Integrar Google Threat Intelligence con Google SecOps
En este documento se explica cómo integrar Google Threat Intelligence con Google Security Operations (Google SecOps).
Versión de la integración: 1.0
Antes de empezar
Para usar la integración, necesitas una clave de API. Para obtener más información, consulta Claves de API de Google Threat Intelligence.
Parámetros de integración
La integración de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. La raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. La clave de API de Google Threat Intelligence. |
ASM Project Name |
Opcional. Nombre del proyecto de Mandiant Attack Surface Management (ASM) que se va a usar en la integración. Este parámetro es obligatorio para ejecutar las acciones Buscar entidades de ASM, Buscar problemas de ASM y Actualizar problema de ASM. Si no se define ningún valor, solo se devuelven las alertas de las colecciones del proyecto principal. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de inteligencia de amenazas de Google. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Add Comment To Entity
Usa la acción Añadir comentario a entidad para añadir comentarios a entidades de Google SecOps en Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Add Comment To Entity (Añadir comentario a entidad) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. Comentario que se añade a todas las entidades admitidas. |
Resultados de la acción
La acción Añadir comentario a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se reciben al usar la acción Añadir comentario a entidad:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Añadir comentario a entidad puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Añadir comentario a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Add Vote To Entity
Usa la acción Añadir comentario a entidad para añadir votos a entidades de Google SecOps en Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Añadir voto a entidad requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. Un voto para añadir a todas las entidades admitidas. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Añadir voto a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Add Vote To Entity (Añadir voto a entidad):
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir voto a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Descargar archivo para descargar un archivo de Google Threat Intelligence.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acciones
La acción Descargar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta a la carpeta en la que se almacenarán los archivos descargados. |
Overwrite |
Obligatorio. Si se selecciona esta opción, la acción sobrescribe un archivo con el nuevo archivo si los nombres de los archivos son idénticos. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Descargar archivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Descargar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Enriquecer entidades
Usa la acción Enriquecer entidades para enriquecer entidades con información de Google Threat Intelligence.
Esta acción admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainHashHostnameIP AddressURLCVEThreat Actor
Entradas de acciones
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Resubmit Entity |
Opcional. Si se selecciona esta opción, la acción vuelve a enviar las entidades para analizarlas en lugar de usar la información de la entidad de la acción anterior. ejecución. Este parámetro solo admite las entidades No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Número de días que debe esperar la acción antes de volver a enviar la entidad. Para usar este parámetro, selecciona el parámetro El valor predeterminado es Este parámetro solo admite las entidades |
Sandbox |
Opcional. Lista de nombres de entornos de pruebas separados por comas que se van a analizar, como Este parámetro solo admite la entidad Si no defines este parámetro, la acción usará el sandbox predeterminado, que es |
Retrieve Sandbox Analysis |
Opcional. Si se selecciona, la acción recupera el análisis de la entidad en el sandbox y crea una sección independiente para cada sandbox en el resultado JSON. La acción devuelve datos de las sandboxes que haya configurado en el parámetro Este parámetro solo admite la entidad No está seleccionada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción devuelve información sobre las técnicas y tácticas de MITRE relacionadas. Este parámetro solo admite la entidad No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. La gravedad más baja de la técnica de MITRE que se va a devolver. La acción trata la gravedad Este parámetro solo admite la entidad Los valores posibles son los siguientes:
El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios sobre la entidad. Este parámetro admite las siguientes entidades:
|
Max Comments To Return |
Opcional. Número máximo de comentarios que se devuelven por cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Enriquecer entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos. | Disponible |
Enlace del panel de casos
La acción Enriquecer entidades puede devolver los siguientes enlaces:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionAtacante:
https://www.virustotal.com/gui/collection/threat-actor--IDVulnerabilidad:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabla de enriquecimiento de entidades
- La acción Enriquecer entidades admite el siguiente enriquecimiento de entidades para direcciones IP:
- La acción Enriquecer entidades admite el siguiente enriquecimiento de entidades para URL:
- La acción Enriquecer entidades admite el siguiente enriquecimiento de entidades para Hash:
- La acción Enrich Entities (Enriquecer entidades) admite el siguiente enriquecimiento de entidades para Domain/Hostname (Dominio/Nombre de host):
- La acción Enrich Entities (Enriquecer entidades) admite el siguiente enriquecimiento de entidades para Threat Actor (Autor de la amenaza):
- La acción Enriquecer entidades admite el siguiente enriquecimiento de entidades para Vulnerabilidad:
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando esté disponible en el resultado JSON. |
GTI_owner |
as_owner |
Cuando esté disponible en el resultado JSON. |
GTI_asn |
asn |
Cuando esté disponible en el resultado JSON. |
GTI_continent |
continent |
Cuando esté disponible en el resultado JSON. |
GTI_country |
country |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando esté disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando esté disponible en el resultado JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Cuando esté disponible en el resultado JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Cuando esté disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando esté disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando esté disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando esté disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando esté disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando esté disponible en el resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando esté disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando esté disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando esté disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando esté disponible en el resultado JSON. |
GTI_title |
title |
Cuando esté disponible en el resultado JSON. |
GTI_last_http_response_code |
last_http_response_code |
Cuando esté disponible en el resultado JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Cuando esté disponible en el resultado JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando esté disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando esté disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando esté disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando esté disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando esté disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando esté disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando esté disponible en el resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando esté disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando esté disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando esté disponible en el resultado JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Cuando esté disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando esté disponible en el resultado JSON. |
GTI_magic |
magic |
Cuando esté disponible en el resultado JSON. |
GTI_md5 |
md5 |
Cuando esté disponible en el resultado JSON. |
GTI_sha1 |
sha1 |
Cuando esté disponible en el resultado JSON. |
GTI_sha256 |
sha256 |
Cuando esté disponible en el resultado JSON. |
GTI_ssdeep |
ssdeep |
Cuando esté disponible en el resultado JSON. |
GTI_tlsh |
tlsh |
Cuando esté disponible en el resultado JSON. |
GTI_vhash |
vhash |
Cuando esté disponible en el resultado JSON. |
GTI_meaningful_name |
meaningful_name |
Cuando esté disponible en el resultado JSON. |
GTI_magic |
Comma-separated list of names |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando esté disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando esté disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando esté disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando esté disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando esté disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando esté disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando esté disponible en el resultado JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Cuando esté disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando esté disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando esté disponible en el resultado JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_id |
id |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Cuando esté disponible en el resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Cuando esté disponible en el resultado JSON. |
GTI_reputation |
reputation |
Cuando esté disponible en el resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Cuando esté disponible en el resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Cuando esté disponible en el resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
report_link |
Cuando esté disponible en el resultado JSON. |
GTI_widget_link |
widget_url |
Cuando esté disponible en el resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Cuando esté disponible en el resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Cuando esté disponible en el resultado JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Cuando esté disponible en el resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Cuando esté disponible en el resultado JSON. |
GTI_description |
gti_assessment.description |
Cuando esté disponible en el resultado JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Cuando esté disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Cuando esté disponible en el resultado JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Cuando esté disponible en el resultado JSON. |
GTI_industries |
Csv of targeted_industries/value |
Cuando esté disponible en el resultado JSON. |
GTI_malware |
Csv of malware/name |
Cuando esté disponible en el resultado JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Cuando esté disponible en el resultado JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Cuando esté disponible en el resultado JSON. |
GTI_origin |
origin |
Cuando esté disponible en el resultado JSON. |
GTI_description |
description |
Cuando esté disponible en el resultado JSON. |
GTI_last_activity_time |
last_activity_time |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
We craft it. |
Cuando esté disponible en el resultado JSON. |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GTI_sources |
Csv of source_name |
Cuando esté disponible en el resultado JSON. |
GTI_exploitation_state |
exploitation_state |
Cuando esté disponible en el resultado JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Cuando esté disponible en el resultado JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Cuando esté disponible en el resultado JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Cuando esté disponible en el resultado JSON. |
GTI_description |
description |
Cuando esté disponible en el resultado JSON. |
GTI_risk_rating |
risk_rating |
Cuando esté disponible en el resultado JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Cuando esté disponible en el resultado JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Cuando esté disponible en el resultado JSON. |
GTI_report_link |
We craft it. |
Cuando esté disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON de los indicadores de compromiso (entidades IP, Hash, URL, Domain y Hostname) recibidos al usar la acción Enrich Entities (Enriquecer entidades):
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
En el siguiente ejemplo se muestra el resultado JSON de las vulnerabilidades recibidas al usar la acción Enrich Entities (Enriquecer entidades):
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
En el siguiente ejemplo se muestra el resultado JSON de los actores de amenazas recibidos al usar la acción Enriquecer entidades:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IOCs
Usa la acción Enrich IOCs (Enriquecer IoCs) para enriquecer los indicadores de riesgo (IoCs) con información de Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Opcional. El tipo de IOC que se va a enriquecer. Estos son los valores posibles:
El valor predeterminado es |
IOCs |
Obligatorio. Lista de IOCs separada por comas para ingerir datos. |
Resultados de la acción
La acción Enriquecer indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer indicadores de compromiso puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer indicadores de compromiso puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich IOCs:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich IOCs (Enriquecer indicadores de compromiso):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar búsqueda de IOCs
Usa la acción Ejecutar búsqueda de IOC para realizar la búsqueda de IOC en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Ejecutar búsqueda de IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Search Query |
Obligatorio. Una consulta de búsqueda que se va a ejecutar, como
|
Max Results To Return |
Opcional. Número máximo de resultados que se devolverán por cada ejecución de la acción. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar búsqueda de indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Ejecutar búsqueda de indicadores de compromiso:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Mensajes de salida
La acción Ejecutar búsqueda de IOC puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ejecutar búsqueda de IOC:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get ASM Entity Details
Usa la acción Get ASM Entity Details para obtener información sobre una entidad de ASM en Inteligencia de amenazas de Google.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get ASM Entity Details (Obtener detalles de la entidad de ASM) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity ID |
Obligatorio. Lista separada por comas de IDs de entidades de las que se van a obtener detalles. |
Resultados de la acción
La acción Obtener detalles de entidad de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get ASM Entity Details (Obtener detalles de la entidad de ASM):
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensajes de salida
La acción Get ASM Entity Details puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles de la entidad de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del gráfico
Usa la acción Obtener detalles del gráfico para obtener información detallada sobre los gráficos de Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles del gráfico requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Lista de IDs de gráficos separados por comas para obtener detalles. |
Max Links To Return |
Obligatorio. Número máximo de enlaces que se devuelven por cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles del gráfico proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener detalles del gráfico puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: Enlaces de gráfico GRAPH_ID
Columnas de la tabla:
- Origen
- Objetivo
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Graph Details (Obtener detalles del gráfico):
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Obtener detalles del gráfico puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del gráfico:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener IOCs relacionados
Usa la acción Obtener IOCs relacionados para obtener información sobre IOCs relacionados con entidades a partir de la información de Google Threat Intelligence.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressURLHostnameDomainHashThreat Actor
Entradas de acciones
La acción Get Related IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Types |
Obligatorio. Lista separada por comas de los IOCs que se van a extraer. Los valores posibles son los siguientes: |
Max IOCs To Return |
Obligatorio. Número máximo de indicadores de compromiso que se devuelven para los tipos de IOC seleccionados de cada entidad. El valor predeterminado es |
Resultados de la acción
La acción Obtener IOCs relacionados proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos. | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Get Related IOCs (Obtener IOCs relacionados):
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Mensajes de salida
La acción Get Related IOCs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Obtener IOCs relacionados:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos. | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar entidades de ASM
Usa la acción Buscar entidades de ASM para buscar entidades de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar entidades de ASM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Project Name |
Opcional. Nombre del proyecto de ASM. Si no define ningún valor, la acción usará el valor que haya configurado para el parámetro de integración |
Entity Name |
Opcional. Lista de nombres de entidades separados por comas para encontrar entidades. La acción trata los nombres de entidades que contienen
barras diagonales |
Minimum Vulnerabilities Count |
Opcional. El número mínimo de vulnerabilidades necesarias para que la acción devuelva la entidad. |
Minimum Issues Count |
Opcional. El número mínimo de incidencias necesarias para que la acción devuelva la entidad. |
Tags |
Opcional. Lista de nombres de etiquetas separados por comas que se usarán al buscar entidades. |
Max Entities To Return |
Opcional. Número de entidades que se deben devolver. El valor máximo es |
Critical or High Issue |
Opcional. Si se selecciona, la acción solo devuelve problemas con gravedad No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Buscar entidades de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar entidades de ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensajes de salida
La acción Buscar entidades de ASM puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar entidades de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar problemas de ASM
Usa la acción Buscar problemas de ASM para buscar problemas de ASM en Inteligencia de amenazas de Google.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar problemas de ASM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Project Name |
Opcional. Nombre del proyecto de ASM. Si no define ningún valor, la acción usará el valor que haya configurado para el parámetro de integración |
Issue ID |
Opcional. Lista de IDs de problemas separados por comas para devolver los detalles. |
Entity ID |
Opcional. Lista de IDs de entidad separados por comas para encontrar problemas relacionados. |
Entity Name |
Opcional. Lista de nombres de entidades separados por comas para encontrar problemas relacionados. La acción trata los nombres de entidades que contienen
barras diagonales |
Time Parameter |
Opcional. Una opción de filtro para definir la hora del problema. Los valores posibles son El valor predeterminado es |
Time Frame |
Opcional. Periodo para filtrar los problemas. Si seleccionas
Estos son los valores posibles:
El valor predeterminado es |
Start Time |
Opcional. La hora de inicio de los resultados. Si ha seleccionado Configura el valor en formato ISO 8601. |
End Time |
Opcional. Hora de finalización de los resultados. Si has seleccionado Configura el valor en formato ISO 8601. |
Lowest Severity To Return |
Opcional. La gravedad más baja de los problemas que se devolverán. Estos son los valores posibles:
El valor predeterminado es Si seleccionas |
Status |
Opcional. El filtro de estado de la búsqueda. Los valores posibles son El valor predeterminado es Si seleccionas |
Tags |
Opcional. Lista de nombres de etiquetas separados por comas que se usarán al buscar problemas. |
Max Issues To Return |
Obligatorio. Número de problemas que se van a devolver. El valor máximo es |
Resultados de la acción
La acción Buscar problemas de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar problemas de ASM:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensajes de salida
La acción Buscar problemas de ASM puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Buscar problemas de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Gráficos de entidades de búsqueda
Usa la acción Buscar gráficos de entidades para buscar gráficos basados en entidades de SecOps de Google en Inteligencia frente a amenazas de Google.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de acciones
La acción Buscar gráficos de entidades requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Opcional. Valor del campo por el que se ordenarán los resultados. Estos son los valores posibles:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devuelven por cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Buscar gráficos de entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensajes de salida
La acción Buscar gráficos de entidades puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Buscar gráficos
Usa la acción Buscar gráficos para buscar gráficos basados en filtros personalizados en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar gráficos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Filtro de consulta del gráfico. Por ejemplo, para buscar gráficos en el periodo seleccionado, formatea la consulta de la siguiente manera:
Para obtener más información sobre las consultas, consulta los artículos Cómo crear consultas, Modificadores relacionados con gráficos y Modificadores relacionados con nodos. |
Sort Field |
Opcional. El valor del campo por el que se ordenarán los gráficos de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devuelven por cada ejecución de acción. El valor predeterminado es |
Cómo crear consultas
Para acotar los resultados de búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos de fecha y numéricos admiten los sufijos + más y - menos. El sufijo "más" ("+") coincide con los valores superiores al valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Si no se incluye ningún sufijo, la consulta devuelve coincidencias exactas.
Para definir intervalos, puedes usar el mismo modificador varias veces en una consulta. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre del 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que empiecen por 0, quite el carácter 0 de la consulta.
Por ejemplo, para dar formato a la fecha 2018-11-01, escribe 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla se enumeran los modificadores relacionados con los gráficos que puedes usar para crear la consulta de búsqueda:
| Nombre del modificador | Descripción | Ejemplo |
|---|---|---|
id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
name |
Filtra por nombre de gráfico. | name:Example-name |
owner |
Filtra por los gráficos propiedad del usuario. | owner:example_user |
group |
Filtra por los gráficos que pertenecen a un grupo. | group:example |
visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
private |
Filtra por gráficos privados. | private:true, private:false |
creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de la última modificación del gráfico. | last_modified_date:2018-11-20 |
total_nodes |
Filtra por gráficos que contengan un número específico de nodos. | total_nodes:100 |
comments_count |
Filtra por el número de comentarios del gráfico. | comments_count:10+ |
views_count |
Filtra por el número de visualizaciones del gráfico. | views_count:1000+ |
Modificadores relacionados con nodos
En la siguiente tabla se enumeran los modificadores relacionados con los gráficos que puedes usar para crear la consulta de búsqueda:
| Nombre del modificador | Descripción | Ejemplo |
|---|---|---|
label |
Filtra por gráficos que contengan nodos con una etiqueta específica. | label:Kill switch |
file |
Filtra por gráficos que contengan el archivo específico. | file:131f95c51cc819465fa17 |
domain |
Filtra por los gráficos que contienen el dominio específico. | domain:example.com |
ip_address |
Filtra por gráficos que contengan la dirección IP específica. | ip_address:203.0.113.1 |
url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
actor |
Filtra por los gráficos que contienen el actor específico. | actor:example actor |
victim |
Filtra por gráficos que contengan a la víctima específica. | victim:example_user |
email |
Filtra por gráficos que contengan la dirección de correo específica. | email:user@example.com |
department |
Filtra por gráficos que contengan el departamento específico. | department:engineers |
Resultados de la acción
La acción Buscar gráficos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Buscar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensajes de salida
La acción Buscar gráficos puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar gráficos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Configurar el análisis de alertas de DTM
Usa la acción Set DTM Alert Analysis para definir un análisis de una alerta de Digital Threat Monitoring (DTM) en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Set DTM Alert Analysis requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. ID de la alerta a la que se va a añadir el análisis. |
Text |
Obligatorio. El análisis que se va a añadir a la alerta. |
Attachment File Paths |
Opcional. Lista de rutas de archivos separadas por comas que se adjuntarán a la alerta. Se admiten 10 archivos adjuntos como máximo. |
Resultados de la acción
La acción Definir análisis de alertas de DTM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos. | Disponible |
Mensajes de salida
La acción Set DTM Alert Analysis puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir análisis de alertas de DTM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Enviar archivo para enviar un archivo y obtener resultados de Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Esta acción es asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el entorno de desarrollo integrado (IDE) de Google SecOps para la acción según sea necesario.
Entradas de acciones
La acción Enviar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
External URLs |
Opcional. Lista separada por comas de las URLs públicas de los archivos que se van a enviar. Si se proporcionan tanto "URL externo" como "Rutas de archivo", la acción recogerá archivos de ambas entradas. |
File Paths |
Opcional. Lista de rutas de archivo absolutas separadas por comas. Si configura el parámetro **Dirección del servidor Linux**, la acción intentará recuperar el archivo de un servidor remoto. Si se proporcionan tanto "URL externo" como "Rutas de archivo", la acción recogerá archivos de ambas entradas. |
ZIP Password |
Opcional. Una contraseña para la carpeta comprimida que contiene los archivos que se van a enviar. |
Private Submission |
Opcional. Si se selecciona esta opción, la acción envía el archivo en modo privado. Para enviar archivos de forma privada, se necesita la API VirusTotal Premium. |
Check Hash |
Opcional. Valor predeterminado: inhabilitado. Si está habilitada, la acción calculará primero los hashes de los archivos y buscará si hay información disponible. Si está disponible, devolverá la información sin el flujo de envío. |
Retrieve Comments |
Opcional. Si se selecciona esta opción, la acción recupera los comentarios sobre el archivo enviado. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción devuelve la información sobre las técnicas y tácticas de MITRE relacionadas. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. La gravedad más baja de la técnica de MITRE que se va a devolver. La acción trata la gravedad Este parámetro solo admite la entidad Hash. El valor predeterminado es |
Retrieve AI Summary |
Opcional. Si se selecciona, la acción obtiene un resumen generado por IA del archivo enviado. El resumen de IA solo está disponible para las entregas privadas. Este parámetro es experimental. No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Número máximo de comentarios que se devolverán en cada ejecución de la acción. |
Linux Server Address |
Opcional. La dirección IP del servidor Linux remoto en el que se encuentra el archivo. |
Linux Username |
Opcional. Nombre de usuario del servidor Linux remoto en el que se encuentra el archivo. |
Linux Password |
Opcional. La contraseña del servidor Linux remoto en el que se encuentra el archivo. |
Resultados de la acción
La acción Enviar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos. | Disponible |
Enlace del panel de casos
La acción Enviar archivo puede devolver el siguiente enlace:
Enlace de informe PATH:
URL
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enviar archivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Mensajes de salida
La acción Enviar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No hay valores en "Rutas de archivo" ni en "URLs externas" Al menos uno de los parámetros "Rutas de archivo" o "URLs externas" debe tener un valor. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Update ASM Issue
Usa la acción Update ASM Issue (Actualizar problema de ASM) para actualizar un problema de ASM en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Update ASM Issue (Actualizar problema de ASM) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Obligatorio. ID del problema que se va a actualizar. |
Status |
Obligatorio. El nuevo estado que se asignará al problema. Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Actualizar problema de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Update ASM Issue (Actualizar problema de ASM):
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Mensajes de salida
La acción Update ASM Issue puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
La acción se ha realizado correctamente. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar problema de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Update DTM Alert
Usa la acción Actualizar alerta de DTM para actualizar una alerta de Monitorización de amenazas digitales de Mandiant en Google Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Actualizar alerta de DTM requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio. ID de la alerta que se va a actualizar. |
Status |
Opcional. El nuevo estado que se va a asignar a la alerta. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Actualizar alerta de DTM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Update DTM Alert (Actualizar alerta de DTM):
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensajes de salida
La acción Actualizar alerta de DTM puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
La acción se ha realizado correctamente. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Actualizar alerta de DTM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Google Threat Intelligence - Conector de alertas de DTM
Usa el conector de alertas de DTM de Google Threat Intelligence para obtener alertas de Google Threat Intelligence. Para trabajar con una lista dinámica, usa el parámetro alert_type.
Entradas de conectores
El conector de alertas de DTM de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. La clave de API de Google Threat Intelligence. |
Lowest Severity To Fetch |
Opcional. La gravedad más baja de las alertas que se van a obtener. Si no configura este parámetro, el conector ingiere alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Monitor ID Filter |
Opcional. Lista de IDs de monitor separados por comas para obtener las alertas. |
Event Type Filter |
Opcional. Lista de tipos de eventos que se van a devolver, separados por comas. No se distingue entre mayúsculas y minúsculas. Si no se proporciona ningún valor, el conector procesa todos los tipos de eventos. Para excluir un tipo específico, añada un signo de exclamación al principio (por ejemplo, |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. Esta opción está seleccionada de forma predeterminada. |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a la hora actual para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Alerts To Fetch |
Obligatorio. Número de alertas que se deben procesar en cada iteración del conector. El valor máximo es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de inteligencia de amenazas de Google. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector de alertas de Gestor de Datos de Google Ads de Google Threat Intelligence admite proxies.
Eventos del conector
Hay dos tipos de eventos para el conector Google Threat Intelligence - DTM Alerts: un evento basado en la alerta principal y un evento basado en un tema.
A continuación se muestra un ejemplo del evento del conector basado en la alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
A continuación se muestra un ejemplo del evento del conector basado en un tema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM Issues Connector
Usa el conector Google Threat Intelligence - ASM Issues para obtener información sobre los problemas de ASM de Google Threat Intelligence. Para trabajar con el filtro de lista dinámica, usa el parámetro category.
Entradas de conectores
El conector de problemas de gestión de superficie de ataque de Google Threat Intelligence requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. La clave de API de Google Threat Intelligence. |
Project Name |
Opcional. Nombre del proyecto de ASM. Si no defines ningún valor, solo se devuelven las alertas de las colecciones del proyecto principal. |
Lowest Severity To Fetch |
Opcional. La gravedad más baja de las alertas que se van a obtener. Si no configura este parámetro, el conector ingiere alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Issue Name Filter |
Opcional. Lista de problemas separados por comas que se van a insertar. El texto distingue entre mayúsculas y minúsculas. Si los nombres se indican directamente, el conector usa un filtro de inclusión, por lo que solo ingiere los problemas que coincidan. Para excluir problemas específicos, añade un signo de exclamación al principio del nombre (por ejemplo, Si no se proporciona ningún valor, el filtro no se aplica y se ingieren todos los problemas. |
Status Filter |
Opcional. Lista separada por comas de los estados de los problemas que se van a ingerir. Si no se proporciona ningún valor, el conector solo procesa los problemas abiertos. Estos son los valores posibles:
El valor predeterminado es |
Event Type Filter |
Opcional. Lista de tipos de eventos que se van a devolver, separados por comas. No se distingue entre mayúsculas y minúsculas. Si no se proporciona ningún valor, el conector procesa todos los tipos de eventos. Para excluir un tipo específico, añada un signo de exclamación al principio (por ejemplo, |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a la hora actual para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Issues To Fetch |
Obligatorio. Número de problemas que se deben procesar en cada iteración del conector. El valor máximo es |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. Esta opción está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de inteligencia de amenazas de Google. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Eventos del conector
El ejemplo del evento Google Threat Intelligence - ASM Issues Connector (Google Threat Intelligence - Conector de problemas de ASM) es el siguiente:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt Connector
Usa Google Threat Intelligence - Livehunt Connector para obtener información sobre las notificaciones de Livehunt y sus archivos relacionados de Google Threat Intelligence. Para trabajar con la lista dinámica, usa el parámetro rule_name.
Entradas de conectores
El conector Google Threat Intelligence - Livehunt requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de Google Threat Intelligence. El valor predeterminado es |
API Key |
Obligatorio. La clave de API de Google Threat Intelligence. |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a la hora actual para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Notifications To Fetch |
Obligatorio. Número de notificaciones que se deben procesar en cada iteración del conector. El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. Esta opción está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de inteligencia de amenazas de Google. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector Livehunt de Google Threat Intelligence admite proxies.
Eventos del conector
A continuación, se muestra un ejemplo del evento Google Threat Intelligence - Livehunt Connector:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.