Intégrer MITRE ATT&CK à Google Security Operations
Version de l'intégration : 16.0
Ce document explique comment intégrer MITRE ATT&CK à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration MITRE ATT&CK utilise les fonctionnalités Google SecOps pour prendre en charge les cas d'utilisation suivants :
Corrélation tactique des menaces : identifiez automatiquement les ensembles d'intrusion (groupes de menaces connus) associés à une technique ou tactique d'attaque malveillante spécifique observée dans une alerte. Vous obtenez ainsi un contexte immédiat sur l'acteur malveillant à l'origine de l'activité.
Analyse des écarts de mitigation : pour une technique d'attaque signalée, récupérez et analysez automatiquement les mesures d'atténuation associées disponibles dans le framework MITRE ATT&CK. Cela permet aux équipes de sécurité de vérifier si leurs contrôles de défense actuels sont suffisants ou si des correctifs ou des outils doivent être implémentés.
Enrichissement et hiérarchisation des incidents : enrichissez les incidents de sécurité en ajoutant des informations détaillées sur les techniques (y compris la description, les méthodes de détection et les sources de données) directement à la page de l'incident. Les analystes peuvent ainsi comprendre rapidement la méthodologie d'attaque et hiérarchiser les étapes de réponse.
Analyse historique des techniques : recherchez des informations détaillées sur n'importe quelle technique MITRE ATT&CK à l'aide de son identifiant (par exemple, T1050). Cela facilite la chasse proactive aux menaces et fournit des connaissances fiables pour la formation et les rapports sur la sécurité.
Paramètres d'intégration
L'intégration MITRE ATT&CK nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Root |
Obligatoire. Adresse URL de l'instance du dépôt CTI MITRE ATT&CK. |
Verify SSL |
Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur MITRE ATT&CK. Cette option est activée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Obtenir les intrusions associées
Utilisez l'action Obtenir les intrusions associées pour récupérer des informations sur les ensembles d'intrusion (groupes d'adversaires connus) associés à une technique MITRE ATT&CK spécifique.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Associated Intrusions (Obtenir les intrusions associées) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Technique ID |
Obligatoire. Identifiant (ID, nom ou ID externe) utilisé pour trouver les ensembles d'intrusion associés. |
Identifier Type |
Obligatoire. Type d'identifiant fourni dans Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Intrusions to Return |
Facultatif. Nombre maximal d'ensembles d'intrusion à récupérer. La valeur par défaut est |
Sorties d'action
L'action Obtenir les intrusions associées fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Get Associated Intrusions (Obtenir les intrusions associées) :
[
{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"description":"[ADVERSARY GROUP 01](https://attack.mitre.org/groups/G0001) is a threat group that has been active since at least 2014. The group ...",
"created":"2017-12-14T16:46:06.044Z",
"x_mitre_contributors":["Security Researcher A, Organization B"],
"modified":"2019-07-17T13:11:37.402Z",
"name":"ADVERSARY GROUP 01",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_version":"2.0",
"aliases":["ADVERSARY-01","ThreatGroup A","CyberSquad X","T-C-00"],
"type":"intrusion-set",
"id":"intrusion-set--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"external_references":
[
{
"url":"https://attack.mitre.org/groups/G0001",
"source_name":"mitre-attack",
"external_id":"G0001"
},{
"source_name":"ADVERSARY GROUP 01",
"description":"(Citation: SecurityVendor A May 2017) (Citation: Research Org B Nov 2017)(Citation: SecurityFirm C May 2017)"
}]},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 02",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 02](https://attack.mitre.org/groups/G0002) is a cyber espionage group with...",
"modified":"2019-03-22T19:57:36.804Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url":"https://attack.mitre.org/groups/G0002",
"source_name":"mitre-attack",
"external_id":"G0002"
},{
"source_name":"ADVERSARY GROUP 02",
"description":"(Citation: Trend Research Daserf Nov 2017)"
}],
"x_mitre_version":"1.0",
"type":"intrusion-set",
"id":"intrusion-set--b1c2d3e4-f5g6-7h8i-9j0k-1l2m3n4o5p6q",
"aliases":["ADVERSARY-02","ResearchGroup Z","Tango"]
},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 03",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 03](https://attack.mitre.org/groups/G0003) is a cyber espionage group that has been ...",
"modified":"2019-05-03T16:42:19.026Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references":
[{
"url":"https://attack.mitre.org/groups/G0003",
"source_name":"mitre-attack",
"external_id":"G0003"
},{
"source_name":"ADVERSARY GROUP 03",
"description":"(Citation: ClearSky Analysis March 2017) (Citation: ClearSky Report July 2017) (Citation: Research Nov 2015)"
},],
"x_mitre_version":"1.1",
"type":"intrusion-set",
"id":"intrusion-set--c1d2e3f4-g5h6-7i8j-9k0l-1m2n3o4p5q6r",
"aliases":["ADVERSARY-03"]
}
]
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Associated Intrusions (Obtenir les intrusions associées) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir des mesures d'atténuation
Utilisez l'action Get Mitigations pour récupérer les stratégies d'atténuation associées à une technique MITRE ATT&CK spécifique.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Mitigations (Obtenir les mesures d'atténuation) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Technique ID |
Obligatoire. Identifiant (nom, ID interne ou ID externe) utilisé pour trouver les mesures d'atténuation associées à la technique MITRE ATT&CK. |
Identifier Type |
Obligatoire. Type d'identifiant fourni dans Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Mitigations to Return |
Facultatif. Nombre maximal de contrôles d'atténuation à récupérer. La valeur par défaut est |
Sorties d'action
L'action Get Mitigations (Obtenir les mesures d'atténuation) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON obtenus lors de l'utilisation de l'action Get Mitigations (Obtenir les mesures d'atténuation) :
[
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Resource A 2010), such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where applicable. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Resource A 2010",
"description": "General Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Obtenir les mesures d'atténuation :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les détails de la technique
Utilisez l'action Obtenir les détails de la technique pour récupérer des informations complètes et détaillées sur une technique MITRE ATT&CK spécifique.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Technique Details (Obtenir les détails de la technique) requiert les paramètres suivants :
| Paramètre | Description |
|---|---|
Technique Identifier |
Obligatoire. Liste d'identifiants (nom, ID interne ou ID externe) séparés par des virgules, utilisés pour trouver des informations détaillées sur les techniques MITRE ATT&CK. |
Identifier Type |
Obligatoire. Type d'identifiant fourni dans Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Create Insights |
Facultatif. Si cette option est sélectionnée, l'action génère un insight de sécurité distinct pour chaque technique MITRE ATT&CK traitée. Désactivé par défaut |
Sorties d'action
L'action Obtenir les détails de la technique fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Get Technique Details (Obtenir les détails de la technique) :
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/DetectingEncryptedTraffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Co-Author, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques may be used to transfer the encrypted information out of the network, such as [Exfiltration Over C2 Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternate Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": ["File monitoring", "Process monitoring", "Process command-line parameters", "Binary file metadata"],
"x_mitre_detection": "Encrypted files and related execution software can be detected through various means. Monitoring processes and command-line arguments for known encryption utilities may reveal suspicious activity. A process loading a key operating system DLL may be utilized to perform encryption. \\n\\nNetwork traffic analysis can reveal high entropy data indicative of encrypted transmission (Citation: Research Group A 2013). If the communications channel is unencrypted, network intrusion or DLP systems can detect encrypted files in transit by analyzing file headers (Citation: Wiki File Header Signatures).",
"name": "Data Encryption for Exfiltration"
}
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Technique Details (Obtenir les détails de la technique) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir des informations techniques
Utilisez l'action Obtenir les détails des techniques pour récupérer des informations complètes et détaillées sur les techniques MITRE ATT&CK.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Techniques Details (Obtenir les détails des techniques) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Technique Identifier |
Obligatoire. Liste d'identifiants (nom, ID interne ou ID externe) séparés par des virgules, utilisés pour trouver des informations détaillées sur les techniques MITRE ATT&CK. |
Identifier Type |
Obligatoire. Type d'identifiant fourni dans Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails des techniques fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Get Techniques Details (Obtenir les détails des techniques) :
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/encrypted-botnet-traffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Massey, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileHeaderSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques likely apply as well to transfer the information out of the network, such as [Exfiltration Over Command and Control Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": [
"File monitoring",
"Process monitoring",
"Process command-line parameters",
"Binary file metadata"
],
"x_mitre_detection": "Encryption software and encrypted files can be detected in many ways. Common utilities that may be present on the system or brought in by an adversary may be detectable through process monitoring and monitoring for command-line arguments for known encryption utilities. This may yield a significant amount of benign events, depending on how systems in the environment are typically used. The encryption key is often stated within command-line invocation of the software. A process that loads the Windows DLL crypt32.dll may be used to perform encryption, decryption, or verification of file signatures. Network traffic may also be analyzed for entropy to determine if encrypted data is being transmitted. (Citation: Research Group A 2013) If the communications channel is unencrypted, encrypted files of known file types can be detected in transit during exfiltration with a network intrusion detection or data loss prevention system analyzing file headers. (Citation: Wiki File Header Signatures)",
"name": "Data Encryption for Exfiltration"
}
}
]
Messages de sortie
L'action Get Techniques Details (Obtenir les détails des techniques) peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Technique Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Techniques Details (Obtenir les détails des techniques) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les mesures d'atténuation des techniques
Utilisez l'action Get Techniques Mitigations pour récupérer les stratégies d'atténuation associées à une liste spécifiée de techniques d'attaque MITRE.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Techniques Mitigations nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Technique ID |
Obligatoire. Liste d'identifiants (nom, ID interne ou ID externe) séparés par une virgule, utilisés pour trouver les mesures d'atténuation associées aux techniques MITRE ATT&CK. |
Identifier Type |
Obligatoire. Type d'identifiant fourni dans Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Mitigations to Return |
Facultatif. Nombre maximal de contrôles d'atténuation à récupérer. La valeur par défaut est |
Sorties d'action
L'action Get Techniques Mitigations fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Get Techniques Mitigations :
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"mitigations": [
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Research Org A 2010) such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where appropriate. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Research Org A 2010",
"description": "Generic Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
}
}
]
Messages de sortie
L'action Get Techniques Mitigations peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Techniques Mitigations". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les atténuations des techniques :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ping
Utilisez l'action Ping pour tester la connectivité à MITRE ATT&CK.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
| is_success | true ou false |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.