Integrare Google Threat Intelligence con Google SecOps
Questo documento spiega come integrare Google Threat Intelligence con Google Security Operations (Google SecOps).
Versione integrazione: 1.0
Prima di iniziare
Per utilizzare l'integrazione, è necessaria una chiave API. Per saperne di più, vedi Chiavi API di Google Threat Intelligence.
Parametri di integrazione
L'integrazione di Google Threat Intelligence richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API Root |
Obbligatorio. La radice dell'API dell'istanza Google Threat Intelligence. Il valore predefinito è
|
API Key |
Obbligatorio. La chiave API di Google Threat Intelligence. |
ASM Project Name |
Facoltativo. Il nome del progetto Mandiant Attack Surface Management (ASM) da utilizzare nell'integrazione. Questo parametro è necessario per eseguire le azioni Cerca entità ASM, Cerca problemi ASM e Aggiorna problema ASM. Se non viene impostato alcun valore, vengono restituiti solo gli avvisi delle raccolte nel progetto principale. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL durante la connessione al server Google Threat Intelligence. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Aggiungi commento all'entità
Utilizza l'azione Aggiungi commento all'entità per aggiungere commenti alle entità Google SecOps in Google Threat Intelligence.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Aggiungi commento all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Comment |
Obbligatorio. Un commento da aggiungere a tutte le entità supportate. |
Output dell'azione
L'azione Aggiungi commento all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Aggiungi commento all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi commento all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiungi voto all'entità
Utilizza l'azione Aggiungi commento all'entità per aggiungere voti alle entità Google SecOps in Google Threat Intelligence.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Aggiungi voto all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Vote |
Obbligatorio. Un voto da aggiungere a tutte le entità supportate. I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Aggiungi voto all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi voto all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi voto all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scarica file
Utilizza l'azione Scarica file per scaricare un file da Google Threat Intelligence.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Input azione
L'azione Scarica file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Download Folder Path |
Obbligatorio. Il percorso della cartella in cui archiviare i file scaricati. |
Overwrite |
Obbligatorio. Se selezionata, l'azione sovrascrive un file esistente con il nuovo file se i nomi dei file sono identici. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Scarica file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica file:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messaggi di output
L'azione Scarica file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Download File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Arricchisci entità
Utilizza l'azione Arricchisci entità per arricchire le entità con informazioni provenienti da Google Threat Intelligence.
Questa azione supporta gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainHashHostnameIP AddressURLCVEThreat Actor
Input azione
L'azione Arricchisci entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Resubmit Entity |
Facoltativo. Se selezionata, l'azione invia di nuovo le entità per l'analisi anziché utilizzare le informazioni sulle entità dell'esecuzione dell'azione precedente. Questo parametro supporta solo le entità Non selezionato per impostazione predefinita. |
Resubmit After (Days) |
Facoltativo. Il numero di giorni di attesa dell'azione prima di
inviare nuovamente l'entità. Per utilizzare questo parametro, seleziona il parametro Il valore predefinito è
Questo parametro supporta solo le entità |
Sandbox |
Facoltativo. Un elenco separato da virgole di nomi di sandbox da analizzare,
ad esempio Questo parametro supporta solo l'entità Se non imposti questo parametro, l'azione utilizza la sandbox predefinita, ovvero |
Retrieve Sandbox Analysis |
Facoltativo. Se selezionata, l'azione recupera l'analisi sandbox per l'entità e crea una sezione separata per ogni sandbox nel risultato JSON. L'azione restituisce i dati per le sandbox che hai
configurato nel parametro Questo parametro supporta solo l'entità Non selezionato per impostazione predefinita. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione restituisce informazioni sulle tattiche e tecniche MITRE correlate. Questo parametro supporta solo
l'entità Non selezionato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. La gravità minima della tecnica MITRE da restituire. L'azione considera la gravità Questo parametro supporta solo l'entità I valori possibili sono:
Il valore predefinito è |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti sull'entità. Questo parametro supporta le seguenti entità:
|
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da restituire per ogni esecuzione dell'azione. Il valore predefinito è |
Output dell'azione
L'azione Arricchisci entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script. | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci entità può restituire i seguenti link:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionUtente malintenzionato:
https://www.virustotal.com/gui/collection/threat-actor--IDVulnerabilità:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabella di arricchimento delle entità
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per gli indirizzi IP:
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per l'URL:
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per Hash:
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per Dominio/Nome host:
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per Attore delle minacce:
- L'azione Arricchisci entità supporta il seguente arricchimento delle entità per Vulnerabilità:
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_id |
id |
Quando disponibile nel risultato JSON. |
GTI_owner |
as_owner |
Quando disponibile nel risultato JSON. |
GTI_asn |
asn |
Quando disponibile nel risultato JSON. |
GTI_continent |
continent |
Quando disponibile nel risultato JSON. |
GTI_country |
country |
Quando disponibile nel risultato JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponibile nel risultato JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponibile nel risultato JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponibile nel risultato JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponibile nel risultato JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Quando disponibile nel risultato JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Quando disponibile nel risultato JSON. |
GTI_reputation |
reputation |
Quando disponibile nel risultato JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponibile nel risultato JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponibile nel risultato JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponibile nel risultato JSON. |
GTI_report_link |
report_link |
Quando disponibile nel risultato JSON. |
GTI_widget_link |
widget_url |
Quando disponibile nel risultato JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponibile nel risultato JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponibile nel risultato JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponibile nel risultato JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponibile nel risultato JSON. |
GTI_description |
gti_assessment.description |
Quando disponibile nel risultato JSON. |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_id |
id |
Quando disponibile nel risultato JSON. |
GTI_title |
title |
Quando disponibile nel risultato JSON. |
GTI_last_http_response_code |
last_http_response_code |
Quando disponibile nel risultato JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Quando disponibile nel risultato JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Quando disponibile nel risultato JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponibile nel risultato JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponibile nel risultato JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponibile nel risultato JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponibile nel risultato JSON. |
GTI_reputation |
reputation |
Quando disponibile nel risultato JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponibile nel risultato JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponibile nel risultato JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponibile nel risultato JSON. |
GTI_report_link |
report_link |
Quando disponibile nel risultato JSON. |
GTI_widget_link |
widget_url |
Quando disponibile nel risultato JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponibile nel risultato JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponibile nel risultato JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponibile nel risultato JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponibile nel risultato JSON. |
GTI_description |
gti_assessment.description |
Quando disponibile nel risultato JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando disponibile nel risultato JSON. |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_id |
id |
Quando disponibile nel risultato JSON. |
GTI_magic |
magic |
Quando disponibile nel risultato JSON. |
GTI_md5 |
md5 |
Quando disponibile nel risultato JSON. |
GTI_sha1 |
sha1 |
Quando disponibile nel risultato JSON. |
GTI_sha256 |
sha256 |
Quando disponibile nel risultato JSON. |
GTI_ssdeep |
ssdeep |
Quando disponibile nel risultato JSON. |
GTI_tlsh |
tlsh |
Quando disponibile nel risultato JSON. |
GTI_vhash |
vhash |
Quando disponibile nel risultato JSON. |
GTI_meaningful_name |
meaningful_name |
Quando disponibile nel risultato JSON. |
GTI_magic |
Comma-separated list of names |
Quando disponibile nel risultato JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponibile nel risultato JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponibile nel risultato JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponibile nel risultato JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponibile nel risultato JSON. |
GTI_reputation |
reputation |
Quando disponibile nel risultato JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponibile nel risultato JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponibile nel risultato JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponibile nel risultato JSON. |
GTI_report_link |
report_link |
Quando disponibile nel risultato JSON. |
GTI_widget_link |
widget_url |
Quando disponibile nel risultato JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponibile nel risultato JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponibile nel risultato JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Quando disponibile nel risultato JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponibile nel risultato JSON. |
GTI_description |
gti_assessment.description |
Quando disponibile nel risultato JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_id |
id |
Quando disponibile nel risultato JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando disponibile nel risultato JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando disponibile nel risultato JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando disponibile nel risultato JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando disponibile nel risultato JSON. |
GTI_reputation |
reputation |
Quando disponibile nel risultato JSON. |
GTI_tags |
Comma-separated list of tags |
Quando disponibile nel risultato JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando disponibile nel risultato JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando disponibile nel risultato JSON. |
GTI_report_link |
report_link |
Quando disponibile nel risultato JSON. |
GTI_widget_link |
widget_url |
Quando disponibile nel risultato JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando disponibile nel risultato JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando disponibile nel risultato JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando disponibile nel risultato JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando disponibile nel risultato JSON. |
GTI_description |
gti_assessment.description |
Quando disponibile nel risultato JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando disponibile nel risultato JSON. |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Quando disponibile nel risultato JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Quando disponibile nel risultato JSON. |
GTI_industries |
Csv of targeted_industries/value |
Quando disponibile nel risultato JSON. |
GTI_malware |
Csv of malware/name |
Quando disponibile nel risultato JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Quando disponibile nel risultato JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Quando disponibile nel risultato JSON. |
GTI_origin |
origin |
Quando disponibile nel risultato JSON. |
GTI_description |
description |
Quando disponibile nel risultato JSON. |
GTI_last_activity_time |
last_activity_time |
Quando disponibile nel risultato JSON. |
GTI_report_link |
We craft it. |
Quando disponibile nel risultato JSON. |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GTI_sources |
Csv of source_name |
Quando disponibile nel risultato JSON. |
GTI_exploitation_state |
exploitation_state |
Quando disponibile nel risultato JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Quando disponibile nel risultato JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Quando disponibile nel risultato JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Quando disponibile nel risultato JSON. |
GTI_description |
description |
Quando disponibile nel risultato JSON. |
GTI_risk_rating |
risk_rating |
Quando disponibile nel risultato JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Quando disponibile nel risultato JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Quando disponibile nel risultato JSON. |
GTI_report_link |
We craft it. |
Quando disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON per gli IOC (entità IP, Hash, URL,
Domain e Hostname) ricevuti quando si utilizza l'azione
Arricchisci entità:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
Il seguente esempio mostra l'output del risultato JSON per le vulnerabilità ricevute quando si utilizza l'azione Arricchisci entità:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
Il seguente esempio mostra l'output del risultato JSON per i responsabili delle minacce ricevuto quando si utilizza l'azione Arricchisci entità:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Messaggi di output
L'azione Arricchisci entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchire gli IOC
Utilizza l'azione Arricchisci IOC per arricchire gli indicatori di compromissione (IOC) utilizzando le informazioni di Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Arricchisci indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Type |
Facoltativo. Il tipo di indicatore di compromissione da arricchire. I valori possibili sono:
Il valore predefinito è |
IOCs |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione per l'importazione dei dati. |
Output dell'azione
L'azione Arricchisci indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci indicatori di compromissione può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci indicatori di compromissione può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: IOC_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci indicatori di compromissione:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messaggi di output
L'azione Arricchisci indicatori di compromissione può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Arricchisci indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui ricerca IOC
Utilizza l'azione Esegui ricerca IOC per eseguire la ricerca IOC in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Esegui ricerca IOC richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Search Query |
Obbligatorio. Una query di ricerca da eseguire, ad esempio
|
Max Results To Return |
Facoltativo. Il numero massimo di risultati da restituire per ogni esecuzione dell'azione. Il valore massimo è Il valore
predefinito è |
Output dell'azione
L'azione Esegui ricerca IOC fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui ricerca IOC:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Messaggi di output
L'azione Esegui ricerca IOC può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Esegui ricerca IOC:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera i dettagli dell'entità ASM
Utilizza l'azione Ottieni dettagli entità ASM per ottenere informazioni su un'entità ASM in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli entità ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Entity ID |
Obbligatorio. Un elenco separato da virgole di ID entità per ottenere i dettagli. |
Output dell'azione
L'azione Ottieni dettagli entità ASM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli entità ASM:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Messaggi di output
L'azione Get ASM Entity Details può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni dettagli entità ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recuperare i dettagli del grafico
Utilizza l'azione Ottieni dettagli grafico per ottenere informazioni dettagliate sui grafici in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli grafico richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Graph ID |
Obbligatorio. Un elenco separato da virgole di ID grafici per recuperare i dettagli. |
Max Links To Return |
Obbligatorio. Il numero massimo di link da restituire per ogni grafico. Il valore predefinito è |
Output dell'azione
L'azione Ottieni dettagli grafico fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni dettagli grafico può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: Graph GRAPH_ID Links
Colonne della tabella:
- Origine
- Destinazione
- Tipo di connessione
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli grafico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messaggi di output
L'azione Ottieni dettagli grafico può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli grafico:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recuperare gli IOC correlati
Utilizza l'azione Recupera indicatori di compromissione correlati per ottenere informazioni sugli indicatori di compromissione correlati alle entità utilizzando le informazioni di Google Threat Intelligence.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP addressURLHostnameDomainHashThreat Actor
Input azione
L'azione Ottieni IOC correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Types |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione da estrarre. I valori
possibili sono i seguenti: |
Max IOCs To Return |
Obbligatorio. Il numero massimo di indicatori di compromissione da restituire per i tipi di indicatori di compromissione selezionati per ogni entità. Il valore predefinito è |
Output dell'azione
L'azione Recupera IOC correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script. | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related IOCs:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Messaggi di output
L'azione Recupera IOC correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera IOC correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script. | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca entità ASM
Utilizza l'azione Cerca entità ASM per cercare entità ASM in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca entità ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Project Name |
Facoltativo. Il nome del progetto ASM. Se non imposti un
valore, l'azione utilizza il valore configurato per il parametro di integrazione |
Entity Name |
Facoltativo. Un elenco separato da virgole di nomi di entità per trovare entità. L'azione considera i nomi delle entità che contengono
|
Minimum Vulnerabilities Count |
Facoltativo. Il numero minimo di vulnerabilità richiesto per l'azione per restituire l'entità. |
Minimum Issues Count |
Facoltativo. Il numero minimo di problemi richiesti per l'azione per restituire l'entità. |
Tags |
Facoltativo. Un elenco separato da virgole di nomi di tag da utilizzare quando cerchi entità. |
Max Entities To Return |
Facoltativo. Il numero di entità da restituire. Il valore
massimo è |
Critical or High Issue |
Facoltativo. Se selezionata, l'azione restituisce solo i problemi con gravità
Non selezionata per impostazione predefinita. |
Output dell'azione
L'azione Search ASM Entities (Cerca entità ASM) fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca entità ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Messaggi di output
L'azione Cerca entità ASM può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca entità ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca problemi ASM
Utilizza l'azione Cerca problemi ASM per cercare problemi ASM in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca problemi ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Project Name |
Facoltativo. Il nome del progetto ASM. Se non imposti un
valore, l'azione utilizza il valore configurato per il parametro di integrazione |
Issue ID |
Facoltativo. Un elenco separato da virgole di ID problema per restituire i dettagli. |
Entity ID |
Facoltativo. Un elenco separato da virgole di ID entità per trovare problemi correlati. |
Entity Name |
Facoltativo. Un elenco separato da virgole di nomi di entità per trovare problemi correlati. L'azione considera i nomi delle entità che contengono
|
Time Parameter |
Facoltativo. Un'opzione di filtro per impostare l'ora del problema. I valori possibili sono Il valore predefinito è |
Time Frame |
Facoltativo. Un periodo per filtrare i problemi. Se selezioni
I valori possibili sono:
Il valore predefinito è |
Start Time |
Facoltativo. L'ora di inizio dei risultati. Se hai selezionato
Configura il valore nel formato ISO 8601. |
End Time |
Facoltativo. L'ora di fine dei risultati. Se hai selezionato
Configura il valore nel formato ISO 8601. |
Lowest Severity To Return |
Facoltativo. La gravità minima dei problemi da restituire. I valori possibili sono:
Il valore predefinito è Se selezioni |
Status |
Facoltativo. Il filtro di stato per la ricerca. I valori possibili sono Il valore predefinito è Se selezioni |
Tags |
Facoltativo. Un elenco separato da virgole di nomi dei tag da utilizzare quando cerchi i problemi. |
Max Issues To Return |
Obbligatorio. Il numero di problemi da restituire. Il valore
massimo è |
Output dell'azione
L'azione Cerca problemi ASM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca problemi ASM:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Messaggi di output
L'azione Cerca problemi ASM può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca problemi ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Grafici delle entità di ricerca
Utilizza l'azione Cerca grafici di entità per cercare grafici basati su entità Google SecOps in Google Threat Intelligence.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Input azione
L'azione Cerca grafici di entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Sort Field |
Facoltativo. Il valore del campo in base al quale ordinare i risultati. I valori possibili sono:
Il valore predefinito è |
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire per ogni esecuzione dell'azione. Il valore predefinito è |
Output dell'azione
L'azione Cerca grafici di entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Cerca grafici di entità:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Messaggi di output
L'azione Cerca grafici delle entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Grafici di ricerca
Utilizza l'azione Cerca grafici per cercare grafici in base a filtri personalizzati in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca grafici richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. Il filtro delle query per il grafico. Ad esempio, per cercare grafici nel periodo selezionato, formatta la
query nel seguente modo:
Per ulteriori informazioni sulle query, vedi Come creare query, Modificatori relativi ai grafici e Modificatori relativi ai nodi. |
Sort Field |
Facoltativo. Il valore del campo in base al quale ordinare i grafici di VirusTotal. I valori possibili sono:
Il valore predefinito è |
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire per ogni esecuzione dell'azione. Il valore predefinito è |
Come creare query
Per perfezionare i risultati di ricerca dai grafici, crea query che contengano modificatori
correlati ai grafici. Per migliorare la ricerca, puoi combinare
i modificatori con gli operatori AND, OR e NOT.
I campi numerici e di data supportano i suffissi + più e - meno. Un suffisso
più corrisponde ai valori maggiori di quello fornito. Un suffisso meno corrisponde
a valori inferiori a quello fornito. Senza un suffisso, la query restituisce corrispondenze
esatte.
Per definire gli intervalli, puoi utilizzare lo stesso modificatore più volte in una query. Ad esempio, per cercare grafici creati tra il 15/11/2018 e il 20/11/2018, utilizza la seguente query:
creation_date:2018-11-15+ creation_date:2018-11-20-
Per le date o i mesi che iniziano con 0, rimuovi il carattere 0 nella query.
Ad esempio, formatta la data 2018-11-01 come 2018-11-1.
Modificatori correlati ai grafici
La tabella seguente elenca i modificatori correlati al grafico che puoi utilizzare per creare la query di ricerca:
| Nome modificatore | Descrizione | Esempio |
|---|---|---|
id |
Filtra in base all'identificatore del grafico. | id:g675a2fd4c8834e288af |
name |
Filtra per nome del grafico. | name:Example-name |
owner |
Filtra in base ai grafici di proprietà dell'utente. | owner:example_user |
group |
Filtra in base ai grafici di proprietà di un gruppo. | group:example |
visible_to_user |
Filtra in base ai grafici visibili all'utente. | visible_to_user:example_user |
visible_to_group |
Filtra in base ai grafici visibili al gruppo. | visible_to_group:example |
private |
Filtra in base ai grafici privati. | private:true, private:false |
creation_date |
Filtra in base alla data di creazione del grafico. | creation_date:2018-11-15 |
last_modified_date |
Filtra in base alla data dell'ultima modifica del grafico. | last_modified_date:2018-11-20 |
total_nodes |
Filtra in base ai grafici che contengono un numero specifico di nodi. | total_nodes:100 |
comments_count |
Filtra in base al numero di commenti nel grafico. | comments_count:10+ |
views_count |
Filtra in base al numero di visualizzazioni del grafico. | views_count:1000+ |
Modificatori correlati ai nodi
La tabella seguente elenca i modificatori correlati al grafico che puoi utilizzare per creare la query di ricerca:
| Nome modificatore | Descrizione | Esempio |
|---|---|---|
label |
Filtra in base ai grafici che contengono nodi con un'etichetta specifica. | label:Kill switch |
file |
Filtra in base ai grafici che contengono il file specifico. | file:131f95c51cc819465fa17 |
domain |
Filtra in base ai grafici che contengono il dominio specifico. | domain:example.com |
ip_address |
Filtra in base ai grafici che contengono l'indirizzo IP specifico. | ip_address:203.0.113.1 |
url |
Filtra in base ai grafici che contengono l'URL specifico. | url:https://example.com/example/ |
actor |
Filtra in base ai grafici che contengono l'attore specifico. | actor:example actor |
victim |
Filtra in base ai grafici che contengono la vittima specifica. | victim:example_user |
email |
Filtra in base ai grafici che contengono l'indirizzo email specifico. | email:user@example.com |
department |
Filtra in base ai grafici che contengono il reparto specifico. | department:engineers |
Output dell'azione
L'azione Cerca grafici fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca grafici:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Messaggi di output
L'azione Cerca grafici può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca grafici:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Imposta l'analisi degli avvisi DTM
Utilizza l'azione Imposta analisi avviso DTM per definire un'analisi per un avviso Digital Threat Monitoring (DTM) in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Imposta analisi avviso DTM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Alert ID |
Obbligatorio. L'ID dell'avviso a cui aggiungere l'analisi. |
Text |
Obbligatorio. L'analisi da aggiungere all'avviso. |
Attachment File Paths |
Facoltativo. Un elenco separato da virgole di percorsi file da allegare all'avviso. È supportato un massimo di 10 allegati. |
Output dell'azione
L'azione Imposta analisi avvisi DTM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script. | Disponibile |
Messaggi di output
L'azione Set DTM Alert Analysis può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Imposta analisi avvisi DTM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Invia file
Utilizza l'azione Invia file per inviare un file e restituire i risultati di Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Questa azione è asincrona. Modifica il valore di timeout dello script nell'ambiente di sviluppo integrato (IDE) di Google SecOps per l'azione in base alle esigenze.
Input azione
L'azione Invia file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
External URLs |
Facoltativo. Un elenco separato da virgole di URL pubblici per i file da inviare. Se vengono forniti sia "URL esterno" che "Percorsi file", l'azione raccoglierà i file da entrambi gli input. |
File Paths |
Facoltativo. Un elenco separato da virgole di percorsi file assoluti. Se configuri il parametro **Indirizzo server Linux**, l'azione tenta di recuperare il file da un server remoto. Se vengono forniti sia "URL esterno" che "Percorsi file", l'azione raccoglierà i file da entrambi gli input. |
ZIP Password |
Facoltativo. Una password per la cartella compressa che contiene i file da inviare. |
Private Submission |
Facoltativo. Se selezionata, l'azione invia il file in modalità privata. Per inviare i file in privato, è necessaria l'API VirusTotal Premium. |
Check Hash |
Facoltativo. Impostazione predefinita: disabilitata. Se abilitata, l'azione calcolerà prima gli hash dei file e cercherà eventuali informazioni disponibili. Se disponibili, restituirà le informazioni senza il flusso di invio. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti relativi al file inviato. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione restituisce le informazioni sulle tattiche e tecniche MITRE correlate. Non selezionato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. La gravità minima della tecnica MITRE da restituire. L'azione considera la gravità Questo parametro supporta solo l'entità Hash. Il valore predefinito è |
Retrieve AI Summary |
Facoltativo. Se selezionata, l'azione recupera un riepilogo AI per il file inviato. Il riassunto creato con l'AI è disponibile solo per gli invii privati. Questo parametro è sperimentale. Non selezionata per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da restituire in ogni esecuzione dell'azione. |
Linux Server Address |
Facoltativo. L'indirizzo IP del server Linux remoto in cui si trova il file. |
Linux Username |
Facoltativo. Il nome utente del server Linux remoto in cui si trova il file. |
Linux Password |
Facoltativo. La password del server Linux remoto in cui si trova il file. |
Output dell'azione
L'azione Invia file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script. | Disponibile |
Link alla bacheca richieste
L'azione Invia file può restituire il seguente link:
Link al report PATH:
URL
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Invia file:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Messaggi di output
L'azione Invia file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Submit File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Nessun valore "Percorsi file" o "URL esterni" Almeno uno dei parametri "Percorsi file" o "URL esterni" deve avere un valore. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Invia file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna problema ASM
Utilizza l'azione Aggiorna problema ASM per aggiornare un problema ASM in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna problema ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Issue ID |
Obbligatorio. L'ID del problema da aggiornare. |
Status |
Obbligatorio. Il nuovo stato da impostare per il problema. I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Aggiorna problema ASM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Aggiorna problema ASM:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Messaggi di output
L'azione Aggiorna problema ASM può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
L'azione è riuscita. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna problema ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna avviso DTM
Utilizza l'azione Aggiorna avviso DTM per aggiornare un avviso di Mandiant Digital Threat Monitoring in Google Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna avviso DTM richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Alert ID |
Obbligatorio. L'ID dell'avviso da aggiornare. |
Status |
Facoltativo. Il nuovo stato da impostare per l'avviso. I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Aggiorna avviso DTM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiorna avviso DTM:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Messaggi di output
L'azione Aggiorna avviso DTM può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
Azione riuscita. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna avviso DTM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Google Threat Intelligence - DTM Alerts Connector
Utilizza il connettore Google Threat Intelligence - DTM Alerts per recuperare gli avvisi
da Google Threat Intelligence. Per lavorare con un elenco dinamico, utilizza il parametro alert_type.
Input del connettore
Il connettore Google Threat Intelligence - DTM Alerts richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è
|
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è
|
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è
|
API Root |
Obbligatorio. La radice dell'API dell'istanza Google Threat Intelligence. Il valore predefinito è
|
API Key |
Obbligatorio. La chiave API di Google Threat Intelligence. |
Lowest Severity To Fetch |
Facoltativo. La gravità minima degli avvisi da recuperare. Se non configuri questo parametro, il connettore acquisisce gli avvisi con tutti i livelli di gravità. I valori possibili sono:
|
Monitor ID Filter |
Facoltativo. Un elenco separato da virgole di ID monitor da recuperare gli avvisi. |
Event Type Filter |
Facoltativo. Un elenco separato da virgole dei tipi di eventi da restituire. L'input non distingue tra maiuscole e minuscole. Se non viene fornito alcun valore, il connettore elabora tutti i tipi di eventi. Per escludere un tipo specifico, aggiungi un punto esclamativo come prefisso (ad esempio,
|
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Questa opzione è selezionata per impostazione predefinita. |
Max Hours Backwards |
Obbligatorio. Il numero di ore prima di ora per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Alerts To Fetch |
Obbligatorio. Il numero di avvisi da elaborare in ogni iterazione del connettore. Il valore massimo è |
Use dynamic list as a blocklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL durante la connessione al server Google Threat Intelligence. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore di Google Threat Intelligence - Avvisi DTM supporta i proxy.
Eventi del connettore
Esistono due tipi di eventi per il connettore Google Threat Intelligence - DTM Alerts: un evento basato sull'avviso principale e un evento basato su un argomento.
Di seguito è riportato un esempio dell'evento del connettore basato sull'avviso principale:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Di seguito è riportato un esempio dell'evento del connettore basato su un argomento:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM Issues Connector
Utilizza il connettore Google Threat Intelligence - ASM Issues per recuperare
informazioni sui problemi di ASM da Google Threat Intelligence. Per
utilizzare il filtro dell'elenco dinamico, utilizza il parametro category.
Input del connettore
Il connettore Google Threat Intelligence - ASM Issues richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è
|
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è
|
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è
|
API Root |
Obbligatorio. La radice dell'API dell'istanza Google Threat Intelligence. Il valore predefinito è
|
API Key |
Obbligatorio. La chiave API di Google Threat Intelligence. |
Project Name |
Facoltativo. Il nome del progetto ASM. Se non imposti un valore, vengono restituiti solo gli avvisi delle raccolte nel progetto principale. |
Lowest Severity To Fetch |
Facoltativo. La gravità minima degli avvisi da recuperare. Se non configuri questo parametro, il connettore acquisisce gli avvisi con tutti i livelli di gravità. I valori possibili sono:
|
Issue Name Filter |
Facoltativo. Un elenco separato da virgole di problemi da importare. L'input è sensibile alle maiuscole. Se i nomi sono elencati direttamente, il connettore utilizza un filtro di inclusione, importando solo i problemi corrispondenti. Per escludere problemi specifici, aggiungi un punto esclamativo prima del nome
(ad esempio, Se non viene fornito alcun valore, il filtro non viene applicato e tutti i problemi vengono inseriti. |
Status Filter |
Facoltativo. Un elenco separato da virgole di stati dei problemi da importare. Se non viene fornito alcun valore, il connettore elabora solo i problemi aperti. I valori possibili sono:
Il valore predefinito è |
Event Type Filter |
Facoltativo. Un elenco separato da virgole dei tipi di eventi da restituire. L'input non distingue tra maiuscole e minuscole. Se non viene fornito alcun valore, il connettore elabora tutti i tipi di eventi. Per escludere un tipo specifico, aggiungi un punto esclamativo come prefisso (ad esempio,
|
Max Hours Backwards |
Obbligatorio. Il numero di ore prima di ora per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Issues To Fetch |
Obbligatorio. Il numero di problemi da elaborare in ogni iterazione del connettore. Il valore massimo è |
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Questa opzione è selezionata per impostazione predefinita. |
Use dynamic list as a blocklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL durante la connessione al server Google Threat Intelligence. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Eventi del connettore
L'esempio dell'evento Connettore problemi ASM - Google Threat Intelligence è il seguente:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt Connector
Utilizza Google Threat Intelligence - Livehunt Connector per recuperare
informazioni sulle notifiche Livehunt e sui relativi file da
Google Threat Intelligence. Per utilizzare l'elenco dinamico, utilizza il parametro rule_name.
Input del connettore
Il connettore Google Threat Intelligence - Livehunt richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è
|
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è
|
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è
|
API Root |
Obbligatorio. La radice dell'API dell'istanza Google Threat Intelligence. Il valore predefinito è
|
API Key |
Obbligatorio. La chiave API di Google Threat Intelligence. |
Max Hours Backwards |
Obbligatorio. Il numero di ore prima di ora per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Notifications To Fetch |
Obbligatorio. Il numero di notifiche da elaborare in ogni iterazione del connettore. Il valore predefinito è |
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Questa opzione è selezionata per impostazione predefinita. |
Use dynamic list as a blocklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL durante la connessione al server Google Threat Intelligence. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore Google Threat Intelligence - Livehunt supporta i proxy.
Eventi del connettore
L'esempio dell'evento Google Threat Intelligence - Livehunt Connector è il seguente:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.