OPSWAT MetaDefender
本文提供指引,說明如何將 OPSWAT MetaDefender 與 Google Security Operations SOAR 整合。
整合版本:8.0
事前準備
在 Google SecOps 中設定 OPSWAT MetaDefender 整合功能前,請先向 OPSWAT 取得 API 金鑰,並設定必要的網路參數。
取得 API 金鑰
如要取得 API 金鑰,請完成下列步驟:
登入 OPSWAT 帳戶。
在資訊主頁頁面中,複製「My API Key」(我的 API 金鑰) 下方的 API 金鑰值,用於設定 OPSWAT MetaDefender 整合輸入內容。
設定網路參數
如要設定 OPSWAT MetaDefender 整合功能所需的網路參數,請參閱下表:
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
將 OPSWAT MetaDefender 與 Google SecOps 整合
整合作業需要下列參數:
| 參數 | 說明 |
|---|---|
ApiRoot |
必要 OPSWAT MetaDefender 執行個體的 API 根目錄。 |
ApiKey |
必要 OPSWAT MetaDefender 執行個體的 API 金鑰。 |
Verify SSL |
選用 如果選取這個選項,整合服務會驗證連線至 OPSWAT MetaDefender 伺服器的 SSL 憑證是否有效。 預設為未選取。 |
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定執行個體後,您就可以在劇本中使用這些執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
OPSWAT MetaDefender 整合包含下列動作:
- 乒乓
- 掃描雜湊
乒乓
使用「Ping」動作測試與 OPSWAT MetaDefender 的連線。
這項操作會對所有實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
掃描雜湊
使用「掃描雜湊」動作,在 OPSWAT MetaDefender 中掃描雜湊檔案。
這項動作會對 Filehash 實體執行。
動作輸入內容
無
動作輸入內容
「Ping」動作需要下列參數:
| 參數 | 說明 |
|---|---|
|
必要 |
|
選用 |
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 可用 |
| 深入分析 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 無法使用 |
| 指令碼結果 | 可用 |
實體充實
如果實體的掃描結果顯示 Infected 狀態,系統會將實體標示為「可疑」 (True)。否則請False。
深入分析
| 嚴重性 | |
|---|---|
| 警告 | 警告深入分析,可通知經過擴充的雜湊值其惡意狀態。 |
指令碼結果
下表說明使用「掃描雜湊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。