OPSWAT MetaDefender
In diesem Dokument finden Sie eine Anleitung zur Integration von OPSWAT MetaDefender in Google Security Operations SOAR.
Integrationsversion: 8.0
Hinweise
Bevor Sie die OPSWAT MetaDefender-Integration in Google SecOps konfigurieren, müssen Sie einen API-Schlüssel von OPSWAT abrufen und die erforderlichen Netzwerkparameter konfigurieren.
API-Schlüssel abrufen
So erhalten Sie den API-Schlüssel:
Melden Sie sich in Ihrem OPSWAT-Konto an.
Kopieren Sie auf der Dashboardseite den API-Schlüsselwert unter My API Key (Mein API-Schlüssel), um ihn zum Konfigurieren der Eingaben für die OPSWAT MetaDefender-Integration zu verwenden.
Netzwerkparameter konfigurieren
In der folgenden Tabelle finden Sie Informationen zum Konfigurieren der für die OPSWAT MetaDefender-Integration erforderlichen Netzwerkparameter:
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
OPSWAT MetaDefender in Google SecOps einbinden
Für die Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
ApiRoot |
Erforderlich Der API-Stamm der OPSWAT MetaDefender-Instanz. |
ApiKey |
Erforderlich Der API-Schlüssel der OPSWAT MetaDefender-Instanz. |
Verify SSL |
Optional Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum OPSWAT MetaDefender-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie Instanzen konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Die OPSWAT MetaDefender-Integration enthält die folgenden Aktionen:
- Ping
- Hash scannen
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu OPSWAT MetaDefender zu testen.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hash scannen
Verwenden Sie die Aktion Scan Hash (Hash scannen), um eine Hash-Datei in OPSWAT MetaDefender zu scannen.
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionseingaben
Für die Aktion Ping sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
|
Erforderlich |
|
Optional |
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Entitätsanreicherung | Verfügbar |
| Insight | Verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Entitäten werden als Verdächtig (True) markiert, wenn die Ergebnisse des Scans den Status Infected aufweisen. Andernfalls False.
Insight
| Schweregrad | |
|---|---|
| Warnen | Eine Warnung, die den angereicherten Hash über seinen schädlichen Status informiert. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Scan Hash beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten