 结果
{
"C:\\temp\\test.txt\": 95
}
提交网址
说明
提交网址以供分析。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 分析器配置文件 ID | 字符串 | 不适用 | 用于分析网址的分析器配置文件的 ID。您可以在 ATD 的“政策分析器配置文件”部分下找到该信息。 |
| 创建分析数据 | 布尔值 | 勾选 | 如果启用,操作将创建包含有关实体的所有检索到的信息的分析洞见。 |
运行于
此操作在网址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 摘要 | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 报告 | True/False | report:False |
JSON 结果
[{
"EntityResult":
{
"Summary":
{
"JSONversion": "1.002",
"SubmitterName": "User",
"Subject":
{
"sha-1": "6BDA9FCFB56CE2B34168D499EE04970F640ADD9A",
"Timestamp": "2018-08-21 08:29:48",
"FileType": "2",
"sha-256": "74834D752D73B4C81EAD10184A091C12AA30BD809D575FD9CFA07B0EBBD7A0D7",
"parent_archive": "Not Available",
"Name": "events.txt",
"md5": "11FBEF3A9916BF50EC5002B5795B23C3",
"Type": "ASCII text",
"size": "481231"
},
"Process":
[{
"Reason": "processed by down selectors",
"Name": "events.txt",
"Severity": "0"
}],
"Data":
{
"compiled_with": "Not Available",
"analysis_seconds": "181",
"sandbox_analysis": "0"
},
"SUMversion": "1.1.1.1",
"JobId": "95",
"SubmitterType": "STAND_ALONE",
"Behavior":
["Identified as --- by GTI File Reputation",
"Identified as --- by Anti-Malware"],
"hasDynamicAnalysis": "false",
"TaskId": "95",
"Verdict":
{
"Description": "No malicious activity was detected, but this does NOT mean that execution of the sample is safe",
"Severity": "0"
},
"OSversion": "StaticAnalysis",
"Selectors":
[{
"Engine": "GTI File Reputation",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Anti-Malware",
"Severity": "0",
"MalwareName": "---"
},
{
"Engine": "Sandbox",
"Severity": "0",
"MalwareName": "---"
}],
"MISversion": "1.1.1.1",
"DETversion": "1.1.1.1"
}
},
"Entity": "http://google.com"
}]
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。