OPSWAT MetaDefender

このドキュメントでは、OPSWAT MetaDefender を Google Security Operations SOAR と統合する方法について説明します。

統合バージョン: 8.0

始める前に

Google SecOps で OPSWAT MetaDefender 統合を構成する前に、OPSWAT から API キーを取得し、必要なネットワーク パラメータを構成します。

API キーを取得する

API キーを取得する手順は次のとおりです。

1. OPSWAT アカウントにログインします。

2. ダッシュボード ページで、[API キー] の下にある API キーの値をコピーして、OPSWAT MetaDefender 統合の入力の構成に使用します。

ネットワーク パラメータを構成する

OPSWAT MetaDefender の統合に必要なネットワーク パラメータを構成するには、次の表を参照してください。

関数	デフォルト ポート	方向	プロトコル
API	複数値	送信	apikey

OPSWAT MetaDefender を Google SecOps と統合する

統合には次のパラメータが必要です。

パラメータ	説明
ApiRoot	必須 OPSWAT MetaDefender インスタンスの API ルート。
ApiKey	必須 OPSWAT MetaDefender インスタンスの API キー。
Verify SSL	Optional 選択すると、統合によって OPSWAT MetaDefender サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

操作

OPSWAT MetaDefender 統合には、次のアクションが含まれています。

• Ping
• ハッシュをスキャン

Ping

Ping アクションを使用して、OPSWAT MetaDefender への接続をテストします。

このアクションはすべてのエンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォール テーブル	利用不可
拡充テーブル	利用不可
JSON の結果	利用不可
出力メッセージ	利用不可
スクリプトの結果	利用可能

スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
is_success	True または False

ハッシュをスキャン

Scan Hash アクションを使用して、OPSWAT MetaDefender でハッシュファイルをスキャンします。

このアクションは Filehash エンティティに対して実行されます。

アクション入力

なし

アクション入力

Ping アクションには、次のパラメータが必要です。

パラメータ	説明
	必須
	Optional

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ	対象
ケースウォールのアタッチメント	利用不可
ケースウォールのリンク	利用不可
ケースウォール テーブル	利用不可
エンティティ拡充	利用可能
分析情報	利用可能
JSON の結果	利用不可
出力メッセージ	利用不可
スクリプトの結果	利用可能

エンティティ拡充

スキャンの結果に Infected ステータスが表示されている場合、エンティティは不審な（True）としてマークされます。そうでない場合は、False。

インサイト

重大度
警告	拡充されたハッシュに悪意のあるステータスを通知する警告インサイト。

スクリプトの結果

次の表に、Scan Hash アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名	値
is_success	True または False

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。