Intégrer Google Threat Intelligence à Google SecOps
Ce document explique comment intégrer Google Threat Intelligence à Google Security Operations (Google SecOps).
Version de l'intégration : 1.0
Avant de commencer
Pour utiliser l'intégration, vous avez besoin d'une clé API. Pour en savoir plus, consultez Clés API Google Threat Intelligence.
Paramètres d'intégration
L'intégration Google Threat Intelligence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Root |
Obligatoire. Racine de l'API de l'instance Google Threat Intelligence. La valeur par défaut est |
API Key |
Obligatoire. Clé API Google Threat Intelligence. |
ASM Project Name |
Facultatif. Nom du projet Mandiant Attack Surface Management (ASM) à utiliser dans l'intégration. Ce paramètre est requis pour exécuter les actions Rechercher des entités ASM, Rechercher des problèmes ASM et Mettre à jour un problème ASM. Si aucune valeur n'est définie, seules les alertes des collections du projet principal sont renvoyées. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google Threat Intelligence. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ajouter un commentaire à une entité
Utilisez l'action Ajouter un commentaire à l'entité pour ajouter des commentaires aux entités Google SecOps dans Google Threat Intelligence.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Ajouter un commentaire à l'entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Comment |
Obligatoire. Commentaire à ajouter à toutes les entités compatibles. |
Sorties d'action
L'action Ajouter un commentaire à l'entité fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Ajouter un commentaire à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Ajouter un commentaire à l'entité peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ajouter un vote à une entité
Utilisez l'action Ajouter un commentaire à une entité pour ajouter des votes aux entités Google SecOps dans Google Threat Intelligence.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Ajouter un vote à une entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Vote |
Obligatoire. Vote pour ajouter à toutes les entités compatibles. Voici les valeurs possibles :
La valeur par défaut est |
Sorties d'action
L'action Ajouter un vote à l'entité fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Ajouter un vote à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ajouter un vote à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Télécharger le fichier
Utilisez l'action Télécharger le fichier pour télécharger un fichier depuis Google Threat Intelligence.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Entrées d'action
L'action Télécharger le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Download Folder Path |
Obligatoire. Chemin d'accès au dossier dans lequel stocker les fichiers téléchargés. |
Overwrite |
Obligatoire. Si cette option est sélectionnée, l'action écrase un fichier existant avec le nouveau fichier si les noms de fichiers sont identiques. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Télécharger le fichier fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Télécharger le fichier :
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messages de sortie
L'action Télécharger le fichier peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Download File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Enrichir les entités
Utilisez l'action Enrichir les entités pour enrichir les entités avec des informations issues de Google Threat Intelligence.
Cette action est compatible avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainHashHostnameIP AddressURLCVEThreat Actor
Entrées d'action
L'action Enrichir les entités nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Resubmit Entity |
Facultatif. Si cette option est sélectionnée, l'action renvoie les entités pour analyse au lieu d'utiliser les informations sur les entités de l'exécution de l'action précédente. Ce paramètre n'accepte que les entités (non sélectionnée par défaut). |
Resubmit After (Days) |
Facultatif. Nombre de jours pendant lesquels l'action doit attendre avant de renvoyer l'entité. Pour utiliser ce paramètre, sélectionnez le paramètre La valeur par défaut est Ce paramètre n'accepte que les entités |
Sandbox |
Facultatif. Liste de noms de bacs à sable à analyser, séparés par une virgule, par exemple Ce paramètre n'accepte que l'entité Si vous ne définissez pas ce paramètre, l'action utilise le bac à sable par défaut, qui est |
Retrieve Sandbox Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère l'analyse du bac à sable pour l'entité et crée une section distincte pour chaque bac à sable dans le résultat JSON. L'action renvoie des données pour les bacs à sable que vous avez configurés dans le paramètre Ce paramètre n'accepte que l'entité (non sélectionnée par défaut). |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action renvoie des informations sur les tactiques et techniques MITRE associées. Ce paramètre n'accepte que l'entité (non sélectionnée par défaut). |
Lowest MITRE Technique Severity |
Facultatif. Gravité minimale de la technique MITRE à renvoyer. L'action traite la gravité Ce paramètre n'accepte que l'entité Voici les valeurs possibles :
La valeur par défaut est |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires sur l'entité. Ce paramètre accepte les entités suivantes :
|
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à renvoyer pour chaque action exécutée. La valeur par défaut est |
Sorties d'action
L'action Enrichir les entités fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script. | Disponible |
Lien vers le mur des cas
L'action Enrichir les entités peut renvoyer les liens suivants :
IOC :
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionActeur malveillant :
https://www.virustotal.com/gui/collection/threat-actor--IDFaille :
https://www.virustotal.com/gui/collection/vulnerability--ID
Table d'enrichissement des entités
- L'action Enrichir les entités accepte l'enrichissement d'entités suivant pour les adresses IP :
- L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant pour URL :
- L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant pour Hash :
- L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant pour Domaine/Nom d'hôte :
- L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant pour Acteur malveillant :
- L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant pour Vulnérabilité :
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_id |
id |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_owner |
as_owner |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_asn |
asn |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_continent |
continent |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_country |
country |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_reputation |
reputation |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_tags |
Comma-separated list of tags |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
report_link |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_widget_link |
widget_url |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_severity |
gti_assessment.severity.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
gti_assessment.description |
Lorsqu'il est disponible dans le résultat JSON. |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_id |
id |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_title |
title |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_last_http_response_code |
last_http_response_code |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_reputation |
reputation |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_tags |
Comma-separated list of tags |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
report_link |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_widget_link |
widget_url |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_severity |
gti_assessment.severity.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
gti_assessment.description |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Lorsqu'il est disponible dans le résultat JSON. |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_id |
id |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_magic |
magic |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_md5 |
md5 |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_sha1 |
sha1 |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_sha256 |
sha256 |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_ssdeep |
ssdeep |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_tlsh |
tlsh |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_vhash |
vhash |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_meaningful_name |
meaningful_name |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_magic |
Comma-separated list of names |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_reputation |
reputation |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_tags |
Comma-separated list of tags |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
report_link |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_widget_link |
widget_url |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_severity |
gti_assessment.severity.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
gti_assessment.description |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_id |
id |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_reputation |
reputation |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_tags |
Comma-separated list of tags |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
report_link |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_widget_link |
widget_url |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_severity |
gti_assessment.severity.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
gti_assessment.description |
Lorsqu'il est disponible dans le résultat JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Lorsqu'il est disponible dans le résultat JSON. |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_industries |
Csv of targeted_industries/value |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_malware |
Csv of malware/name |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_origin |
origin |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
description |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_last_activity_time |
last_activity_time |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
We craft it. |
Lorsqu'il est disponible dans le résultat JSON. |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GTI_sources |
Csv of source_name |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_exploitation_state |
exploitation_state |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_description |
description |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_risk_rating |
risk_rating |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Lorsqu'il est disponible dans le résultat JSON. |
GTI_report_link |
We craft it. |
Lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre la sortie des résultats JSON pour les IOC (entités IP, Hash, URL, Domain et Hostname) reçus lors de l'utilisation de l'action Enrichir les entités :
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
L'exemple suivant montre le résultat JSON pour les failles reçues lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
L'exemple suivant montre le résultat JSON pour les acteurs malveillants reçus lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Messages de sortie
L'action Enrichir les entités peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir les IOC
Utilisez l'action Enrichir les IoC pour enrichir les indicateurs de compromission (IoC) à l'aide des informations de Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Enrichir les IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Type |
Facultatif. Type d'IOC à enrichir. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
IOCs |
Obligatoire. Liste d'IOC séparés par une virgule pour ingérer des données. |
Sorties d'action
L'action Enrichir les IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir les IOC peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Enrichir les IOC peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : IOC_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les IOC :
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messages de sortie
L'action Enrichir les IOC peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Enrichir les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter une recherche d'IOC
Utilisez l'action Exécuter la recherche d'IoC pour exécuter la recherche d'IoC dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter la recherche d'IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Search Query |
Obligatoire. Requête de recherche à exécuter, par exemple |
Max Results To Return |
Facultatif. Nombre maximal de résultats à renvoyer pour chaque action exécutée. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Exécuter la recherche d'IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Execute IOC Search (Exécuter la recherche d'IOC) :
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Messages de sortie
L'action Execute IOC Search (Exécuter la recherche d'IOC) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Exécuter la recherche d'IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'une entité ASM
Utilisez l'action Obtenir les détails de l'entité ASM pour obtenir des informations sur une entité ASM dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de l'entité ASM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Entity ID |
Obligatoire. Liste d'ID d'entités séparés par une virgule pour obtenir des informations détaillées. |
Sorties d'action
L'action Obtenir les détails de l'entité ASM fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de l'entité ASM :
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Messages de sortie
L'action Get ASM Entity Details (Obtenir les détails de l'entité ASM) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get ASM Entity Details (Obtenir les détails de l'entité ASM) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails du graphique
Utilisez l'action Obtenir les détails du graphique pour obtenir des informations détaillées sur les graphiques dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du graphique nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Graph ID |
Obligatoire. Liste d'ID de graphiques séparés par une virgule pour récupérer les détails. |
Max Links To Return |
Obligatoire. Nombre maximal de liens à renvoyer pour chaque graphique. La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails du graphique fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Obtenir les détails du graphique peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : Liens du graphique GRAPH_ID
Colonnes du tableau :
- Source
- Cible
- Type de connexion
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du graphique :
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messages de sortie
L'action Obtenir les détails du graphique peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Graph Details (Obtenir les détails du graphique) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les IOC associés
Utilisez l'action Obtenir les IOC associés pour obtenir des informations sur les IOC associés aux entités à l'aide des informations de Google Threat Intelligence.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP addressURLHostnameDomainHashThreat Actor
Entrées d'action
L'action Get Related IOCs (Obtenir les IOC associés) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Types |
Obligatoire. Liste d'IOC à extraire, séparés par une virgule. Les valeurs possibles sont les suivantes : |
Max IOCs To Return |
Obligatoire. Nombre maximal d'IOC à renvoyer pour les types d'IOC sélectionnés pour chaque entité. La valeur par défaut est |
Sorties d'action
L'action Obtenir les IOC associés fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script. | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related IOCs (Obtenir les IOC associés) :
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Messages de sortie
L'action Obtenir les IOC associés peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les IOC associés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script. | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des entités ASM
Utilisez l'action Rechercher des entités ASM pour rechercher des entités ASM dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Search ASM Entities (Rechercher des entités ASM) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Project Name |
Facultatif. Nom du projet ASM. Si vous ne définissez pas de valeur, l'action utilise la valeur que vous avez configurée pour le paramètre d'intégration |
Entity Name |
Facultatif. Liste de noms d'entités séparés par une virgule pour trouver des entités. L'action considère les noms d'entité contenant des barres obliques |
Minimum Vulnerabilities Count |
Facultatif. Nombre minimal de failles requis pour que l'action renvoie l'entité. |
Minimum Issues Count |
Facultatif. Nombre minimal de problèmes requis pour que l'action renvoie l'entité. |
Tags |
Facultatif. Liste de noms de tags séparés par une virgule à utiliser lors de la recherche d'entités. |
Max Entities To Return |
Facultatif. Nombre d'entités à renvoyer. La valeur maximale est de |
Critical or High Issue |
Facultatif. Si cette option est sélectionnée, l'action ne renvoie que les problèmes dont la gravité est Non sélectionnée par défaut. |
Sorties d'action
L'action Search ASM Entities (Rechercher des entités ASM) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search ASM Entities (Rechercher des entités ASM) :
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Messages de sortie
L'action Search ASM Entities (Rechercher des entités ASM) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Search ASM Entities (Rechercher des entités ASM) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des problèmes ASM
Utilisez l'action Search ASM Issues (Rechercher les problèmes ASM) pour rechercher les problèmes ASM dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Search ASM Issues (Rechercher les problèmes ASM) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Project Name |
Facultatif. Nom du projet ASM. Si vous ne définissez pas de valeur, l'action utilise la valeur que vous avez configurée pour le paramètre d'intégration |
Issue ID |
Facultatif. Liste d'ID de problèmes séparés par une virgule pour renvoyer les détails. |
Entity ID |
Facultatif. Liste d'ID d'entités séparés par une virgule pour trouver les problèmes associés. |
Entity Name |
Facultatif. Liste de noms d'entités séparés par une virgule pour trouver les problèmes associés. L'action considère les noms d'entité contenant des barres obliques |
Time Parameter |
Facultatif. Option de filtre permettant de définir l'heure du problème. Les valeurs possibles sont La valeur par défaut est |
Time Frame |
Facultatif. Période permettant de filtrer les problèmes. Si vous sélectionnez Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Start Time |
Facultatif. Heure de début des résultats. Ce paramètre est obligatoire si vous avez sélectionné Configurez la valeur au format ISO 8601. |
End Time |
Facultatif. Heure de fin des résultats. Si vous avez sélectionné Configurez la valeur au format ISO 8601. |
Lowest Severity To Return |
Facultatif. Niveau de gravité le plus faible des problèmes à renvoyer. Les valeurs possibles sont les suivantes :
La valeur par défaut est Si vous sélectionnez |
Status |
Facultatif. Filtre d'état pour la recherche. Les valeurs possibles sont La valeur par défaut est Si vous sélectionnez |
Tags |
Facultatif. Liste de noms de tags séparés par une virgule à utiliser lors de la recherche de problèmes. |
Max Issues To Return |
Obligatoire. Nombre de problèmes à renvoyer. La valeur maximale est de |
Sorties d'action
L'action Rechercher les problèmes ASM fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search ASM Issues (Rechercher les problèmes ASM) :
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Messages de sortie
L'action Search ASM Issues (Rechercher les problèmes ASM) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Rechercher les problèmes ASM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Graphiques des entités de recherche
Utilisez l'action Search Entity Graphs (Rechercher des graphiques d'entités) pour rechercher des graphiques basés sur des entités Google SecOps dans Google Threat Intelligence.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entrées d'action
L'action Search Entity Graphs (Rechercher des graphiques d'entités) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Sort Field |
Facultatif. Valeur du champ selon lequel trier les résultats. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer pour chaque exécution d'action. La valeur par défaut est |
Sorties d'action
L'action Rechercher des graphiques d'entités fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des graphiques d'entités :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Messages de sortie
L'action Rechercher des graphiques d'entités peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Graphiques de recherche
Utilisez l'action Search Graphs (Rechercher des graphiques) pour rechercher des graphiques en fonction de filtres personnalisés dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Search Graphs nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Filtre de requête pour le graphique. Par exemple, pour rechercher des graphiques dans la période sélectionnée, mettez en forme la requête comme suit :
Pour en savoir plus sur les requêtes, consultez Créer des requêtes, Modificateurs liés aux graphiques et Modificateurs liés aux nœuds. |
Sort Field |
Facultatif. Valeur du champ permettant de trier les graphiques VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer pour chaque exécution d'action. La valeur par défaut est |
Créer des requêtes
Pour affiner les résultats de recherche à partir de graphiques, créez des requêtes contenant des modificateurs liés aux graphiques. Pour améliorer la recherche, vous pouvez combiner des modificateurs avec les opérateurs AND, OR et NOT.
Les champs de date et numériques sont compatibles avec les suffixes plus + et moins -. Un suffixe "plus" correspond aux valeurs supérieures à la valeur fournie. Un suffixe moins correspond aux valeurs inférieures à la valeur fournie. Sans suffixe, la requête renvoie des correspondances exactes.
Pour définir des plages, vous pouvez utiliser le même modificateur plusieurs fois dans une requête. Par exemple, pour rechercher les graphiques créés entre le 15/11/2018 et le 20/11/2018, utilisez la requête suivante :
creation_date:2018-11-15+ creation_date:2018-11-20-
Pour les dates ou les mois qui commencent par 0, supprimez le caractère 0 dans la requête.
Par exemple, formatez la date 2018-11-01 en 2018-11-1.
Modificateurs liés aux graphiques
Le tableau suivant répertorie les modificateurs liés aux graphiques que vous pouvez utiliser pour construire la requête de recherche :
| Nom du modificateur | Description | Exemple |
|---|---|---|
id |
Filtre par identifiant de graphique. | id:g675a2fd4c8834e288af |
name |
Filtre par nom de graphique. | name:Example-name |
owner |
Filtre les graphiques appartenant à l'utilisateur. | owner:example_user |
group |
Filtre les graphiques appartenant à un groupe. | group:example |
visible_to_user |
Filtre les graphiques visibles par l'utilisateur. | visible_to_user:example_user |
visible_to_group |
Filtre les graphiques visibles par le groupe. | visible_to_group:example |
private |
Filtre par graphiques privés. | private:true, private:false |
creation_date |
Filtre les données par date de création du graphique. | creation_date:2018-11-15 |
last_modified_date |
Filtre en fonction de la date de la dernière modification du graphique. | last_modified_date:2018-11-20 |
total_nodes |
Filtre les graphiques qui contiennent un nombre spécifique de nœuds. | total_nodes:100 |
comments_count |
Filtre en fonction du nombre de commentaires dans le graphique. | comments_count:10+ |
views_count |
Filtre le nombre de vues du graphique. | views_count:1000+ |
Modificateurs liés aux nœuds
Le tableau suivant répertorie les modificateurs liés aux graphiques que vous pouvez utiliser pour construire la requête de recherche :
| Nom du modificateur | Description | Exemple |
|---|---|---|
label |
Filtre les graphiques qui contiennent des nœuds avec un libellé spécifique. | label:Kill switch |
file |
Filtre les graphiques contenant le fichier spécifique. | file:131f95c51cc819465fa17 |
domain |
Filtre les graphiques contenant le domaine spécifique. | domain:example.com |
ip_address |
Filtre les graphiques qui contiennent l'adresse IP spécifique. | ip_address:203.0.113.1 |
url |
Filtre les graphiques qui contiennent l'URL spécifique. | url:https://example.com/example/ |
actor |
Filtre les graphiques contenant l'acteur spécifique. | actor:example actor |
victim |
Filtre les graphiques contenant la victime spécifique. | victim:example_user |
email |
Filtre les graphiques contenant l'adresse e-mail spécifique. | email:user@example.com |
department |
Filtre les graphiques contenant le service spécifique. | department:engineers |
Sorties d'action
L'action Search Graphs (Rechercher des graphiques) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search Graphs :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Messages de sortie
L'action Rechercher des graphiques peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher des graphiques :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Définir l'analyse des alertes DTM
Utilisez l'action Définir l'analyse des alertes DTM pour définir une analyse pour une alerte Digital Threat Monitoring (DTM) dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Définir l'analyse des alertes DTM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Alert ID |
Obligatoire. ID de l'alerte à laquelle ajouter l'analyse. |
Text |
Obligatoire. Analyse à ajouter à l'alerte. |
Attachment File Paths |
Facultatif. Liste de chemins d'accès aux fichiers à joindre à l'alerte, séparés par une virgule. Vous pouvez ajouter au maximum 10 pièces jointes. |
Sorties d'action
L'action Définir l'analyse des alertes DTM fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script. | Disponible |
Messages de sortie
L'action Set DTM Alert Analysis peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur du résultat du script lorsque vous utilisez l'action Définir l'analyse des alertes DTM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Envoyer le fichier
Utilisez l'action Envoyer un fichier pour envoyer un fichier et obtenir les résultats de Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Cette action est asynchrone. Ajustez la valeur du délai d'expiration du script dans l'environnement de développement intégré (IDE) Google SecOps pour l'action, si nécessaire.
Entrées d'action
L'action Envoyer le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
External URLs |
Facultatif. Liste d'URL publiques des fichiers à envoyer, séparées par une virgule. Si vous fournissez à la fois une URL externe et des chemins d'accès aux fichiers, l'action collectera les fichiers à partir des deux entrées. |
File Paths |
Facultatif. Liste de chemins d'accès absolus aux fichiers, séparés par une virgule. Si vous configurez le paramètre **Adresse du serveur Linux**, l'action tente de récupérer le fichier à partir d'un serveur distant. Si vous fournissez à la fois une URL externe et des chemins d'accès aux fichiers, l'action collectera les fichiers à partir des deux entrées. |
ZIP Password |
Facultatif. Mot de passe du dossier compressé contenant les fichiers à envoyer. |
Private Submission |
Facultatif. Si cette option est sélectionnée, l'action envoie le fichier en mode privé. Pour envoyer des fichiers de manière privée, l'API VirusTotal Premium est requise. |
Check Hash |
Facultatif. Valeur par défaut : désactivé. Si cette option est activée, l'action calculera d'abord les hachages des fichiers et recherchera les informations disponibles. Si elles sont disponibles, les informations seront renvoyées sans le flux d'envoi. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires sur le fichier envoyé. |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action renvoie des informations sur les techniques et tactiques MITRE associées. Par défaut, cette option n'est pas sélectionnée. |
Lowest MITRE Technique Severity |
Facultatif. Gravité minimale de la technique MITRE à renvoyer. L'action traite la gravité Ce paramètre n'accepte que l'entité "Hash". La valeur par défaut est |
Retrieve AI Summary |
Facultatif. Si cette option est sélectionnée, l'action récupère un résumé généré par IA pour le fichier envoyé. Le résumé généré par IA n'est disponible que pour les envois privés. Ce paramètre est expérimental. Non sélectionnée par défaut. |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à renvoyer pour chaque exécution d'action. |
Linux Server Address |
Facultatif. Adresse IP du serveur Linux distant sur lequel se trouve le fichier. |
Linux Username |
Facultatif. Nom d'utilisateur du serveur Linux distant sur lequel se trouve le fichier. |
Linux Password |
Facultatif. Mot de passe du serveur Linux distant sur lequel se trouve le fichier. |
Sorties d'action
L'action Envoyer le fichier fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script. | Disponible |
Lien vers le mur des cas
L'action Envoyer le fichier peut renvoyer le lien suivant :
Lien vers le rapport PATH :
URL
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Envoyer le fichier :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Messages de sortie
L'action Envoyer le fichier peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Aucune valeur "Chemins d'accès aux fichiers" ni "URL externes" Au moins l'un des paramètres "Chemins d'accès aux fichiers" ou "URL externes" doit avoir une valeur. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Problème de mise à jour d'ASM
Utilisez l'action Mettre à jour le problème ASM pour mettre à jour un problème ASM dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour le problème ASM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Issue ID |
Obligatoire. ID du problème à modifier. |
Status |
Obligatoire. Nouvel état à définir pour le problème. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Mettre à jour le problème ASM fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Mettre à jour le problème ASM :
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Messages de sortie
L'action Update ASM Issue (Mettre à jour le problème ASM) peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
L'action a réussi. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Update ASM Issue (Mettre à jour le problème ASM) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour l'alerte DTM
Utilisez l'action Mettre à jour l'alerte DTM pour mettre à jour une alerte Mandiant Digital Threat Monitoring dans Google Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour l'alerte DTM nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
Alert ID |
Obligatoire. ID de l'alerte à modifier. |
Status |
Facultatif. Nouvel état à définir pour l'alerte. Voici les valeurs possibles :
La valeur par défaut est |
Sorties d'action
L'action Mettre à jour l'alerte DTM fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Mettre à jour l'alerte DTM :
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Messages de sortie
L'action Mettre à jour l'alerte DTM peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
Action effectuée. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour l'alerte DTM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Connecteur d'alertes DTM Google Threat Intelligence
Utilisez le connecteur d'alertes DTM Google Threat Intelligence pour récupérer les alertes de Google Threat Intelligence. Pour utiliser une liste dynamique, utilisez le paramètre alert_type.
Entrées du connecteur
Le connecteur d'alertes DTM Google Threat Intelligence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Google Threat Intelligence. La valeur par défaut est |
API Key |
Obligatoire. Clé API Google Threat Intelligence. |
Lowest Severity To Fetch |
Facultatif. Gravité la plus faible des alertes à récupérer. Si vous ne configurez pas ce paramètre, le connecteur ingère les alertes de tous les niveaux de gravité. Les valeurs possibles sont les suivantes :
|
Monitor ID Filter |
Facultatif. Liste d'ID de moniteurs séparés par une virgule pour récupérer les alertes. |
Event Type Filter |
Facultatif. Liste des types d'événements à renvoyer, séparés par une virgule. L'entrée n'est pas sensible à la casse. Si aucune valeur n'est fournie, le connecteur traite tous les types d'événements. Pour exclure un type spécifique, ajoutez un point d'exclamation devant (par exemple, |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option est sélectionnée par défaut. |
Max Hours Backwards |
Obligatoire. Nombre d'heures avant l'heure actuelle pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Alerts To Fetch |
Obligatoire. Nombre d'alertes à traiter à chaque itération du connecteur. La valeur maximale est de |
Use dynamic list as a blocklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google Threat Intelligence. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur d'alertes DTM Google Threat Intelligence est compatible avec les proxys.
Événements de connecteur
Le connecteur d'alertes DTM Google Threat Intelligence comporte deux types d'événements : un événement basé sur l'alerte principale et un événement basé sur un thème.
Voici un exemple d'événement de connecteur basé sur l'alerte principale :
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Voici un exemple d'événement de connecteur basé sur un thème :
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Connecteur de problèmes ASM Google Threat Intelligence
Utilisez le connecteur de problèmes ASM de Google Threat Intelligence pour récupérer des informations sur les problèmes ASM de Google Threat Intelligence. Pour utiliser le filtre de liste dynamique, utilisez le paramètre category.
Entrées du connecteur
Le connecteur de problèmes ASM de Google Threat Intelligence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Google Threat Intelligence. La valeur par défaut est |
API Key |
Obligatoire. Clé API Google Threat Intelligence. |
Project Name |
Facultatif. Nom du projet ASM. Si vous ne définissez aucune valeur, seules les alertes des collections du projet principal sont renvoyées. |
Lowest Severity To Fetch |
Facultatif. Gravité la plus faible des alertes à récupérer. Si vous ne configurez pas ce paramètre, le connecteur ingère les alertes de tous les niveaux de gravité. Les valeurs possibles sont les suivantes :
|
Issue Name Filter |
Facultatif. Liste des problèmes à ingérer, séparés par une virgule. L'entrée est sensible à la casse. Si les noms sont listés directement, le connecteur utilise un filtre d'inclusion et n'ingère que les problèmes correspondants. Pour exclure des problèmes spécifiques, ajoutez un point d'exclamation comme préfixe au nom (par exemple, Si aucune valeur n'est fournie, le filtre n'est pas appliqué et tous les problèmes sont ingérés. |
Status Filter |
Facultatif. Liste des états des problèmes à ingérer, séparés par une virgule. Si aucune valeur n'est fournie, le connecteur ne traite que les problèmes ouverts. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Event Type Filter |
Facultatif. Liste des types d'événements à renvoyer, séparés par une virgule. L'entrée n'est pas sensible à la casse. Si aucune valeur n'est fournie, le connecteur traite tous les types d'événements. Pour exclure un type spécifique, ajoutez un point d'exclamation devant (par exemple, |
Max Hours Backwards |
Obligatoire. Nombre d'heures avant l'heure actuelle pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Issues To Fetch |
Obligatoire. Nombre de problèmes à traiter à chaque itération du connecteur. La valeur maximale est de |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option est sélectionnée par défaut. |
Use dynamic list as a blocklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google Threat Intelligence. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Événements de connecteur
Voici un exemple d'événement Google Threat Intelligence - ASM Issues Connector :
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence – Connecteur Livehunt
Utilisez le connecteur Google Threat Intelligence – Livehunt pour récupérer des informations sur les notifications Livehunt et les fichiers associés à partir de Google Threat Intelligence. Pour utiliser la liste dynamique, utilisez le paramètre rule_name.
Entrées du connecteur
Le connecteur Google Threat Intelligence – Livehunt nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Google Threat Intelligence. La valeur par défaut est |
API Key |
Obligatoire. Clé API Google Threat Intelligence. |
Max Hours Backwards |
Obligatoire. Nombre d'heures avant l'heure actuelle pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Notifications To Fetch |
Obligatoire. Nombre de notifications à traiter à chaque itération du connecteur. La valeur par défaut est |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option est sélectionnée par défaut. |
Use dynamic list as a blocklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google Threat Intelligence. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur Google Threat Intelligence – Livehunt est compatible avec les proxys.
Événements de connecteur
Voici un exemple d'événement Google Threat Intelligence - Livehunt Connector :
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.