Cisco Threat Grid
Version de l'intégration : 13.0
Configurer l'intégration de Cisco Threat Grid dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Obtenir les domaines associés au hachage
Description
Obtenir les domaines associés à un hachage donné
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| cisco_threat_grid.get_associated_network | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": ["migsel.com"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Obtenir les adresses IP associées au hachage
Description
Obtenez les adresses IP associées à un hachage donné.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| cisco_threat_grid.get_associated_network | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": ["95.128.128.129",
"192.168.1.255",
"192.168.1.1"],
"Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Obtenir les devoirs
Description
Obtenez les contributions par entité.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Seuil | Chaîne | 50 | Marquez-le comme suspect si le score de menace maximal dépasse le seuil. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Filehash
- Nom d'hôte
- Processus
- URL
- Nom de fichier
Résultats de l'action
Enrichissement d'entités
Une entité est marquée comme suspecte si le score maximal dépasse un seuil. Sinon : false.
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| Envoyé | Renvoie la valeur si elle existe dans le résultat JSON. |
| Score | Renvoie la valeur si elle existe dans le résultat JSON. |
| Indicateurs | Renvoie la valeur si elle existe dans le résultat JSON. |
| SHA256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| MD5 | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": [
{
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:16:12Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:15:51Z",
"Score": 95,
"Indicators": 21,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:14:38Z",
"Score": 95,
"Indicators": 20,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:13:12Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}, {
"Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
"Submitted": "2018-06-13T09:12:27Z",
"Score": 95,
"Indicators": 19,
"SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
"MD5": "5fa6b79842cec6d8d172fb16e56b7247"
}
],
"Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
}
]
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
N/A
Importer un échantillon
Description
Importez et analysez un échantillon.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Paramètre | Type | Valeur par défaut | Description |
| Chemin d'accès au fichier | Chaîne | N/A | Chemin d'accès au fichier échantillon. |
| Vm | Chaîne | N/A | VM sur laquelle exécuter l'analyse. Exemple : win7-x64 |
| Playbook | Chaîne | N/A | Nom d'un playbook à appliquer à cette exécution d'échantillon. Exemple : default |
| Sortie du réseau | Chaîne | N/A | Tout trafic réseau sortant généré lors de l'analyse doit sembler provenir du lieu de sortie du réseau. |
| Privé | Case à cocher | Cochée | Si cette option est cochée, l'échantillon sera marqué comme privé. |
| Adresse du serveur Linux | Chaîne | N/A | Spécifiez l'adresse IP du serveur Linux distant sur lequel se trouve le fichier. |
| Nom d'utilisateur Linux | Chaîne | N/A | Spécifiez le nom d'utilisateur du serveur Linux distant sur lequel se trouve le fichier. |
| Mot de passe Linux | Mot de passe | N/A | Spécifiez le mot de passe du serveur Linux distant sur lequel se trouve le fichier. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| score | N/A | N/A |
Résultat JSON
{
"count": 0,
"max-confidence": 0,
"sample": "99ca73a47996cc3069e39a672728a49c",
"score": 0,
"bis": [],
"max-severity": 0
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'un des paramètres "Adresse du serveur Linux", "Nom d'utilisateur Linux" ou "Mot de passe Linux" n'est pas fourni : Erreur lors de l'exécution de l'action "{action_name}". Motif : pour la connexion à un serveur distant, vous devez fournir des valeurs pour tous les paramètres "Adresse du serveur Linux", "Nom d'utilisateur Linux" et "Mot de passe Linux". | Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.