MITRE ATT&CK in Google Security Operations einbinden
Integrationsversion: 16.0
In diesem Dokument wird beschrieben, wie Sie MITRE ATT&CK in Google Security Operations (Google SecOps) einbinden.
Anwendungsfälle
Bei der MITRE ATT&CK-Integration werden die Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:
Taktische Bedrohungszuordnung: Intrusion Sets (bekannte Bedrohungsgruppen), die mit einer bestimmten böswilligen Angriffstechnik oder Taktik verknüpft sind, die in einer Benachrichtigung beobachtet wird, werden automatisch identifiziert. So erhalten Sie sofort Kontext zum Bedrohungsakteur hinter der Aktivität.
Analyse von Sicherheitslücken: Für eine gekennzeichnete Angriffstechnik werden automatisch die zugehörigen Gegenmaßnahmen abgerufen und analysiert, die im MITRE ATT&CK-Framework verfügbar sind. So können Sicherheitsteams prüfen, ob ihre aktuellen Sicherheitsmaßnahmen ausreichen oder ob Patches oder die Implementierung von Tools erforderlich sind.
Anreicherung und Priorisierung von Vorfällen: Sicherheitsvorfälle werden durch das Hinzufügen detaillierter Informationen zu Techniken (einschließlich Beschreibung, Erkennungsmethoden und Datenquellen) direkt in der Fallübersicht angereichert. So können Analysten die Angriffsmethodik schnell nachvollziehen und Reaktionsschritte priorisieren.
Analyse historischer Techniken: Suchen Sie anhand der Kennung (z. B. T1050) nach umfassenden Details zu einer beliebigen MITRE ATT&CK-Technik. So können Sie proaktiv nach Bedrohungen suchen und erhalten maßgebliche Informationen für Sicherheitsschulungen und Berichte.
Integrationsparameter
Für die MITRE-ATT&CK-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich. Die URL-Adresse der MITRE ATT&CK CTI-Repository-Instanz. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum MITRE ATT&CK-Server validiert. Standardmäßig aktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.
Zugehörige Eindringversuche abrufen
Mit der Aktion Get Associated Intrusions (Zugehörige Eindringversuche abrufen) können Sie Informationen zu den mit einer bestimmten MITRE ATT&CK-Technik verknüpften Intrusion Sets (bekannte Angreifergruppen) abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Associated Intrusions sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Technique ID |
Erforderlich. Die Kennung (ID, Name oder externe ID), die zum Suchen nach zugehörigen Intrusion Sets verwendet wird. |
Identifier Type |
Erforderlich. Der Typ der in Folgende Werte sind möglich:
Der Standardwert ist |
Max Intrusions to Return |
Optional. Die maximale Anzahl der abzurufenden Intrusion Sets. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Associated Intrusions (Zugehörige Eindringversuche abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Associated Intrusions (Zugehörige Eindringversuche abrufen) empfangen werden:
[
{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"description":"[ADVERSARY GROUP 01](https://attack.mitre.org/groups/G0001) is a threat group that has been active since at least 2014. The group ...",
"created":"2017-12-14T16:46:06.044Z",
"x_mitre_contributors":["Security Researcher A, Organization B"],
"modified":"2019-07-17T13:11:37.402Z",
"name":"ADVERSARY GROUP 01",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_version":"2.0",
"aliases":["ADVERSARY-01","ThreatGroup A","CyberSquad X","T-C-00"],
"type":"intrusion-set",
"id":"intrusion-set--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"external_references":
[
{
"url":"https://attack.mitre.org/groups/G0001",
"source_name":"mitre-attack",
"external_id":"G0001"
},{
"source_name":"ADVERSARY GROUP 01",
"description":"(Citation: SecurityVendor A May 2017) (Citation: Research Org B Nov 2017)(Citation: SecurityFirm C May 2017)"
}]},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 02",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 02](https://attack.mitre.org/groups/G0002) is a cyber espionage group with...",
"modified":"2019-03-22T19:57:36.804Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url":"https://attack.mitre.org/groups/G0002",
"source_name":"mitre-attack",
"external_id":"G0002"
},{
"source_name":"ADVERSARY GROUP 02",
"description":"(Citation: Trend Research Daserf Nov 2017)"
}],
"x_mitre_version":"1.0",
"type":"intrusion-set",
"id":"intrusion-set--b1c2d3e4-f5g6-7h8i-9j0k-1l2m3n4o5p6q",
"aliases":["ADVERSARY-02","ResearchGroup Z","Tango"]
},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 03",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 03](https://attack.mitre.org/groups/G0003) is a cyber espionage group that has been ...",
"modified":"2019-05-03T16:42:19.026Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references":
[{
"url":"https://attack.mitre.org/groups/G0003",
"source_name":"mitre-attack",
"external_id":"G0003"
},{
"source_name":"ADVERSARY GROUP 03",
"description":"(Citation: ClearSky Analysis March 2017) (Citation: ClearSky Report July 2017) (Citation: Research Nov 2015)"
},],
"x_mitre_version":"1.1",
"type":"intrusion-set",
"id":"intrusion-set--c1d2e3f4-g5h6-7i8j-9k0l-1m2n3o4p5q6r",
"aliases":["ADVERSARY-03"]
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Zugehörige Eindringversuche abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Maßnahmen zur Risikominderung abrufen
Mit der Aktion Get Mitigations (Gegenmaßnahmen abrufen) können Sie Gegenmaßnahmen abrufen, die mit einer bestimmten MITRE ATT&CK-Technik verknüpft sind.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Mitigations sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Technique ID |
Erforderlich. Die Kennzeichnung (Name, interne ID oder externe ID), die verwendet wird, um zugehörige Gegenmaßnahmen für die MITRE ATT&CK-Technik zu finden. |
Identifier Type |
Erforderlich. Der Typ der in Folgende Werte sind möglich:
Der Standardwert ist |
Max Mitigations to Return |
Optional. Die maximale Anzahl der abzurufenden Maßnahmen zur Risikominderung. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Mitigations (Risikominderungen abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Mitigations empfangen werden:
[
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Resource A 2010), such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where applicable. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Resource A 2010",
"description": "General Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Mitigations verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Details zum Verfahren abrufen
Verwenden Sie die Aktion Get Technique Details, um umfassende, detaillierte Informationen zu einer bestimmten MITRE ATT&CK-Technik abzurufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Technique Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Technique Identifier |
Erforderlich. Eine durch Kommas getrennte Liste von Kennungen (Name, interne ID oder externe ID), mit denen detaillierte Informationen zu MITRE ATT&CK-Techniken gefunden werden. |
Identifier Type |
Erforderlich. Der Typ der in Folgende Werte sind möglich:
Der Standardwert ist |
Create Insights |
Optional. Wenn diese Option ausgewählt ist, wird für jede verarbeitete MITRE ATT&CK-Technik eine separate Sicherheitsstatistik generiert. Standardmäßig deaktiviert. |
Aktionsausgaben
Die Aktion Get Technique Details (Technikdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Technique Details (Technikdetails abrufen) empfangen werden:
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/DetectingEncryptedTraffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Co-Author, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques may be used to transfer the encrypted information out of the network, such as [Exfiltration Over C2 Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternate Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": ["File monitoring", "Process monitoring", "Process command-line parameters", "Binary file metadata"],
"x_mitre_detection": "Encrypted files and related execution software can be detected through various means. Monitoring processes and command-line arguments for known encryption utilities may reveal suspicious activity. A process loading a key operating system DLL may be utilized to perform encryption. \\n\\nNetwork traffic analysis can reveal high entropy data indicative of encrypted transmission (Citation: Research Group A 2013). If the communications channel is unencrypted, network intrusion or DLP systems can detect encrypted files in transit by analyzing file headers (Citation: Wiki File Header Signatures).",
"name": "Data Encryption for Exfiltration"
}
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Technique Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Details zu Techniken abrufen
Mit der Aktion Get Techniques Details (Technikdetails abrufen) können Sie umfassende, detaillierte Informationen zu MITRE ATT&CK-Techniken abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Techniques Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Technique Identifier |
Erforderlich. Eine durch Kommas getrennte Liste von Kennungen (Name, interne ID oder externe ID), mit denen detaillierte Informationen zu MITRE ATT&CK-Techniken gefunden werden. |
Identifier Type |
Erforderlich. Der Typ der in Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Techniques Details (Technikdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Techniques Details (Technikdetails abrufen) empfangen werden:
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/encrypted-botnet-traffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Massey, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileHeaderSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques likely apply as well to transfer the information out of the network, such as [Exfiltration Over Command and Control Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": [
"File monitoring",
"Process monitoring",
"Process command-line parameters",
"Binary file metadata"
],
"x_mitre_detection": "Encryption software and encrypted files can be detected in many ways. Common utilities that may be present on the system or brought in by an adversary may be detectable through process monitoring and monitoring for command-line arguments for known encryption utilities. This may yield a significant amount of benign events, depending on how systems in the environment are typically used. The encryption key is often stated within command-line invocation of the software. A process that loads the Windows DLL crypt32.dll may be used to perform encryption, decryption, or verification of file signatures. Network traffic may also be analyzed for entropy to determine if encrypted data is being transmitted. (Citation: Research Group A 2013) If the communications channel is unencrypted, encrypted files of known file types can be detected in transit during exfiltration with a network intrusion detection or data loss prevention system analyzing file headers. (Citation: Wiki File Header Signatures)",
"name": "Data Encryption for Exfiltration"
}
}
]
Ausgabenachrichten
Die Aktion Get Techniques Details (Details zu Techniken abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Technique Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Techniques Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Maßnahmen zur Risikominderung für Techniken abrufen
Mit der Aktion Get Techniques Mitigations können Sie Abhilfestrategien abrufen, die einer angegebenen Liste von MITRE-Angriffstechniken zugeordnet sind.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Techniques Mitigations sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Technique ID |
Erforderlich. Eine durch Kommas getrennte Liste von Kennungen (Name, interne ID oder externe ID), die verwendet werden, um zugehörige Gegenmaßnahmen für die MITRE ATT&CK-Techniken zu finden. |
Identifier Type |
Erforderlich. Der Typ der in Folgende Werte sind möglich:
Der Standardwert ist |
Max Mitigations to Return |
Optional. Die maximale Anzahl der abzurufenden Maßnahmen zur Risikominderung. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Techniques Mitigations (Risikominderungen für Techniken abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Techniques Mitigations empfangen werden:
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"mitigations": [
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Research Org A 2010) such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where appropriate. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Research Org A 2010",
"description": "Generic Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
}
}
]
Ausgabenachrichten
Die Aktion Get Techniques Mitigations kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Techniques Mitigations". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Techniques Mitigations aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu MITRE ATT&CK zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | true oder false |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten