Google Threat Intelligence を Google SecOps と統合する
このドキュメントでは、Google Threat Intelligence を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 1.0
始める前に
この統合を使用するには、API キーが必要です。詳細については、Google Threat Intelligence API キーをご覧ください。
統合のパラメータ
Google Threat Intelligence の統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root |
必須。 Google Threat Intelligence インスタンスの API ルート。 デフォルト値は |
API Key |
必須。 Google Threat Intelligence API キー。 |
ASM Project Name |
省略可。 統合で使用する Mandiant Attack Surface Management(ASM)プロジェクト名。このパラメータは、ASM エンティティを検索、ASM の問題を検索、 ASM の問題を更新のアクションを実行するために必要です。 値が設定されていない場合、プライマリ プロジェクトのコレクションのアラートのみが返されます。 |
Verify SSL |
必須。 選択すると、Google Threat Intelligence サーバーに接続するときに、統合によって SSL 証明書が検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティにコメントを追加
エンティティにコメントを追加アクションを使用して、Google Threat Intelligence の Google SecOps エンティティにコメントを追加します。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
[Add Comment To Entity] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Comment |
必須。 サポートされているすべてのエンティティに追加するコメント。 |
アクションの出力
[Add Comment To Entity] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、エンティティにコメントを追加アクションを使用した場合に受信する JSON 結果の出力例です。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
エンティティにコメントを追加アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Comment To Entity アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティに投票を追加する
エンティティにコメントを追加アクションを使用して、Google Threat Intelligence の Google SecOps エンティティに投票を追加します。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
Add Vote To Entity アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Vote |
必須。 サポートされているすべてのエンティティに追加する投票。 使用できる値は次のとおりです。
デフォルト値は |
アクションの出力
[Add Vote To Entity] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、エンティティに投票を追加アクションを使用したときに受信した JSON 結果の出力例を示しています。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
Add Vote To Entity アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Vote To Entity アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルをダウンロード
[ファイルをダウンロード] アクションを使用して、Google Threat Intelligence からファイルをダウンロードします。
このアクションは Google SecOps の Hash エンティティに対して実行されます。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
アクション入力
[Download File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Download Folder Path |
必須。 ダウンロードしたファイルを保存するフォルダのパス。 |
Overwrite |
必須。 選択すると、ファイル名が同じ場合に、既存のファイルが新しいファイルで上書きされます。 デフォルトで選択されています。 |
アクションの出力
[Download File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Download File] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
出力メッセージ
[Download File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Download File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
エンティティの拡充
エンティティの拡充アクションを使用して、Google Threat Intelligence の情報でエンティティを拡充します。
このアクションは、MD5、SHA-1、SHA-256 ハッシュをサポートしています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainHashHostnameIP AddressURLCVEThreat Actor
アクション入力
エンティティの拡充アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Resubmit Entity |
省略可。 選択すると、アクションは、前回のアクション実行のエンティティ情報を使用する代わりに、分析のためにエンティティを再送信します。 このパラメータは、 デフォルトでは選択されていません。 |
Resubmit After (Days) |
省略可。 エンティティを再度送信するまでアクションが待機する日数。このパラメータを使用するには、 デフォルト値は このパラメータは、 |
Sandbox |
省略可。 分析するサンドボックス名のカンマ区切りリスト( このパラメータは このパラメータを設定しない場合、アクションはデフォルトのサンドボックス( |
Retrieve Sandbox Analysis |
省略可。 選択すると、アクションはエンティティのサンドボックス分析を取得し、JSON 結果のサンドボックスごとに個別のセクションを作成します。 このアクションは、 このパラメータは デフォルトでは選択されていません。 |
Fetch MITRE Details |
省略可。 選択すると、アクションによって関連する MITRE の手法と戦術に関する情報が返されます。 このパラメータは デフォルトでは選択されていません。 |
Lowest MITRE Technique Severity |
省略可。 返す MITRE 手法の最も低い重大度。 このアクションは、重大度 このパラメータは 使用できる値は次のとおりです。
デフォルト値は |
Retrieve Comments |
省略可。 選択すると、アクションによってエンティティに関するコメントが取得されます。 このパラメータは、次のエンティティをサポートしています。
|
Max Comments To Return |
省略可。 アクション実行ごとに返されるコメントの最大数。 デフォルト値は |
アクションの出力
[エンティティを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
ケースウォールのリンク
[エンティティを拡充] アクションは、次のリンクを返すことができます。
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detection脅威アクター:
https://www.virustotal.com/gui/collection/threat-actor--ID脆弱性:
https://www.virustotal.com/gui/collection/vulnerability--ID
エンティティ拡充テーブル
- [エンティティを拡充] アクションは、IP アドレスに対して次のエンティティ拡充をサポートしています。
- [エンティティを拡充] アクションは、URL の次のエンティティ拡充をサポートしています。
- エンティティを拡充アクションは、ハッシュに対して次のエンティティ拡充をサポートします。
- [エンティティを拡充] アクションは、ドメイン/ホスト名に対して次のエンティティ拡充をサポートしています。
- エンティティの拡充アクションは、脅威アクターに対して次のエンティティの拡充をサポートします。
- エンティティの拡充アクションは、脆弱性に対して次のエンティティの拡充をサポートします。
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_id |
id |
JSON の結果で利用可能な場合。 |
GTI_owner |
as_owner |
JSON の結果で利用可能な場合。 |
GTI_asn |
asn |
JSON の結果で利用可能な場合。 |
GTI_continent |
continent |
JSON の結果で利用可能な場合。 |
GTI_country |
country |
JSON の結果で利用可能な場合。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON の結果で利用可能な場合。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON の結果で利用可能な場合。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON の結果で利用可能な場合。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON の結果で利用可能な場合。 |
GTI_certificate_valid_not_after |
validity/not_after |
JSON の結果で利用可能な場合。 |
GTI_certificate_valid_not_before |
validity/not_before |
JSON の結果で利用可能な場合。 |
GTI_reputation |
reputation |
JSON の結果で利用可能な場合。 |
GTI_tags |
Comma-separated list of tags |
JSON の結果で利用可能な場合。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON の結果で利用可能な場合。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON の結果で利用可能な場合。 |
GTI_report_link |
report_link |
JSON の結果で利用可能な場合。 |
GTI_widget_link |
widget_url |
JSON の結果で利用可能な場合。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON の結果で利用可能な場合。 |
GTI_severity |
gti_assessment.severity.value |
JSON の結果で利用可能な場合。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON の結果で利用可能な場合。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON の結果で利用可能な場合。 |
GTI_description |
gti_assessment.description |
JSON の結果で利用可能な場合。 |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_id |
id |
JSON の結果で利用可能な場合。 |
GTI_title |
title |
JSON の結果で利用可能な場合。 |
GTI_last_http_response_code |
last_http_response_code |
JSON の結果で利用可能な場合。 |
GTI_last_http_response_content_length |
last_http_response_content_length |
JSON の結果で利用可能な場合。 |
GTI_threat_names |
Comma-separated list of threat_names |
JSON の結果で利用可能な場合。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON の結果で利用可能な場合。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON の結果で利用可能な場合。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON の結果で利用可能な場合。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON の結果で利用可能な場合。 |
GTI_reputation |
reputation |
JSON の結果で利用可能な場合。 |
GTI_tags |
Comma-separated list of tags |
JSON の結果で利用可能な場合。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON の結果で利用可能な場合。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON の結果で利用可能な場合。 |
GTI_report_link |
report_link |
JSON の結果で利用可能な場合。 |
GTI_widget_link |
widget_url |
JSON の結果で利用可能な場合。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON の結果で利用可能な場合。 |
GTI_severity |
gti_assessment.severity.value |
JSON の結果で利用可能な場合。 |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON の結果で利用可能な場合。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON の結果で利用可能な場合。 |
GTI_description |
gti_assessment.description |
JSON の結果で利用可能な場合。 |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON の結果で利用可能な場合。 |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_id |
id |
JSON の結果で利用可能な場合。 |
GTI_magic |
magic |
JSON の結果で利用可能な場合。 |
GTI_md5 |
md5 |
JSON の結果で利用可能な場合。 |
GTI_sha1 |
sha1 |
JSON の結果で利用可能な場合。 |
GTI_sha256 |
sha256 |
JSON の結果で利用可能な場合。 |
GTI_ssdeep |
ssdeep |
JSON の結果で利用可能な場合。 |
GTI_tlsh |
tlsh |
JSON の結果で利用可能な場合。 |
GTI_vhash |
vhash |
JSON の結果で利用可能な場合。 |
GTI_meaningful_name |
meaningful_name |
JSON の結果で利用可能な場合。 |
GTI_magic |
Comma-separated list of names |
JSON の結果で利用可能な場合。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON の結果で利用可能な場合。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON の結果で利用可能な場合。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON の結果で利用可能な場合。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON の結果で利用可能な場合。 |
GTI_reputation |
reputation |
JSON の結果で利用可能な場合。 |
GTI_tags |
Comma-separated list of tags |
JSON の結果で利用可能な場合。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON の結果で利用可能な場合。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON の結果で利用可能な場合。 |
GTI_report_link |
report_link |
JSON の結果で利用可能な場合。 |
GTI_widget_link |
widget_url |
JSON の結果で利用可能な場合。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON の結果で利用可能な場合。 |
GTI_severity |
gti_assessment.severity.value |
JSON の結果で利用可能な場合。 |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
JSON の結果で利用可能な場合。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON の結果で利用可能な場合。 |
GTI_description |
gti_assessment.description |
JSON の結果で利用可能な場合。 |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_id |
id |
JSON の結果で利用可能な場合。 |
GTI_harmless_count |
last_analysis_stats/harmless |
JSON の結果で利用可能な場合。 |
GTI_malicious_count |
last_analysis_stats/malicious |
JSON の結果で利用可能な場合。 |
GTI_suspicious_count |
last_analysis_stats/suspicious |
JSON の結果で利用可能な場合。 |
GTI_undetected_count |
last_analysis_stats/undetected |
JSON の結果で利用可能な場合。 |
GTI_reputation |
reputation |
JSON の結果で利用可能な場合。 |
GTI_tags |
Comma-separated list of tags |
JSON の結果で利用可能な場合。 |
GTI_malicious_vote_count |
total_votes/malicious |
JSON の結果で利用可能な場合。 |
GTI_harmless_vote_count |
total_votes/harmless |
JSON の結果で利用可能な場合。 |
GTI_report_link |
report_link |
JSON の結果で利用可能な場合。 |
GTI_widget_link |
widget_url |
JSON の結果で利用可能な場合。 |
GTI_threat_score |
gti_assessment.threat_score.value |
JSON の結果で利用可能な場合。 |
GTI_severity |
gti_assessment.severity.value |
JSON の結果で利用可能な場合。 |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
JSON の結果で利用可能な場合。 |
GTI_verdict |
gti_assessment.verdict.value |
JSON の結果で利用可能な場合。 |
GTI_description |
gti_assessment.description |
JSON の結果で利用可能な場合。 |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
JSON の結果で利用可能な場合。 |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
JSON の結果で利用可能な場合。 |
GTI_aliases |
Csv of alt_names_details/value |
JSON の結果で利用可能な場合。 |
GTI_industries |
Csv of targeted_industries/value |
JSON の結果で利用可能な場合。 |
GTI_malware |
Csv of malware/name |
JSON の結果で利用可能な場合。 |
GTI_source_region |
CSV of source_regions_hierarchy/country |
JSON の結果で利用可能な場合。 |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
JSON の結果で利用可能な場合。 |
GTI_origin |
origin |
JSON の結果で利用可能な場合。 |
GTI_description |
description |
JSON の結果で利用可能な場合。 |
GTI_last_activity_time |
last_activity_time |
JSON の結果で利用可能な場合。 |
GTI_report_link |
We craft it. |
JSON の結果で利用可能な場合。 |
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
GTI_sources |
Csv of source_name |
JSON の結果で利用可能な場合。 |
GTI_exploitation_state |
exploitation_state |
JSON の結果で利用可能な場合。 |
GTI_date_of_disclosure |
date_of_disclosure |
JSON の結果で利用可能な場合。 |
GTI_vendor_fix_references |
vendor_fix_references/url |
JSON の結果で利用可能な場合。 |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
JSON の結果で利用可能な場合。 |
GTI_description |
description |
JSON の結果で利用可能な場合。 |
GTI_risk_rating |
risk_rating |
JSON の結果で利用可能な場合。 |
GTI_available_mitigation |
CSV of available_mitigation |
JSON の結果で利用可能な場合。 |
GTI_exploitation_consequence |
exploitation_consequence |
JSON の結果で利用可能な場合。 |
GTI_report_link |
We craft it. |
JSON の結果で利用可能な場合。 |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信した IOC(IP、Hash、URL、Domain、Hostname エンティティ)の JSON 結果の出力例を示しています。
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
次の例は、エンティティの拡充アクションを使用した場合に受信した脆弱性の JSON 結果の出力例を示しています。
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
次の例は、エンティティの拡充アクションを使用した場合に受信した脅威アクターの JSON 結果の出力例を示しています。
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
出力メッセージ
エンティティを拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[エンティティを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC を拡充する
IOC を拡充アクションを使用して、Google Threat Intelligence の情報を使用してセキュリティ侵害インジケーター(IOC)を拡充します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[IOC を拡充する] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
IOC Type |
省略可。 拡充する IOC のタイプ。 値は次のいずれかになります。
デフォルト値は |
IOCs |
必須。 データを取り込む IOC のカンマ区切りのリスト。 |
アクションの出力
[IOC を拡充する] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[IOC を拡充] アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[IOC を拡充する] アクションでは、拡充されたエンティティごとに次の表が提供されます。
テーブル名: IOC_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
JSON の結果
次の例は、[IOC を拡充] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
出力メッセージ
[IOC を拡充] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[IOC を拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC 検索を実行する
[Execute IOC Search] アクションを使用して、Google Threat Intelligence で IOC 検索を実行します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[IOC 検索を実行] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Search Query |
必須。 実行する検索クエリ( |
Max Results To Return |
省略可。 アクション実行ごとに返される結果の最大数。 最大値は デフォルト値は |
アクションの出力
[IOC 検索を実行] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Execute IOC Search] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
出力メッセージ
[Execute IOC Search] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、IOC 検索の実行アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ASM エンティティの詳細を取得する
Get ASM Entity Details アクションを使用して、Google Threat Intelligence の ASM エンティティに関する情報を取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Get ASM Entity Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Entity ID |
必須。 詳細を取得するエンティティ ID のカンマ区切りのリスト。 |
アクションの出力
[Get ASM Entity Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Get ASM Entity Details アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
出力メッセージ
[Get ASM Entity Details] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Get ASM Entity Details アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グラフの詳細を取得する
グラフの詳細を取得アクションを使用して、Google Threat Intelligence のグラフに関する詳細情報を取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[グラフの詳細を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Graph ID |
必須。 詳細を取得するグラフ ID のカンマ区切りのリスト。 |
Max Links To Return |
必須。 グラフごとに返されるリンクの最大数。 デフォルト値は |
アクションの出力
[グラフの詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
グラフの詳細を取得アクションは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: グラフ GRAPH_ID リンク
テーブルの列:
- ソース
- ターゲット
- 接続タイプ
JSON の結果
次の例は、[グラフの詳細を取得] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
出力メッセージ
[Get Graph Details] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
関連する IOC を取得する
関連する IOC を取得アクションを使用して、Google Threat Intelligence の情報を使用してエンティティに関連する IOC に関する情報を取得します。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP addressURLHostnameDomainHashThreat Actor
アクション入力
[Get Related IOCs] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
IOC Types |
必須。 抽出する IOC のカンマ区切りのリスト。 指定できる値は、 |
Max IOCs To Return |
必須。 選択した IOC タイプごとに、エンティティごとに返される IOC の最大数。 デフォルト値は |
アクションの出力
[Get Related IOCs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
JSON の結果
次の例は、[Get Related IOCs] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
出力メッセージ
[Get Related IOCs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連する IOC を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、Google Threat Intelligence への接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ASM エンティティを検索する
ASM エンティティを検索アクションを使用して、Google Threat Intelligence で ASM エンティティを検索します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Search ASM Entities] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Project Name |
省略可。 ASM プロジェクトの名前。 値を設定しない場合、アクションは |
Entity Name |
省略可。 エンティティを検索するエンティティ名のカンマ区切りのリスト。 このアクションでは、 |
Minimum Vulnerabilities Count |
省略可。 アクションがエンティティを返すために必要な脆弱性の最小数。 |
Minimum Issues Count |
省略可。 アクションがエンティティを返すために必要な問題の最小数。 |
Tags |
省略可。 エンティティの検索時に使用するタグ名のカンマ区切りリスト。 |
Max Entities To Return |
省略可。 返すエンティティの数。 最大値は |
Critical or High Issue |
省略可。 選択すると、アクションは デフォルトでは選択されていません。 |
アクションの出力
[Search ASM Entities] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Search ASM Entities] アクションを使用したときに受信した JSON 結果の出力です。
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
出力メッセージ
ASM エンティティを検索アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Search ASM Entities アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ASM の問題を検索する
[Search ASM Issues] アクションを使用して、Google Threat Intelligence で ASM の問題を検索します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Search ASM Issues] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Project Name |
省略可。 ASM プロジェクトの名前。 値を設定しない場合、アクションは |
Issue ID |
省略可。 詳細を返す問題 ID のカンマ区切りのリスト。 |
Entity ID |
省略可。 関連する問題を検索するエンティティ ID のカンマ区切りのリスト。 |
Entity Name |
省略可。 関連する問題を検索するエンティティ名のカンマ区切りのリスト。 このアクションでは、 |
Time Parameter |
省略可。 問題の時間を設定するフィルタ オプション。 指定できる値は デフォルト値は |
Time Frame |
省略可。 問題をフィルタする期間。 値は次のいずれかになります。
デフォルト値は |
Start Time |
省略可。 結果の開始時刻。
ISO 8601 形式で値を構成します。 |
End Time |
省略可。 結果の終了時刻。
ISO 8601 形式で値を構成します。 |
Lowest Severity To Return |
省略可。 返す問題の最も低い重大度。 値は次のいずれかになります。
デフォルト値は
|
Status |
省略可。 検索のステータス フィルタ。 有効な値は デフォルト値は
|
Tags |
省略可。 問題の検索時に使用するタグ名のカンマ区切りリスト。 |
Max Issues To Return |
必須。 返す問題の数。 最大値は |
アクションの出力
[Search ASM Issues] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Search ASM Issues アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
出力メッセージ
Search ASM Issues アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Search ASM Issues アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティ グラフを検索する
[エンティティ グラフを検索] アクションを使用して、Google Threat Intelligence の Google SecOps エンティティに基づくグラフを検索します。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressThreat ActorURLUser
アクション入力
[Search Entity Graphs] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Sort Field |
省略可。 結果の並べ替えに使用するフィールド値。 値は次のいずれかになります。
デフォルト値は |
Max Graphs To Return |
省略可。 アクション実行ごとに返されるグラフの最大数。 デフォルト値は |
アクションの出力
[Search Entity Graphs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[エンティティ グラフを検索] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
出力メッセージ
[Search Entity Graphs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
グラフの検索
グラフを検索アクションを使用して、Google Threat Intelligence のカスタム フィルタに基づいてグラフを検索します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
グラフを検索アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
必須。 グラフのクエリフィルタ。 たとえば、選択した期間のグラフを検索するには、クエリを次のようにフォーマットします。
|
Sort Field |
省略可。 VirusTotal グラフを並べ替えるフィールド値。 値は次のいずれかになります。
デフォルト値は |
Max Graphs To Return |
省略可。 アクション実行ごとに返されるグラフの最大数。 デフォルト値は |
クエリの作成方法
グラフの検索結果を絞り込むには、グラフ関連の修飾子を含むクエリを作成します。検索を改善するには、修飾子を AND、OR、NOT 演算子と組み合わせます。
日付フィールドと数値フィールドでは、+ プラスと - マイナスの接尾辞がサポートされています。プラス記号の接尾辞は、指定された値より大きい値に一致します。マイナス接尾辞は、指定された値より小さい値に一致します。接尾辞がない場合、クエリは完全一致を返します。
範囲を定義するには、クエリで同じ修飾子を複数回使用できます。たとえば、2018 年 11 月 15 日から 2018 年 11 月 20 日の間に作成されたグラフを検索するには、次のクエリを使用します。
creation_date:2018-11-15+ creation_date:2018-11-20-
0 で始まる日付または月については、クエリ内の 0 文字を削除します。たとえば、2018 年 11 月 1 日は 2018-11-1 と記述します。
グラフ関連の修飾子
次の表に、検索クエリの作成に使用できるグラフ関連の修飾子を示します。
| 修飾子の名前 | 説明 | 例 |
|---|---|---|
id |
グラフ識別子でフィルタします。 | id:g675a2fd4c8834e288af |
name |
グラフ名でフィルタします。 | name:Example-name |
owner |
ユーザーが所有するグラフでフィルタします。 | owner:example_user |
group |
グループが所有するグラフでフィルタします。 | group:example |
visible_to_user |
ユーザーに表示されるグラフでフィルタします。 | visible_to_user:example_user |
visible_to_group |
グループに表示されるグラフでフィルタします。 | visible_to_group:example |
private |
プライベート グラフでフィルタします。 | private:true、private:false |
creation_date |
グラフの作成日でフィルタします。 | creation_date:2018-11-15 |
last_modified_date |
グラフの最新の変更日でフィルタします。 | last_modified_date:2018-11-20 |
total_nodes |
特定の数のノードを含むグラフでフィルタします。 | total_nodes:100 |
comments_count |
グラフ内のコメント数でフィルタします。 | comments_count:10+ |
views_count |
グラフの閲覧数でフィルタします。 | views_count:1000+ |
ノード関連の修飾子
次の表に、検索クエリの作成に使用できるグラフ関連の修飾子を示します。
| 修飾子の名前 | 説明 | 例 |
|---|---|---|
label |
特定のラベルを持つノードを含むグラフでフィルタします。 | label:Kill switch |
file |
特定のファイルを含むグラフでフィルタします。 | file:131f95c51cc819465fa17 |
domain |
特定のドメインを含むグラフでフィルタします。 | domain:example.com |
ip_address |
特定の IP アドレスを含むグラフでフィルタします。 | ip_address:203.0.113.1 |
url |
特定の URL を含むグラフでフィルタします。 | url:https://example.com/example/ |
actor |
特定の俳優を含むグラフでフィルタします。 | actor:example actor |
victim |
特定の被害者が含まれるグラフでフィルタします。 | victim:example_user |
email |
特定のメールアドレスを含むグラフでフィルタします。 | email:user@example.com |
department |
特定の部門を含むグラフでフィルタします。 | department:engineers |
アクションの出力
[グラフを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[グラフを検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
出力メッセージ
[グラフを検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフを検索アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
DTM アラート分析を設定する
Set DTM Alert Analysis アクションを使用して、Google Threat Intelligence の Digital Threat Monitoring(DTM)アラートの分析を定義します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Set DTM Alert Analysis] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須。 分析を追加するアラートの ID。 |
Text |
必須。 アラートに追加する分析。 |
Attachment File Paths |
省略可。 アラートに添付するファイルパスのカンマ区切りのリスト。 添付ファイルは 10 個までアップロードできます。 |
アクションの出力
[Set DTM Alert Analysis] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
出力メッセージ
Set DTM Alert Analysis アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Set DTM Alert Analysis アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルの送信
Submit File アクションを使用してファイルを送信し、Google Threat Intelligence から結果を返します。
このアクションは Google SecOps エンティティに対して実行されません。
このアクションは非同期です。必要に応じて、Google SecOps 統合開発環境(IDE)でアクションのスクリプト タイムアウト値を調整します。
アクション入力
[Submit File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
External URLs |
省略可。 送信するファイルの公開 URL のカンマ区切りリスト。[外部 URL] と [ファイルパス] の両方が指定されている場合、アクションは両方の入力からファイルを収集します。 |
File Paths |
省略可。 絶対ファイルパスのカンマ区切りのリスト。[**Linux Server Address**] パラメータを構成すると、アクションはリモート サーバーからファイルを取得しようとします。[外部 URL] と [ファイルパス] の両方が指定されている場合、アクションは両方の入力からファイルを収集します。 |
ZIP Password |
省略可。 送信するファイルを含む zip フォルダのパスワード。 |
Private Submission |
省略可。 選択すると、アクションはファイルを非公開モードで送信します。 ファイルを非公開で送信するには、VirusTotal Premium API が必要です。 |
Check Hash |
省略可。デフォルト: 無効。 有効にすると、アクションはまずファイルのハッシュを計算し、利用可能な情報があるかどうかを検索します。利用可能な場合は、送信フローなしで情報が返されます。 |
Retrieve Comments |
省略可。 選択すると、アクションは送信されたファイルに関するコメントを取得します。 |
Fetch MITRE Details |
省略可。 選択すると、関連する MITRE の手法と戦術に関する情報が返されます。 デフォルトでは選択されていません。 |
Lowest MITRE Technique Severity |
省略可。 返す MITRE 手法の最も低い重大度。 このアクションは、重大度 このパラメータは Hash エンティティのみをサポートします。 デフォルト値は |
Retrieve AI Summary |
省略可。 選択すると、アクションは送信されたファイルの AI による要約を取得します。 AI による要約は、非公開の送信でのみ利用できます。 このパラメータは試験運用版です。 デフォルトでは選択されていません。 |
Max Comments To Return |
省略可。 各アクション実行で返されるコメントの最大数。 |
Linux Server Address |
省略可。 ファイルが配置されているリモート Linux サーバーの IP アドレス。 |
Linux Username |
省略可。 ファイルが配置されているリモート Linux サーバーのユーザー名。 |
Linux Password |
省略可。 ファイルが配置されているリモート Linux サーバーのパスワード。 |
アクションの出力
[Submit File] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
ケースウォールのリンク
[Submit File] アクションは、次のリンクを返すことができます。
レポートのリンク PATH:
URL
JSON の結果
次の例は、[Submit File] アクションを使用した場合に受信される JSON 結果の出力です。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
出力メッセージ
[Submit File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
「ファイルパス」または「外部 URL」の値がない [ファイルパス] パラメータまたは [外部 URL] パラメータの少なくとも 1 つに値を指定する必要があります。 |
スクリプトの結果
次の表に、[Submit File] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ASM の更新に関する問題
[Update ASM Issue] アクションを使用して、Google Threat Intelligence の ASM の問題を更新します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Update ASM Issue] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Issue ID |
必須。 更新する問題の ID。 |
Status |
必須。 問題に設定する新しいステータス。 値は次のいずれかになります。
デフォルト値は |
アクションの出力
[Update ASM Issue] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Update ASM Issue] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
出力メッセージ
[Update ASM Issue] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
アクションが成功しました。 |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Update ASM Issue アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
DTM アラートを更新する
[Update DTM Alert] アクションを使用して、Google Threat Intelligence の Mandiant Digital Threat Monitoring アラートを更新します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
Update DTM Alert アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須。 更新するアラートの ID。 |
Status |
省略可。 アラートに設定する新しいステータス。 使用できる値は次のとおりです。
デフォルト値は |
アクションの出力
[Update DTM Alert] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Update DTM Alert] アクションを使用した場合に受信する JSON 結果の出力です。
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
出力メッセージ
Update DTM Alert アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
アクションが成功しました。 |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Update DTM Alert アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Google Threat Intelligence - DTM アラート コネクタ
Google Threat Intelligence - DTM アラート コネクタを使用して、Google Threat Intelligence からアラートを取得します。動的リストを操作するには、alert_type パラメータを使用します。
コネクタの入力
Google Threat Intelligence - DTM Alerts Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 Google Threat Intelligence インスタンスの API ルート。 デフォルト値は |
API Key |
必須。 Google Threat Intelligence API キー。 |
Lowest Severity To Fetch |
省略可。 取得するアラートの最も低い重大度。 このパラメータを構成しない場合、コネクタはすべての重大度レベルのアラートを取り込みます。 使用できる値は次のとおりです。
|
Monitor ID Filter |
省略可。 アラートを取得するモニター ID のカンマ区切りのリスト。 |
Event Type Filter |
省略可。 返すイベントタイプのカンマ区切りのリスト。 入力では大文字と小文字が区別されません。値が指定されていない場合、コネクタはすべてのイベントタイプを処理します。 特定のタイプを除外するには、先頭に感嘆符を付けます( |
Disable Overflow |
省略可。 選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。 デフォルトで選択されています。 |
Max Hours Backwards |
必須。 アラートを取得する現在までの時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 デフォルト値は |
Max Alerts To Fetch |
必須。 コネクタの反復処理ごとに処理するアラートの数。 最大値は |
Use dynamic list as a blocklist |
必須。 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Verify SSL |
必須。 選択すると、Google Threat Intelligence サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
コネクタルール
Google Threat Intelligence - DTM アラート コネクタはプロキシをサポートしています。
コネクタ イベント
Google Threat Intelligence - DTM Alerts Connector には、メインアラートに基づくイベントとトピックに基づくイベントの 2 種類のイベントがあります。
メインアラートに基づくコネクタ イベントの例は次のとおりです。
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
トピックに基づくコネクタ イベントの例を次に示します。
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence - ASM 問題コネクタ
Google Threat Intelligence - ASM Issues Connector を使用して、Google Threat Intelligence から ASM の問題に関する情報を取得します。動的リストフィルタを使用するには、category パラメータを使用します。
コネクタの入力
Google Threat Intelligence - ASM Issues Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 Google Threat Intelligence インスタンスの API ルート。 デフォルト値は |
API Key |
必須。 Google Threat Intelligence API キー。 |
Project Name |
省略可。 ASM プロジェクトの名前。 値を設定しない場合、プライマリ プロジェクトのコレクションのアラートのみが返されます。 |
Lowest Severity To Fetch |
省略可。 取得するアラートの最も低い重大度。 このパラメータを構成しない場合、コネクタはすべての重大度レベルのアラートを取り込みます。 使用できる値は次のとおりです。
|
Issue Name Filter |
省略可。 取り込む問題のカンマ区切りのリスト。 入力では大文字と小文字が区別されます。名前が直接リストされている場合、コネクタは包含フィルタを使用して、一致する問題のみを取り込みます。 特定の問題を除外するには、名前の先頭に感嘆符を付けます(例: 値が指定されていない場合、フィルタは適用されず、すべての問題が取り込まれます。 |
Status Filter |
省略可。 取り込む問題ステータスのカンマ区切りのリスト。 値が指定されていない場合、コネクタは未解決の問題のみを処理します。 値は次のいずれかになります。
デフォルト値は |
Event Type Filter |
省略可。 返すイベントタイプのカンマ区切りのリスト。 入力では大文字と小文字が区別されません。値が指定されていない場合、コネクタはすべてのイベントタイプを処理します。 特定のタイプを除外するには、先頭に感嘆符を付けます( |
Max Hours Backwards |
必須。 アラートを取得する現在までの時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 デフォルト値は |
Max Issues To Fetch |
必須。 コネクタのイテレーションごとに処理する問題の数。 最大値は |
Disable Overflow |
省略可。 選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。 デフォルトで選択されています。 |
Use dynamic list as a blocklist |
必須。 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Verify SSL |
必須。 選択すると、Google Threat Intelligence サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
コネクタ イベント
Google Threat Intelligence - ASM Issues Connector イベントの例は次のとおりです。
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence - Livehunt Connector
Google Threat Intelligence - Livehunt コネクタを使用して、Google Threat Intelligence から Livehunt 通知とその関連ファイルに関する情報を取得します。動的リストを操作するには、rule_name パラメータを使用します。
コネクタの入力
Google Threat Intelligence - Livehunt コネクタには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 Google Threat Intelligence インスタンスの API ルート。 デフォルト値は |
API Key |
必須。 Google Threat Intelligence API キー。 |
Max Hours Backwards |
必須。 アラートを取得する現在までの時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 デフォルト値は |
Max Notifications To Fetch |
必須。 コネクタの反復処理ごとに処理する通知の数。 デフォルト値は |
Disable Overflow |
省略可。 選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。 デフォルトで選択されています。 |
Use dynamic list as a blocklist |
必須。 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Verify SSL |
必須。 選択すると、Google Threat Intelligence サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
コネクタルール
Google Threat Intelligence - Livehunt コネクタはプロキシをサポートしています。
コネクタ イベント
Google Threat Intelligence - Livehunt Connector イベントの例は次のとおりです。
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。