OPSWAT MetaDefender
本文档提供了有关如何将 OPSWAT MetaDefender 与 Google Security Operations SOAR 集成的指南。
集成版本:8.0
准备工作
在 Google SecOps 中配置 OPSWAT MetaDefender 集成之前,请先从 OPSWAT 获取 API 密钥并配置所需的网络参数。
获取 API 密钥
如需获取 API 密钥,请完成以下步骤:
登录您的 OPSWAT 账号。
在信息中心页面上,复制 My API Key 下的 API 密钥值,以便将其用于配置 OPSWAT MetaDefender 集成输入。
配置网络参数
如需配置 OPSWAT MetaDefender 集成所需的网络参数,请参阅下表:
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | apikey |
将 OPSWAT MetaDefender 与 Google SecOps 集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
ApiRoot |
必需 OPSWAT MetaDefender 实例的 API 根。 |
ApiKey |
必需 OPSWAT MetaDefender 实例的 API 密钥。 |
Verify SSL |
可选 如果选择此项,集成会验证用于连接到 OPSWAT MetaDefender 服务器的 SSL 证书是否有效。 默认情况下未选中。 |
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置实例后,您可以在 playbook 中使用它们。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
OPSWAT MetaDefender 集成包含以下操作:
- Ping
- 扫描哈希
Ping
使用 Ping 操作测试与 OPSWAT MetaDefender 的连接。
此操作会在所有实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
扫描哈希
使用 Scan Hash(扫描哈希)操作在 OPSWAT MetaDefender 中扫描哈希文件。
此操作在 Filehash 实体上运行。
操作输入
无。
操作输入
Ping 操作需要以下参数:
| 参数 | 说明 |
|---|---|
|
必需 |
|
可选 |
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 可用 |
| 数据分析 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
实体丰富化
如果实体的扫描结果显示 Infected 状态,则该实体会被标记为可疑 (True)。否则,False。
数据分析
| 严重程度 | |
|---|---|
| 警告 | 一种警告数据分析,用于告知富化哈希其恶意状态。 |
脚本结果
下表介绍了使用 Scan Hash 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。