Integrar MITRE ATT&CK con Google Security Operations
Versión de integración: 16.0
En este documento se explica cómo integrar MITRE ATT&CK con Google Security Operations (Google SecOps).
Casos prácticos
La integración de MITRE ATT&CK usa las funciones de Google SecOps para admitir los siguientes casos prácticos:
Correlación de amenazas tácticas: identifica automáticamente los conjuntos de intrusiones (grupos de amenazas conocidos) asociados a una técnica o táctica de ataque malicioso específica observada en una alerta, lo que proporciona contexto inmediato sobre el agente de amenazas que está detrás de la actividad.
Análisis de las carencias de mitigación: en el caso de una técnica de ataque marcada, se recuperan y analizan automáticamente las mitigaciones asociadas disponibles en el framework MITRE ATT&CK. De esta forma, los equipos de seguridad pueden verificar si sus controles de defensa actuales son suficientes o si es necesario aplicar parches o implementar herramientas.
Enriquecimiento y priorización de incidentes: enriquece los incidentes de seguridad añadiendo información detallada sobre las técnicas (como la descripción, los métodos de detección y las fuentes de datos) directamente al muro del caso, lo que ayuda a los analistas a comprender rápidamente la metodología del ataque y a priorizar los pasos de respuesta.
Análisis de técnicas históricas: busca información detallada sobre cualquier técnica de MITRE ATT&CK por su identificador (como T1050), lo que facilita la búsqueda proactiva de amenazas y proporciona conocimientos autorizados para la formación y los informes de seguridad.
Parámetros de integración
La integración de MITRE ATT&CK requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Dirección URL de la instancia del repositorio de CTI de MITRE ATT&CK. |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor MITRE ATT&CK. Esta opción está habilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Obtener intrusiones asociadas
Usa la acción Get Associated Intrusions (Obtener intrusiones asociadas) para obtener información sobre los conjuntos de intrusiones (grupos de atacantes conocidos) vinculados a una técnica de MITRE ATT&CK específica.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Associated Intrusions requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Technique ID |
Obligatorio. El identificador (ID, nombre o ID externo) que se usa para encontrar conjuntos de intrusiones asociados. |
Identifier Type |
Obligatorio. El tipo de identificador proporcionado en Estos son los valores posibles:
El valor predeterminado es |
Max Intrusions to Return |
Opcional. Número máximo de conjuntos de intrusiones que se deben recuperar. El valor predeterminado es |
Resultados de la acción
La acción Get Associated Intrusions (Obtener intrusiones asociadas) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados en JSON recibidos al usar la acción Get Associated Intrusions (Obtener intrusiones asociadas):
[
{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"description":"[ADVERSARY GROUP 01](https://attack.mitre.org/groups/G0001) is a threat group that has been active since at least 2014. The group ...",
"created":"2017-12-14T16:46:06.044Z",
"x_mitre_contributors":["Security Researcher A, Organization B"],
"modified":"2019-07-17T13:11:37.402Z",
"name":"ADVERSARY GROUP 01",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_version":"2.0",
"aliases":["ADVERSARY-01","ThreatGroup A","CyberSquad X","T-C-00"],
"type":"intrusion-set",
"id":"intrusion-set--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"external_references":
[
{
"url":"https://attack.mitre.org/groups/G0001",
"source_name":"mitre-attack",
"external_id":"G0001"
},{
"source_name":"ADVERSARY GROUP 01",
"description":"(Citation: SecurityVendor A May 2017) (Citation: Research Org B Nov 2017)(Citation: SecurityFirm C May 2017)"
}]},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 02",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 02](https://attack.mitre.org/groups/G0002) is a cyber espionage group with...",
"modified":"2019-03-22T19:57:36.804Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url":"https://attack.mitre.org/groups/G0002",
"source_name":"mitre-attack",
"external_id":"G0002"
},{
"source_name":"ADVERSARY GROUP 02",
"description":"(Citation: Trend Research Daserf Nov 2017)"
}],
"x_mitre_version":"1.0",
"type":"intrusion-set",
"id":"intrusion-set--b1c2d3e4-f5g6-7h8i-9j0k-1l2m3n4o5p6q",
"aliases":["ADVERSARY-02","ResearchGroup Z","Tango"]
},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 03",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 03](https://attack.mitre.org/groups/G0003) is a cyber espionage group that has been ...",
"modified":"2019-05-03T16:42:19.026Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references":
[{
"url":"https://attack.mitre.org/groups/G0003",
"source_name":"mitre-attack",
"external_id":"G0003"
},{
"source_name":"ADVERSARY GROUP 03",
"description":"(Citation: ClearSky Analysis March 2017) (Citation: ClearSky Report July 2017) (Citation: Research Nov 2015)"
},],
"x_mitre_version":"1.1",
"type":"intrusion-set",
"id":"intrusion-set--c1d2e3f4-g5h6-7i8j-9k0l-1m2n3o4p5q6r",
"aliases":["ADVERSARY-03"]
}
]
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Associated Intrusions (Obtener intrusiones asociadas):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Mitigations
Usa la acción Obtener mitigaciones para obtener las estrategias de mitigación asociadas a una técnica específica de MITRE ATT&CK.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Mitigations requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Technique ID |
Obligatorio. El identificador (nombre, ID interno o ID externo) que se usa para encontrar las mitigaciones asociadas a la técnica de MITRE ATT&CK. |
Identifier Type |
Obligatorio. El tipo de identificador proporcionado en Estos son los valores posibles:
El valor predeterminado es |
Max Mitigations to Return |
Opcional. Número máximo de controles de mitigación que se deben recuperar. El valor predeterminado es |
Resultados de la acción
La acción Obtener mitigaciones proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Get Mitigations:
[
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Resource A 2010), such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where applicable. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Resource A 2010",
"description": "General Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Mitigations (Obtener mitigaciones):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener detalles de la técnica
Usa la acción Obtener detalles de la técnica para obtener información detallada y completa sobre una técnica específica de MITRE ATT&CK.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Technique Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Technique Identifier |
Obligatorio. Lista de identificadores separados por comas (nombre, ID interno o ID externo) que se usa para buscar información detallada sobre las técnicas de MITRE ATT&CK. |
Identifier Type |
Obligatorio. El tipo de identificador proporcionado en Estos son los valores posibles:
El valor predeterminado es |
Create Insights |
Opcional. Si se selecciona esta opción, la acción genera una estadística de seguridad independiente por cada técnica de MITRE ATT&CK procesada. Esta opción está inhabilitada de forma predeterminada. |
Resultados de la acción
La acción Obtener detalles de la técnica proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se obtienen al usar la acción Get Technique Details (Obtener detalles de la técnica):
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/DetectingEncryptedTraffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Co-Author, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques may be used to transfer the encrypted information out of the network, such as [Exfiltration Over C2 Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternate Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": ["File monitoring", "Process monitoring", "Process command-line parameters", "Binary file metadata"],
"x_mitre_detection": "Encrypted files and related execution software can be detected through various means. Monitoring processes and command-line arguments for known encryption utilities may reveal suspicious activity. A process loading a key operating system DLL may be utilized to perform encryption. \\n\\nNetwork traffic analysis can reveal high entropy data indicative of encrypted transmission (Citation: Research Group A 2013). If the communications channel is unencrypted, network intrusion or DLP systems can detect encrypted files in transit by analyzing file headers (Citation: Wiki File Header Signatures).",
"name": "Data Encryption for Exfiltration"
}
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Obtener detalles de la técnica:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener detalles de las técnicas
Usa la acción Obtener detalles de las técnicas para consultar información detallada y completa sobre las técnicas de MITRE ATT&CK.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Techniques Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Technique Identifier |
Obligatorio. Lista de identificadores separados por comas (nombre, ID interno o ID externo) que se usa para buscar información detallada sobre las técnicas de MITRE ATT&CK. |
Identifier Type |
Obligatorio. El tipo de identificador proporcionado en Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles de las técnicas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Get Techniques Details (Obtener detalles de las técnicas):
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/encrypted-botnet-traffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Massey, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileHeaderSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques likely apply as well to transfer the information out of the network, such as [Exfiltration Over Command and Control Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": [
"File monitoring",
"Process monitoring",
"Process command-line parameters",
"Binary file metadata"
],
"x_mitre_detection": "Encryption software and encrypted files can be detected in many ways. Common utilities that may be present on the system or brought in by an adversary may be detectable through process monitoring and monitoring for command-line arguments for known encryption utilities. This may yield a significant amount of benign events, depending on how systems in the environment are typically used. The encryption key is often stated within command-line invocation of the software. A process that loads the Windows DLL crypt32.dll may be used to perform encryption, decryption, or verification of file signatures. Network traffic may also be analyzed for entropy to determine if encrypted data is being transmitted. (Citation: Research Group A 2013) If the communications channel is unencrypted, encrypted files of known file types can be detected in transit during exfiltration with a network intrusion detection or data loss prevention system analyzing file headers. (Citation: Wiki File Header Signatures)",
"name": "Data Encryption for Exfiltration"
}
}
]
Mensajes de salida
La acción Obtener detalles de las técnicas puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Technique Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Obtener detalles de las técnicas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Techniques Mitigations
Usa la acción Get Techniques Mitigations para obtener estrategias de mitigación asociadas a una lista específica de técnicas de ataque de MITRE.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Techniques Mitigations requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Technique ID |
Obligatorio. Lista de identificadores separados por comas (nombre, ID interno o ID externo) que se usa para buscar mitigaciones asociadas a las técnicas de MITRE ATT&CK. |
Identifier Type |
Obligatorio. El tipo de identificador proporcionado en Estos son los valores posibles:
El valor predeterminado es |
Max Mitigations to Return |
Opcional. Número máximo de controles de mitigación que se deben recuperar. El valor predeterminado es |
Resultados de la acción
La acción Get Techniques Mitigations (Obtener mitigaciones de técnicas) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON recibidos al usar la acción Get Techniques Mitigations:
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"mitigations": [
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Research Org A 2010) such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where appropriate. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Research Org A 2010",
"description": "Generic Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
}
}
]
Mensajes de salida
La acción Get Techniques Mitigations puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Techniques Mitigations". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Techniques Mitigations:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Ping
Usa la acción Ping para probar la conectividad con MITRE ATT&CK.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
| is_success | true o false |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.