Integre a Google Threat Intelligence com o Google SecOps
Este documento explica como integrar a Google Threat Intelligence com o Google Security Operations (Google SecOps).
Versão da integração: 1.0
Antes de começar
Para usar a integração, precisa de uma chave da API. Para mais informações, consulte o artigo Chaves da API Google Threat Intelligence
Parâmetros de integração
A integração do Google Threat Intelligence requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor predefinido é
|
API Key |
Obrigatório. A chave da API Google Threat Intelligence. |
ASM Project Name |
Opcional. O nome do projeto do Mandiant Attack Surface Management (ASM) a usar na integração. Este parâmetro é necessário para executar as ações Search ASM Entities, Search ASM Issues e Update ASM Issue. Se não for definido nenhum valor, são devolvidos apenas alertas de coleções no projeto principal. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Google Threat Intelligence. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Adicionar comentário à entidade
Use a ação Add Comment To Entity para adicionar comentários a entidades do Google SecOps na Google Threat Intelligence.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Add Comment To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. Um comentário a adicionar a todas as entidades suportadas. |
Resultados da ação
A ação Adicionar comentário à entidade fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Comment To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Comment To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar voto à entidade
Use a ação Add Comment To Entity para adicionar votos a entidades do Google SecOps na Google Threat Intelligence.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Add Vote To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. Um voto para adicionar a todas as entidades suportadas. Os valores possíveis são os seguintes:
O valor predefinido é |
Resultados da ação
A ação Add Vote To Entity fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Vote To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Vote To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Transferir ficheiro
Use a ação Transferir ficheiro para transferir um ficheiro da Google Threat Intelligence.
Esta ação é executada na entidade Hash do Google SecOps.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Dados de ações
A ação Transferir ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta onde são armazenados os ficheiros transferidos. |
Overwrite |
Obrigatório. Se estiver selecionada, a ação substitui um ficheiro existente pelo novo ficheiro se os nomes dos ficheiros forem idênticos. Selecionado por predefinição. |
Resultados da ação
A ação Transferir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Transferir ficheiro:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Transferir ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Enriquecer entidades
Use a ação Enrich Entities para enriquecer entidades com informações da Google Threat Intelligence.
Esta ação suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainHashHostnameIP AddressURLCVEThreat Actor
Dados de ações
A ação Enrich Entities requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Resubmit Entity |
Opcional. Se estiver selecionada, a ação volta a enviar entidades para análise em vez de usar as informações das entidades da execução da ação anterior. Este parâmetro só suporta as entidades Não selecionado por predefinição. |
Resubmit After (Days) |
Opcional. O número de dias que a ação deve esperar antes de
enviar novamente a entidade. Para usar este parâmetro, selecione o parâmetro
O valor predefinido é
Este parâmetro só suporta as entidades |
Sandbox |
Opcional. Uma lista de nomes de sandbox separados por vírgulas para analisar, como Este parâmetro só suporta a entidade Se não definir este parâmetro, a ação usa o sandbox
predefinido, que é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação obtém a análise da sandbox para a entidade e cria uma secção separada para cada sandbox no resultado JSON. A ação devolve dados para as caixas de areia que configurou no parâmetro Este parâmetro só
suporta a entidade Não selecionado por predefinição. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação devolve informações sobre as técnicas e as táticas MITRE relacionadas. Este parâmetro só suporta a entidade Não selecionado por predefinição. |
Lowest MITRE Technique Severity |
Opcional. A gravidade da técnica MITRE mais baixa a devolver. A ação trata a gravidade Este parâmetro só suporta a entidade Os valores possíveis são os seguintes:
O valor predefinido é |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários sobre a entidade. Este parâmetro suporta as seguintes entidades:
|
Max Comments To Return |
Opcional. O número máximo de comentários a devolver para cada execução de ação. O valor predefinido é |
Resultados da ação
A ação Enrich Entities fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Link da parede da caixa
A ação Enrich Entities pode devolver os seguintes links:
IOC:
https://www.virustotal.com/gui/ENTITY_TYPE/ENTITY/detectionInterveniente responsável pela ameaça:
https://www.virustotal.com/gui/collection/threat-actor--IDVulnerabilidade:
https://www.virustotal.com/gui/collection/vulnerability--ID
Tabela de enriquecimento de entidades
- A ação Enriquecer entidades suporta o seguinte enriquecimento de entidades para endereços IP:
- A ação Enrich Entities suporta o seguinte enriquecimento de entidades para URL:
- A ação Enrich Entities suporta o seguinte enriquecimento de entidades para Hash:
- A ação Enriquecer entidades suporta o seguinte enriquecimento de entidades para Domínio/nome de anfitrião:
- A ação Enrich Entities suporta o seguinte enriquecimento de entidades para Threat Actor:
- A ação Enrich Entities suporta o seguinte enriquecimento de entidades para Vulnerability:
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando estiver disponível no resultado JSON. |
GTI_owner |
as_owner |
Quando estiver disponível no resultado JSON. |
GTI_asn |
asn |
Quando estiver disponível no resultado JSON. |
GTI_continent |
continent |
Quando estiver disponível no resultado JSON. |
GTI_country |
country |
Quando estiver disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando estiver disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando estiver disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando estiver disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando estiver disponível no resultado JSON. |
GTI_certificate_valid_not_after |
validity/not_after |
Quando estiver disponível no resultado JSON. |
GTI_certificate_valid_not_before |
validity/not_before |
Quando estiver disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando estiver disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando estiver disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando estiver disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando estiver disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando estiver disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando estiver disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando estiver disponível no resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando estiver disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando estiver disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando estiver disponível no resultado JSON. |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando estiver disponível no resultado JSON. |
GTI_title |
title |
Quando estiver disponível no resultado JSON. |
GTI_last_http_response_code |
last_http_response_code |
Quando estiver disponível no resultado JSON. |
GTI_last_http_response_content_length |
last_http_response_content_length |
Quando estiver disponível no resultado JSON. |
GTI_threat_names |
Comma-separated list of threat_names |
Quando estiver disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando estiver disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando estiver disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando estiver disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando estiver disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando estiver disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando estiver disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando estiver disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando estiver disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando estiver disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando estiver disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando estiver disponível no resultado JSON. |
GTI_normalised_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando estiver disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando estiver disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando estiver disponível no resultado JSON. |
GTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando estiver disponível no resultado JSON. |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando estiver disponível no resultado JSON. |
GTI_magic |
magic |
Quando estiver disponível no resultado JSON. |
GTI_md5 |
md5 |
Quando estiver disponível no resultado JSON. |
GTI_sha1 |
sha1 |
Quando estiver disponível no resultado JSON. |
GTI_sha256 |
sha256 |
Quando estiver disponível no resultado JSON. |
GTI_ssdeep |
ssdeep |
Quando estiver disponível no resultado JSON. |
GTI_tlsh |
tlsh |
Quando estiver disponível no resultado JSON. |
GTI_vhash |
vhash |
Quando estiver disponível no resultado JSON. |
GTI_meaningful_name |
meaningful_name |
Quando estiver disponível no resultado JSON. |
GTI_magic |
Comma-separated list of names |
Quando estiver disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando estiver disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando estiver disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando estiver disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando estiver disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando estiver disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando estiver disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando estiver disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando estiver disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando estiver disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando estiver disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando estiver disponível no resultado JSON. |
GTI_normalized_categories |
CSV of gti_assessment.contributing_factors.normalised_categories |
Quando estiver disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando estiver disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando estiver disponível no resultado JSON. |
GTI_exiftool_{json_key} |
GTI_exiftool_{json_key.value} |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_id |
id |
Quando estiver disponível no resultado JSON. |
GTI_harmless_count |
last_analysis_stats/harmless |
Quando estiver disponível no resultado JSON. |
GTI_malicious_count |
last_analysis_stats/malicious |
Quando estiver disponível no resultado JSON. |
GTI_suspicious_count |
last_analysis_stats/suspicious |
Quando estiver disponível no resultado JSON. |
GTI_undetected_count |
last_analysis_stats/undetected |
Quando estiver disponível no resultado JSON. |
GTI_reputation |
reputation |
Quando estiver disponível no resultado JSON. |
GTI_tags |
Comma-separated list of tags |
Quando estiver disponível no resultado JSON. |
GTI_malicious_vote_count |
total_votes/malicious |
Quando estiver disponível no resultado JSON. |
GTI_harmless_vote_count |
total_votes/harmless |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
report_link |
Quando estiver disponível no resultado JSON. |
GTI_widget_link |
widget_url |
Quando estiver disponível no resultado JSON. |
GTI_threat_score |
gti_assessment.threat_score.value |
Quando estiver disponível no resultado JSON. |
GTI_severity |
gti_assessment.severity.value |
Quando estiver disponível no resultado JSON. |
GTI_normalized_categories |
CSV of
gti_assessment.contributing_factors.normalised_categories |
Quando estiver disponível no resultado JSON. |
GTI_verdict |
gti_assessment.verdict.value |
Quando estiver disponível no resultado JSON. |
GTI_description |
gti_assessment.description |
Quando estiver disponível no resultado JSON. |
GGTI_category_{attributes/categories/json key} |
{attributes/categories/json key value} |
Quando estiver disponível no resultado JSON. |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_motivations |
Csv of motivations/name |
Quando estiver disponível no resultado JSON. |
GTI_aliases |
Csv of alt_names_details/value |
Quando estiver disponível no resultado JSON. |
GTI_industries |
Csv of targeted_industries/value |
Quando estiver disponível no resultado JSON. |
GTI_malware |
Csv of malware/name |
Quando estiver disponível no resultado JSON. |
GTI_source_region |
CSV of source_regions_hierarchy/country |
Quando estiver disponível no resultado JSON. |
GTI_target_region |
Csv of targeted_regions_hierarchy/country |
Quando estiver disponível no resultado JSON. |
GTI_origin |
origin |
Quando estiver disponível no resultado JSON. |
GTI_description |
description |
Quando estiver disponível no resultado JSON. |
GTI_last_activity_time |
last_activity_time |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
We craft it. |
Quando estiver disponível no resultado JSON. |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GTI_sources |
Csv of source_name |
Quando estiver disponível no resultado JSON. |
GTI_exploitation_state |
exploitation_state |
Quando estiver disponível no resultado JSON. |
GTI_date_of_disclosure |
date_of_disclosure |
Quando estiver disponível no resultado JSON. |
GTI_vendor_fix_references |
vendor_fix_references/url |
Quando estiver disponível no resultado JSON. |
GTI_exploitation_vectors |
Csv of exploitation_vectors |
Quando estiver disponível no resultado JSON. |
GTI_description |
description |
Quando estiver disponível no resultado JSON. |
GTI_risk_rating |
risk_rating |
Quando estiver disponível no resultado JSON. |
GTI_available_mitigation |
CSV of available_mitigation |
Quando estiver disponível no resultado JSON. |
GTI_exploitation_consequence |
exploitation_consequence |
Quando estiver disponível no resultado JSON. |
GTI_report_link |
We craft it. |
Quando estiver disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra a saída do resultado JSON para IOCs (entidades IP, Hash, URL, Domain e Hostname) recebidos quando usa a ação Enrich Entities:
{
[
{
"Entity": "8b2e701e91101955c73865589a4c72999aeabc11043f7xxxxx",
"EntityResult": {
"is_risky": true,
"attributes": {
"authentihash": "ad56160b465f7bd1e7568640397f01fc4f8819ce6f0c141569xxxx",
"creation_date": 1410950077,
"downloadable": true,
"exiftool": {
"CharacterSet": "Unicode",
"CodeSize": "547xx",
"CompanyName": "MySQL, AB",
"EntryPoint": "0x39xx",
"FileDescription": "WinMerge Shell Integration",
"FileFlagsMask": "0x00xx",
"FileOS": "Windows NT 32-bit",
"FileSubtype": "0",
"FileType": "Win32 EXE",
"FileTypeExtension": "exe",
"FileVersion": "1.0.1.6",
"FileVersionNumber": "1.0.1.6",
"ImageFileCharacteristics": "Executable, 32-bit",
"ImageVersion": "0.0",
"InitializedDataSize": "199168",
"InternalName": "ShellExtension",
"LanguageCode": "English (U.S.)",
"LegalCopyright": "Copyright 2003-2013",
"LinkerVersion": "10.0",
"MIMEType": "application/octet-stream",
"MachineType": "Intel 386 or later, and compatibles",
"OSVersion": "5.1",
"ObjectFileType": "Executable application",
"OriginalFileName": "ShellExtension",
"PEType": "PE32",
"ProductName": "ShellExtension",
"ProductVersion": "1.0.1.6",
"ProductVersionNumber": "1.0.1.6",
"Subsystem": "Windows GUI",
"SubsystemVersion": "5.1",
"TimeStamp": "2014:09:17 10:34:37+00:00",
"UninitializedDataSize": "0"
},
"first_submission_date": 1411582812,
"last_analysis_date": 1606903659,
"last_analysis_results": {
"ALYac": {
"category": "malicious",
"engine_name": "ALYac",
"engine_update": "20201202",
"engine_version": "1.1.1.5",
"method": "blacklist",
"result": "Trojan.Foreign.Gen.2"
}
},
"last_analysis_stats": {
"confirmed-timeout": 0,
"failure": 0,
"harmless": 0,
"malicious": 61,
"suspicious": 0,
"timeout": 0,
"type-unsupported": 5,
"undetected": 10
},
"last_modification_date": 1606911051,
"last_submission_date": 1572934476,
"magic": "PE32 executable for MS Windows (GUI) Intel 80386 32-bit",
"md5": "9498ff82a64ff445398c8426exxxx",
"meaningful_name": "ShellExtension",
"names": [
"ShellExtension",
"ZeuS_binary_9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx.exe",
"9498ff82a64ff445398c8426exxxx",
"2420800",
"8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxx.exe",
"sigchxxx.exe",
"malwxxx.exe"
],
"reputation": -49,
"sha1": "36f9ca40b3ce96fcee1cf1d4a722293553xxxx",
"sha256": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1cxxxx",
"sigma_analysis_stats": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
},
"sigma_analysis_summary": {
"Sigma Integrated Rule Set (GitHub)": {
"critical": 0,
"high": 0,
"low": 4,
"medium": 0
}
},
"signature_info": {
"copyright": "Copyright 2003-2013",
"description": "WinMerge Shell Integration",
"file version": "1.0.1.6",
"internal name": "ShellExtension",
"original name": "ShellExtension",
"product": "ShellExtension"
},
"size": 254976,
"ssdeep": "6144:Gz90qLc1zR98hUb4UdjzEwG+vqAWiR4EXePbix67CNzjX:Gz90qLc1lWhUbhVqxxxx",
"tags": [
"peexe",
"runtime-modules",
"direct-cpu-clock-access"
],
"times_submitted": 8,
"tlsh": "T1DB44CF267660D833D0DF94316C75C3F9673BFC2123215A6B6A4417699E307Exxxx",
"total_votes": {
"harmless": 2,
"malicious": 7
},
"trid": [
{
"file_type": "Win32 Executable MS Visual C++ (generic)",
"probability": 54.3
},
{
"file_type": "Win16 NE executable (generic)",
"probability": 12.2
},
{
"file_type": "Win32 Dynamic Link Library (generic)",
"probability": 11.4
},
{
"file_type": "Win32 Executable (generic)",
"probability": 7.8
},
{
"file_type": "OS/2 Executable (generic)",
"probability": 3.5
}
],
"type_description": "Win32 EXE",
"type_extension": "exe",
"type_tag": "peexe",
"unique_sources": 8,
"vhash": "025056657d755510804011z9005b9z25z1xxxx"
},
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx"
},
"type": "file",
"comments": [
{
"attributes": {
"date": 1595402790,
"html": "#malware #Zeus<br /><br />Full genetic report from Intezer Analyze:<br />https://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx<br /><br />#IntezerAnalyze",
"tags": [
"malware",
"zeus",
"intezeranalyze"
],
"text": "#malware #Zeus\n\nFull genetic report from Intezer Analyze:\nhttps://analyze.intezer.com/#/files/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx\n\n#IntezerAnalyze",
"votes": {
"abuse": 0,
"negative": 0,
"positive": 0
}
},
"id": "f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxxx",
"links": {
"self": "https://www.virustotal.com/api/v3/comments/f-8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdbxxxx-9945xxx"
},
"type": "comment"
}
],
"widget_url": "https://www.virustotal.com/ui/widget/html/OGIyZTcwMWU5MTEwMTk1NWM3Mzg2NTU4OWE0YzcyOTk5YWVhYmMxMTA0M2Y3MTJlMDVmZGIxYzE3YzRhYjE5YXx8ZmlsZXx8eyJiZDEiOiAiIzRkNjM4NSIsICJiZzEiOiAiIzMxM2Q1YSIsICJiZzIiOiAiIzIyMmM0MiIsICJmZzEiOiAiI2ZmZmZmZiIsICJ0eXBlIjogImRlZmF1bHQifXx8ZnVsbHx8Zm91bmR8fDE2NDY2NzIzOTN8fGI5OWQ3MTY5MGIzZGY5MmVjMWExNTZlMmQ1MjM3OWJhMGMxYzgyZTAwMjVkMTJmZjg5MWM2YzdjNxxxxxxxxxx",
"related_mitre_tactics": [
{
"id": "TA0002",
"name": "Execution"
}
],
"related_mitre_techniques": [
{
"id": "T1129",
"name": "Shared Modules",
"severity": "INFO"
}
],
"sandboxes_analysis": {
"VirusTotal Jujubox": {
"attributes": {
"registry_keys_opened": [
"HKCU\\\\SOFTWARE\\\\Microsoft",
"SOFTWARE\\\\Microsoft\\\\Xuoc"
],
"calls_highlighted": [
"GetTickCount"
],
"tags": [
"DIRECT_CPU_CLOCK_ACCESS",
"RUNTIME_MODULES"
],
"files_written": [
"C:\\\\Users\\\\<USER>\\\\AppData\\\\Roaming\\\\Uwcyi\\\\xeysv.exe"
],
"mutexes_opened": [
"Local\\\\{159989F5-EED2-E258-7F7B-44xxxxxxxxxx}"
],
"modules_loaded": [
"ADVAPI32.dll"
],
"analysis_date": 1593005327,
"sandbox_name": "VirusTotal Jujubox",
"has_html_report": true,
"behash": "891a0af66a031b044dce08xxxxxxxxxx",
"has_evtx": false,
"text_highlighted": [
"C:\\\\Windows\\\\system32\\\\cmd.exe"
],
"last_modification_date": 1593005327,
"has_memdump": false,
"mutexes_created": [
"Global\\\\{5995CC4B-E3B3-EBC8-9F85-4Bxxxxxxxxxx}"
],
"has_pcap": true,
"files_opened": [
"C:\\\\Windows\\\\system32\\\\SXS.DLL"
]
},
"type": "file_behaviour",
"id": "8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox",
"links": {
"self": "https://www.virustotal.com/api/v3/file_behaviours/8b2e701e91101955c73865589a4c72999aeabc11043f712e05fdb1xxxxxxxxxx_VirusTotal Jujubox"
}
}
}
}
}
],
"is_risky": true
}
O exemplo seguinte mostra o resultado JSON para vulnerabilidades recebidas quando usa a ação Enrich Entities:
{
"Entity": "CVE-2024-49138",
"EntityResult": {
"targeted_regions": [],
"cwe": {
"title": "Heap-based Buffer Overflow",
"id": "CWE-122"
},
"exploitation_consequence": "Privilege Escalation",
"source_regions_hierarchy": [],
"name": "CVE-2024-49138",
"cisa_known_exploited": {
"ransomware_use": "Unknown",
"added_date": 1733788800,
"due_date": 1735603200
},
"analysis": "\n\nOn Dec. 10, 2024, Microsoft stated exploitation of this vulnerability was detected in the wild. For more information, please see [Microsoft's advisory.](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138)\n\n",
"workarounds": [],
"last_modification_date": 1738271466,
"description": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"sources": [
{
"title": null,
"name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"source_description": null,
"unique_id": null,
"url": "https://github.com/cisagov/vulnrichment/blob/develop/2024/49xxx/CVE-2024-49138.json",
"md5": "d6f2c868480ebbdb413eb2d57524b324",
"cvss": {
"cvssv2_0": null,
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": null,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
},
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733852988
},
{
"title": "Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability",
"name": "CISA",
"source_description": "CISA's Known Exploited Vulnerabilities Catalog",
"unique_id": null,
"url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog",
"md5": null,
"cvss": {
"cvssv2_0": null,
"cvssv3_x": null,
"cvssv3_x_translated": null,
"cvssv4_x": null
},
"published_date": 1733788800
}
],
"mitigations": [],
"cve_id": "CVE-2024-49138",
"creation_date": 1733853672,
"detection_names": [],
"risk_factors": [
"Local Access Required",
"User Permissions Required"
],
"alt_names": [],
"exploit_availability": "Publicly Available",
"cpes": [
{
"end_rel": "<",
"start_rel": null,
"start_cpe": null,
"end_cpe": {
"version": "10.0.10240.20857 x64",
"product": "Windows 10 1507",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_10_1507:10.0.10240.20857:*:*:*:*:*:x64:*"
}
}
{
"end_rel": "<",
"start_rel": ">=",
"start_cpe": {
"version": "10.0.0",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.0:*:*:*:*:*:*:*"
},
"end_cpe": {
"version": "10.0.20348.2908",
"product": "Windows Server 2022",
"vendor": "Microsoft",
"uri": "cpe:2.3:o:microsoft:windows_server_2022:10.0.20348.2908:*:*:*:*:*:*:*"
}
}
],
"available_mitigation": [
"Patch"
],
"malware_roles": [],
"counters": {
"files": 1,
"domains": 0,
"ip_addresses": 0,
"urls": 0,
"iocs": 1,
"subscribers": 1,
"attack_techniques": 0
},
"collection_links": [],
"domains_count": 0,
"priority": "P0",
"files_count": 1,
"urls_count": 0,
"alt_names_details": [],
"affected_systems": [],
"operating_systems": [],
"first_seen_details": [],
"targeted_informations": [],
"recent_activity_summary": [
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0,
0
],
"merged_actors": [],
"date_of_disclosure": 1733788800,
"tags": [
"media_attention",
"observed_in_the_wild",
"has_exploits",
"was_zero_day"
],
"last_seen_details": [],
"epss": {
"percentile": 0.25741,
"score": 0.00054
},
"ip_addresses_count": 0,
"autogenerated_tags": [],
"private": true,
"executive_summary": "\n\n* A Heap-based Buffer Overflow vulnerability exists that, when exploited, allows a local, privileged attacker to escalate privileges.\n* This vulnerability has been confirmed to be exploited in the wild. Weaponized code is publicly available.\n* Mandiant Intelligence considers this a Medium-risk vulnerability due to the potential for privilege escalation, offset by local access requirements and user permission requirements.\n* Mitigation options include a patch.\n",
"summary_stats": {},
"threat_scape": [],
"exploitation_state": "Confirmed",
"version_history": [
{
"version_notes": [
"priority: Added"
],
"date": 1739529103
}
],
"origin": "Google Threat Intelligence",
"references_count": 0,
"capabilities": [],
"targeted_industries": [],
"motivations": [],
"predicted_risk_rating": "MEDIUM",
"cvss": {
"cvssv3_x": {
"base_score": 7.8,
"temporal_score": 6.8,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C"
}
},
"mve_id": "MVE-2024-33694",
"status": "COMPUTED",
"exploitation_vectors": [
"Unspecified Local Vector"
],
"risk_rating": "MEDIUM",
"tags_details": [
{
"last_seen": null,
"description": null,
"value": "was_zero_day",
"confidence": "possible",
"first_seen": null
}
],
"mati_genids_dict": {
"cve_id": "vulnerability--012f19f2-00d0-58c8-b981-8b6ce04a8f43",
"mve_id": "vulnerability--c5ef5265-21d1-57ac-b960-5bf56f37d63f",
"report_id": null
},
"technologies": [],
"exploitation": {
"exploit_release_date": 1736899200,
"first_exploitation": 1733788800,
"tech_details_release_date": null
},
"targeted_industries_tree": [],
"subscribers_count": 1,
"intended_effects": [],
"collection_type": "vulnerability",
"field_sources": [
{
"field": "cvss.cvssv3_x",
"source": {
"sources": [],
"source_url": "",
"source_name": "Cybersecurity and Infrastructure Security Agency (CISA)",
"field_type": "Ranked"
}
},
{
"field": "exploitation_state",
"source": {
"sources": [],
"source_url": "",
"source_name": "Microsoft Corp.",
"field_type": "Severity"
}
}
],
"vendor_fix_references": [
{
"title": "Windows Common Log File System Driver Elevation of Privilege Vulnerability",
"name": "Microsoft Corp.",
"source_description": null,
"unique_id": null,
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138",
"md5": null,
"cvss": null,
"published_date": 1733817600
}
],
"targeted_regions_hierarchy": [],
"top_icon_md5": [],
"aggregations": {}
}
}
O exemplo seguinte mostra o resultado JSON da saída para Atores de ameaças recebidos quando usa a ação Enrich Entities:
{
"Entity": "APT42",
"EntityResult": {
"threat_actor_id": "123123"
"affected_systems": [],
"targeted_regions_hierarchy": [
{
"region": "Oceania",
"sub_region": "Australia and New Zealand",
"country": "Australia",
"country_iso2": "AU",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1630467976,
"description": null,
"source": null
},
{
"region": "Europe",
"sub_region": "Western Europe",
"country": "Austria",
"country_iso2": "AT",
"confidence": "confirmed",
"first_seen": 1630467976,
"last_seen": 1705487116,
"description": null,
"source": null
}
],
"recent_activity_relative_change": -0.6340275969799531,
"subscribers_count": 30,
"version_history": [],
"field_sources": [],
"detection_names": [],
"references_count": 82,
"files_count": 1182,
"workarounds": [],
"threat_scape": [],
"alt_names_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Avertium)"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "APT35 (Check Point)"
}
],
"description": "APT42 is an Iranian state-sponsored cyber espionage group tasked with conducting information collection and surveillance operations against individuals and organizations of strategic interest to the Iranian Government. The group's operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. The group has also deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.",
"creation_date": 1428278400,
"tags": [],
"private": true,
"available_mitigation": [],
"name": "APT42",
"origin": "Google Threat Intelligence",
"mitigations": [],
"merged_actors": [
{
"description": "threat-actor--a5ccf0a6-79ab-57cc-98b3-f8ee2e123071",
"first_seen": 1691519658,
"last_seen": 1691519658,
"confidence": "confirmed",
"value": "UNC4391"
},
{
"description": "threat-actor--20ea26fa-d7ef-51c1-905f-28a2982a0bb5",
"first_seen": 1659365630,
"last_seen": 1659365630,
"confidence": "confirmed",
"value": "UNC788"
},
{
"description": "threat-actor--f3e232d1-dfea-55f5-b1f0-e8e09c035ee2",
"first_seen": 1704210115,
"last_seen": 1704210115,
"confidence": "confirmed",
"value": "UNC4980"
},
{
"description": "threat-actor--c7672fb1-f752-54fd-853e-5cbd49dc8187",
"first_seen": 1670883116,
"last_seen": 1670883116,
"confidence": "confirmed",
"value": "UNC4248"
},
{
"description": "threat-actor--e5f884bd-cb76-5bed-a351-7984d6023b4a",
"first_seen": 1682448032,
"last_seen": 1682448032,
"confidence": "confirmed",
"value": "UNC4689"
},
{
"description": "threat-actor--a28ebf5f-a384-55c0-a544-c5e4df56b136",
"first_seen": 1693336040,
"last_seen": 1693336040,
"confidence": "confirmed",
"value": "UNC4423"
},
{
"description": "threat-actor--feb78504-3e56-5217-ad21-7dc9dab8974b",
"first_seen": 1708987865,
"last_seen": 1708987865,
"confidence": "confirmed",
"value": "UNC2440"
},
{
"description": "threat-actor--d0f848d6-d92f-5147-9bf8-a3b5e93092ff",
"first_seen": 1605743032,
"last_seen": 1605743032,
"confidence": "confirmed",
"value": "UNC2013"
},
{
"description": "threat-actor--284c29d0-575d-5410-a7f2-dab16e2a5863",
"first_seen": 1605139211,
"last_seen": 1605139211,
"confidence": "confirmed",
"value": "UNC1896"
},
{
"description": "threat-actor--8d09d09c-6a09-56b5-86ad-c76f3a006d24",
"first_seen": 1605744560,
"last_seen": 1605744560,
"confidence": "confirmed",
"value": "UNC1137"
},
{
"description": "threat-actor--9d0ac442-9a26-54d7-9061-af1ff9080071",
"first_seen": 1605744040,
"last_seen": 1605744040,
"confidence": "confirmed",
"value": "UNC978"
},
{
"description": "threat-actor--1aa4e976-a6d0-57b8-861a-478d767f10f5",
"first_seen": 1605137808,
"last_seen": 1605137808,
"confidence": "confirmed",
"value": "UNC1900"
},
{
"description": "threat-actor--237842b5-7aa3-5674-8c06-257d0f38c4d6",
"first_seen": 1605136271,
"last_seen": 1605136271,
"confidence": "confirmed",
"value": "UNC2086"
},
{
"description": "threat-actor--bfdfb34f-5dea-5864-b80d-02b9cfeeb6d2",
"first_seen": 1605128797,
"last_seen": 1605128797,
"confidence": "confirmed",
"value": "UNC2087"
},
{
"description": "threat-actor--cf4e7cfa-2707-5a4a-a543-ef32cd4f5d66",
"first_seen": 1692622313,
"last_seen": 1692622313,
"confidence": "confirmed",
"value": "UNC4439"
},
{
"description": "threat-actor--60cccdf6-fad7-5706-92df-35aa6111923d",
"first_seen": 1728393601,
"last_seen": 1728393601,
"confidence": "confirmed",
"value": "UNC5246"
}
],
"intended_effects": [],
"urls_count": 2617,
"targeted_industries_tree": [
{
"industry_group": "Chemicals & Materials",
"industry": null,
"confidence": "confirmed",
"first_seen": 1665304135,
"last_seen": 1683023019,
"description": null,
"source": null
}
],
"alt_names": [
"APT35 (Google)",
"Charmingcypress (Volexity)",
"Voidbalaur (Trend Micro)",
"Yellow Garuda (PwC)",
"GreenCharlie (Recorded Future)",
"Cobalt Illusion (Dell SecureWorks)",
"UNC788 (Facebook)",
"Charmingkitten (Kaspersky)",
"Charming Kitten (Certfa)",
"APT35 (Avertium)",
"Charming Kitten (CrowdStrike)",
"TA453 (Proofpoint)",
"Charming Kitten (ClearSky)",
"Charmingkitten (Bitdefender)",
"TAG-56 (Recorded Future)",
"ITG18 (IBM)",
"Charmingkitten (Volexity)",
"Phosphorus (Check Point)",
"APT35 (Check Point)",
"CALANQUE (Google TAG)",
"Mint Sandstorm (Microsoft)"
],
"first_seen": 1428278400,
"counters": {
"files": 1182,
"domains": 3888,
"ip_addresses": 1670,
"urls": 2617,
"iocs": 9357,
"subscribers": 30,
"attack_techniques": 127
},
"collection_type": "threat-actor",
"motivations": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Espionage"
},
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "Surveillance"
}
],
"collection_links": [],
"targeted_regions": [
"GB",
"BE",
"AT",
"IL",
"LB",
"UA",
"EG",
"AU",
"AZ",
"IT",
"US",
"IR",
"BG",
"TR",
"AE",
"NO",
"MY"
],
"source_regions_hierarchy": [
{
"region": "Asia",
"sub_region": "Southern Asia",
"country": "Iran, Islamic Republic Of",
"country_iso2": "IR",
"confidence": "confirmed",
"first_seen": null,
"last_seen": null,
"description": null,
"source": null
}
],
"malware_roles": [],
"last_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2025-03-05T17:55:03.551Z"
}
],
"domains_count": 3888,
"operating_systems": [],
"source_region": "IR",
"targeted_informations": [],
"risk_factors": [],
"tags_details": [],
"ip_addresses_count": 1670,
"capabilities": [],
"targeted_industries": [],
"vulnerable_products": "",
"technologies": [],
"recent_activity_summary": [
1341,
1083,
839,
656,
852,
1136,
1693,
1485,
1304,
767,
893,
772,
1169,
67
],
"vendor_fix_references": [],
"last_seen": 1741197303,
"autogenerated_tags": [
"upx",
"cve-2004-0790",
"contains-elf",
"downloads-zip",
"cve-2021-26084",
"cve-1999-0016",
"cve-2018-10561",
"cve-2021-44228",
"downloads-elf",
"contains-embedded-js",
"cve-2005-0068",
"base64-embedded",
"bobsoft",
"cve-2022-30190",
"opendir",
"attachment",
"cve-2014-3931",
"cve-2020-7961",
"contains-pe",
"cve-2021-1675",
"downloads-pe",
"downloads-doc",
"cve-2017-0199",
"themida"
],
"exploitation_vectors": [],
"first_seen_details": [
{
"description": null,
"first_seen": null,
"last_seen": null,
"confidence": "confirmed",
"value": "2015-04-06T00:00:00Z"
}
],
"last_modification_date": 1741314287,
"summary_stats": {
"first_submission_date": {
"min": 1234800101.0,
"max": 1741187401.0,
"avg": 1689528709.5449305
},
"last_submission_date": {
"min": 1366635040.0,
"max": 1741328711.0,
"avg": 1714984562.318413
},
"files_detections": {
"min": 0.0,
"max": 70.0,
"avg": 26.672566371681413
},
"urls_detections": {
"min": 0.0,
"max": 19.0,
"avg": 7.352873563218389
}
},
"status": "COMPUTED",
"top_icon_md5": [
"b8fabacf5f0ce868656ac7a1d38c7c99",
"4aa5f091c9e667deb2123284461493e7",
"03234c84e6474d7cc9ecf39b9812fac4"
]
}
}
Mensagens de saída
A ação Enrich Entities pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Entities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriqueça IOCs
Use a ação Enriquecer IOCs para enriquecer os indicadores de comprometimento (IOCs) com informações da Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Enrich IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IOC a enriquecer. Os valores possíveis são os seguintes:
O valor predefinido é |
IOCs |
Obrigatório. Uma lista separada por vírgulas de IOCs para carregar dados. |
Resultados da ação
A ação Enrich IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enrich IOCs pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Enriquecer IOCs pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich IOCs:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Enrich IOCs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar pesquisa de IOC
Use a ação Executar pesquisa de IOCs para executar a pesquisa de IOCs no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute IOC Search requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Search Query |
Obrigatório. Uma consulta de pesquisa a executar, como
|
Max Results To Return |
Opcional. O número máximo de resultados a devolver para cada execução de ação. O valor máximo é O valor
predefinido é |
Resultados da ação
A ação Executar pesquisa de IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Execute IOC Search:
{
"attributes":{
"type_description":"Android",
"tlsh":"T156B6128BF7885D2BC0B78136899A1136B76A8D254B43A3473548772C3EB32D44F6DBD8",
"vhash":"8d145b883d0a7f814ba5b130454fbf36",
"exiftool":{
"ZipRequiredVersion":"20",
"MIMEType":"application/zip",
"ZipCRC":"0xf27716ce",
"FileType":"ZIP",
"ZipCompression":"Deflated",
"ZipUncompressedSize":"46952",
"ZipCompressedSize":"8913",
"FileTypeExtension":"zip",
"ZipFileName":"Example.xml",
"ZipBitFlag":"0x0800",
"ZipModifyDate":"2023:06:11 17:54:18"
},
"type_tags":[
"executable",
"mobile",
"android",
"apk"
],
"crowdsourced_yara_results":["RESULTS_OMITTED"]
"magic":"Zip archive data, at least v1.0 to extract, compression method=store",
"permhash":"a3e0005ad57d3ff03e09e0d055ad10bcf28a58a04a8c2aeccdad2b9e9bc52434",
"meaningful_name":"Example",
"reputation":0
},
"type":"file",
"id":"FILE_ID",
"links":{
"self":"https://www.virustotal.com/api/v3/files/FILE_ID"
}
}
Mensagens de saída
A ação Executar pesquisa de IOCs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Execute IOC Search". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Execute IOC Search:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get ASM Entity Details
Use a ação Get ASM Entity Details para obter informações sobre uma entidade do ASM no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get ASM Entity Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity ID |
Obrigatório. Uma lista de IDs de entidades separados por vírgulas para obter detalhes. |
Resultados da ação
A ação Get ASM Entity Details fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get ASM Entity Details:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "example_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details":
<! CONTENT OMITTED —>
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "Example, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Example Services"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
{
"tags": [],
"id": 8620,
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Nginx | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensagens de saída
A ação Get ASM Entity Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Get ASM Entity Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes do gráfico
Use a ação Get Graph Details para obter informações detalhadas sobre os gráficos no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Graph Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista de IDs de gráficos separados por vírgulas para obter detalhes. |
Max Links To Return |
Obrigatório. O número máximo de links a devolver para cada gráfico. O valor predefinido é |
Resultados da ação
A ação Get Graph Details fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Graph Details pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links GRAPH_ID do gráfico
Colunas da tabela:
- Fonte
- Alvo
- Tipo de ligação
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Get Graph Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Graph Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha IOCs relacionados
Use a ação Get Related IOCs para obter informações sobre IOCs relacionados com entidades através de informações da Google Threat Intelligence.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP addressURLHostnameDomainHashThreat Actor
Dados de ações
A ação Get Related IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Types |
Obrigatório. Uma lista separada por vírgulas de IOCs a extrair. Os valores possíveis são os seguintes: |
Max IOCs To Return |
Obrigatório. O número máximo de IOCs a devolver para os tipos de IOC selecionados para cada entidade. O valor predefinido é |
Resultados da ação
A ação Get Related IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related IOCs:
{
"Entity": "ENTITY",
"EntityResult": {
"hash": [
"HASH"
],
"url": [
"URL"
],
"domain": [
"DOMAIN"
],
"ip": [
"IP_ADDRESS"
]
}
}
Mensagens de saída
A ação Get Related IOCs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related IOCs". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade com o Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Failed to connect to the Google Threat Intelligence server!
Error is ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar entidades ASM
Use a ação Pesquisar entidades da GSA para pesquisar entidades da GSA no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Search ASM Entities requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Project Name |
Opcional. O nome do projeto do ASM. Se não definir um valor, a ação usa o valor que configurou para o parâmetro de integração |
Entity Name |
Opcional. Uma lista de nomes de entidades separados por vírgulas para encontrar entidades. A ação trata os nomes de entidades que contêm
|
Minimum Vulnerabilities Count |
Opcional. O número mínimo de vulnerabilidades necessárias para que a ação devolva a entidade. |
Minimum Issues Count |
Opcional. O número mínimo de problemas necessários para que a ação devolva a entidade. |
Tags |
Opcional. Uma lista de nomes de etiquetas separados por vírgulas a usar quando pesquisar entidades. |
Max Entities To Return |
Opcional. O número de entidades a devolver. O valor
máximo é |
Critical or High Issue |
Opcional. Se selecionada, a ação devolve apenas problemas com gravidade Não selecionado por predefinição. |
Resultados da ação
A ação Search ASM Entities fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search ASM Entities:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensagens de saída
A ação Search ASM Entities pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Search ASM Entities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Problemas de pesquisa do ASM
Use a ação Pesquisar problemas de ASM para pesquisar problemas de ASM no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Search ASM Issues requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Project Name |
Opcional. O nome do projeto do ASM. Se não definir um valor, a ação usa o valor que configurou para o parâmetro de integração |
Issue ID |
Opcional. Uma lista de IDs de problemas separados por vírgulas para devolver os detalhes. |
Entity ID |
Opcional. Uma lista de IDs de entidades separados por vírgulas para encontrar problemas relacionados. |
Entity Name |
Opcional. Uma lista de nomes de entidades separados por vírgulas para encontrar problemas relacionados. A ação trata os nomes de entidades que contêm
|
Time Parameter |
Opcional. Uma opção de filtro para definir a hora do problema. Os valores possíveis são O valor predefinido é |
Time Frame |
Opcional. Um período para filtrar problemas. Se selecionar
Os valores possíveis são os seguintes:
O valor predefinido é |
Start Time |
Opcional. A hora de início dos resultados. Se selecionou
Configure o valor no formato ISO 8601. |
End Time |
Opcional. A hora de fim dos resultados. Se selecionou
Configure o valor no formato ISO 8601. |
Lowest Severity To Return |
Opcional. A gravidade mais baixa dos problemas a devolver. Os valores possíveis são os seguintes:
O valor predefinido é Se selecionar |
Status |
Opcional. O filtro de estado da pesquisa. Os valores possíveis são O valor predefinido é Se selecionar |
Tags |
Opcional. Uma lista de nomes de etiquetas separados por vírgulas a usar quando pesquisa problemas. |
Max Issues To Return |
Obrigatório. O número de problemas a devolver. O valor
máximo é |
Resultados da ação
A ação Search ASM Issues fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search ASM Issues:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "example_oum28bu",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"collection_type": "user_collection",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensagens de saída
A ação Search ASM Issues pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search ASM Issues". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Search ASM Issues:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Gráficos de entidades de pesquisa
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos baseados em entidades do Google SecOps no Google Threat Intelligence.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Dados de ações
A ação Search Entity Graphs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O valor do campo para ordenar os resultados. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver para cada execução de ação. O valor predefinido é |
Resultados da ação
A ação Gráficos de entidades de pesquisa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensagens de saída
A ação Search Entity Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Search Graphs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consultas para o gráfico. Por exemplo, para pesquisar gráficos no período selecionado, formate a consulta da seguinte forma:
Para mais informações sobre consultas, consulte Como criar consultas, modificadores relacionados com gráficos e modificadores relacionados com nós. |
Sort Field |
Opcional. O valor do campo para ordenar os gráficos do VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver para cada execução de ação. O valor predefinido é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores relacionados com gráficos. Para melhorar a pesquisa, pode combinar modificadores com os operadores AND, OR e NOT.
Os campos de data e numéricos suportam os sufixos + mais e - menos. Um sufixo de mais corresponde a valores superiores ao valor indicado. Um sufixo de menos corresponde a valores inferiores ao valor fornecido. Sem um sufixo, a consulta devolve correspondências exatas.
Para definir intervalos, pode usar o mesmo modificador várias vezes numa consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caráter 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados com gráficos
A tabela seguinte lista os modificadores relacionados com o gráfico que pode usar para criar a consulta de pesquisa:
| Nome do modificador | Descrição | Exemplo |
|---|---|---|
id |
Filtra por identificador do gráfico. | id:g675a2fd4c8834e288af |
name |
Filtra por nome do gráfico. | name:Example-name |
owner |
Filtra por gráficos que são propriedade do utilizador. | owner:example_user |
group |
Filtra por grafos pertencentes a um grupo. | group:example |
visible_to_user |
Filtra por gráficos visíveis para o utilizador. | visible_to_user:example_user |
visible_to_group |
Filtra por gráficos visíveis para o grupo. | visible_to_group:example |
private |
Filtra por gráficos privados. | private:true, private:false |
creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data de modificação mais recente do gráfico. | last_modified_date:2018-11-20 |
total_nodes |
Filtra por gráficos que contêm um número específico de nós. | total_nodes:100 |
comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
views_count |
Filtra pelo número de visualizações do gráfico. | views_count:1000+ |
Modificadores relacionados com nós
A tabela seguinte lista os modificadores relacionados com o gráfico que pode usar para criar a consulta de pesquisa:
| Nome do modificador | Descrição | Exemplo |
|---|---|---|
label |
Filtra por gráficos que contêm nós com uma etiqueta específica. | label:Kill switch |
file |
Filtra por gráficos que contêm o ficheiro específico. | file:131f95c51cc819465fa17 |
domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
email |
Filtra por gráficos que contêm o endereço de email específico. | email:user@example.com |
department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Resultados da ação
A ação Search Graphs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID"
}
]
}
Mensagens de saída
A ação Search Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor do resultado do script quando usa a ação Search Graphs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Defina a análise de alertas de DTM
Use a ação Definir análise de alerta de DTM para definir uma análise para um alerta de monitorização de ameaças digitais (DTM) no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Set DTM Alert Analysis requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta ao qual adicionar a análise. |
Text |
Obrigatório. A análise a adicionar ao alerta. |
Attachment File Paths |
Opcional. Uma lista de caminhos de ficheiros separados por vírgulas a anexar ao alerta. É suportado um máximo de 10 anexos. |
Resultados da ação
A ação Set DTM Alert Analysis fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Mensagens de saída
A ação Set DTM Alert Analysis pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Set DTM Alert Analysis". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Set DTM Alert Analysis:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar ficheiro
Use a ação Enviar ficheiro para enviar um ficheiro e devolver resultados da inteligência contra ameaças da Google.
Esta ação não é executada em entidades do Google SecOps.
Esta ação é assíncrona. Ajuste o valor do limite de tempo do script no ambiente de programação integrado (IDE) do Google SecOps para a ação, conforme necessário.
Dados de ações
A ação Enviar ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
External URLs |
Opcional. Uma lista separada por vírgulas de URLs públicos dos ficheiros a enviar. Se forem fornecidos o "URL externo" e os "Caminhos dos ficheiros", a ação recolhe ficheiros de ambas as entradas. |
File Paths |
Opcional. Uma lista de caminhos de ficheiros absolutos separados por vírgulas. Se configurar o parâmetro **Endereço do servidor Linux**, a ação tenta obter o ficheiro de um servidor remoto. Se forem fornecidos o "URL externo" e os "Caminhos dos ficheiros", a ação recolhe ficheiros de ambas as entradas. |
ZIP Password |
Opcional. Uma palavra-passe para a pasta comprimida que contém os ficheiros a enviar. |
Private Submission |
Opcional. Se selecionada, a ação envia o ficheiro num modo privado. Para enviar ficheiros de forma privada, é necessária a API VirusTotal Premium. |
Check Hash |
Opcional. Predefinição: desativada. Se estiver ativada, a ação calcula primeiro os hashes dos ficheiros e procura informações disponíveis sobre os mesmos. Se estiver disponível, devolve as informações sem o fluxo de envio. |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários sobre o ficheiro enviado. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação devolve as informações acerca das técnicas e táticas MITRE relacionadas. Não selecionado por predefinição. |
Lowest MITRE Technique Severity |
Opcional. A gravidade da técnica MITRE mais baixa a devolver. A ação trata a gravidade Este parâmetro só suporta a entidade Hash. O valor predefinido é |
Retrieve AI Summary |
Opcional. Se selecionada, a ação obtém um resumo de IA para o ficheiro enviado. O resumo de IA só está disponível para envios privados. Este parâmetro é experimental. Não selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a devolver em cada execução de ação. |
Linux Server Address |
Opcional. O endereço IP do servidor Linux remoto onde o ficheiro está localizado. |
Linux Username |
Opcional. O nome de utilizador do servidor Linux remoto onde o ficheiro está localizado. |
Linux Password |
Opcional. A palavra-passe do servidor Linux remoto onde o ficheiro se encontra. |
Resultados da ação
A ação Enviar ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script. | Disponível |
Link da parede da caixa
A ação Enviar ficheiro pode devolver o seguinte link:
Link do relatório PATH:
URL
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enviar ficheiro:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"ADMINUSLabs": {
"category": "harmless",
"engine_name": "ADMINUSLabs",
"method": "blacklist",
"result": "clean"
},
"AegisLab WebGuard": {
"category": "harmless",
"engine_name": "AegisLab WebGuard",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "HASH_VALUE",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://192.0.2.15/input/?mark=20200207-example.com/31mawe&tpl=ID&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true,
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}],
"generated_ai_summary" : "summary_text_here…"
}
Mensagens de saída
A ação Enviar ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Não existem valores de "Caminhos de ficheiros" nem "URLs externos" Pelo menos um dos parâmetros "Caminhos de ficheiros" ou "URLs externos" deve ter um valor. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enviar ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Problema com a atualização do ASM
Use a ação Atualizar problema de ASM para atualizar um problema de ASM no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Update ASM Issue requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Obrigatório. O ID do problema a atualizar. |
Status |
Obrigatório. O novo estado a definir para o problema. Os valores possíveis são os seguintes:
O valor predefinido é |
Resultados da ação
A ação Atualizar problema do ASM fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Update ASM Issue:
{
"success": true,
"message": "Successfully reported status as open_new",
"result": "open_new"
}
Mensagens de saída
A ação Update ASM Issue pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Google Threat
Intelligence. |
A ação foi bem-sucedida. |
Error executing action "Update ASM Issue". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Update ASM Issue:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualize o alerta de DTM
Use a ação Atualizar alerta de DTM para atualizar um alerta de monitorização de ameaças digitais da Mandiant no Google Threat Intelligence.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Atualizar alerta do DTM requer os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta a atualizar. |
Status |
Opcional. O novo estado a definir para o alerta. Os valores possíveis são os seguintes:
O valor predefinido é |
Resultados da ação
A ação Atualizar alerta de DTM fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Atualizar alerta de DTM:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensagens de saída
A ação Update DTM Alert pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated alert with ID INCIDENT_ID in Google Threat
Monitoring. |
Ação efetuada com êxito. |
Error executing action "Update DTM Alert". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Atualizar alerta de DTM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Google Threat Intelligence – Conetor de alertas DTM
Use o Google Threat Intelligence - DTM Alerts Connector para obter alertas
do Google Threat Intelligence. Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.
Entradas do conetor
O Google Threat Intelligence - DTM Alerts Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é
|
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor predefinido é
|
API Key |
Obrigatório. A chave da API Google Threat Intelligence. |
Lowest Severity To Fetch |
Opcional. A gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
|
Monitor ID Filter |
Opcional. Uma lista de IDs de monitores separados por vírgulas para obter os alertas. |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a devolver. A entrada não é sensível a maiúsculas e minúsculas. Se não for indicado nenhum valor, o conector processa todos os tipos de eventos. Para excluir um tipo específico, coloque um ponto de exclamação como prefixo (por exemplo, |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Selecionado por predefinição. |
Max Hours Backwards |
Obrigatório. O número de horas anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Alerts To Fetch |
Obrigatório. O número de alertas a processar em cada iteração do conector. O valor máximo é |
Use dynamic list as a blocklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Google Threat Intelligence. Selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O Google Threat Intelligence - DTM Alerts Connector suporta proxies.
Eventos de conetores
Existem dois tipos de eventos para o conector Google Threat Intelligence - DTM Alerts: um evento baseado no alerta principal e um evento baseado num tópico.
Segue-se um exemplo do evento do conector com base no alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://example.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Segue-se um exemplo do evento do conector com base num tópico:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Google Threat Intelligence – Conetor de problemas da ASM
Use o Google Threat Intelligence - ASM Issues Connector para obter informações sobre os problemas da ASM do Google Threat Intelligence. Para trabalhar com o filtro de lista dinâmica, use o parâmetro category.
Entradas do conetor
O Google Threat Intelligence - ASM Issues Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é
|
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor predefinido é
|
API Key |
Obrigatório. A chave da API Google Threat Intelligence. |
Project Name |
Opcional. O nome do projeto do ASM. Se não definir um valor, apenas são devolvidos alertas de coleções no projeto principal. |
Lowest Severity To Fetch |
Opcional. A gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
|
Issue Name Filter |
Opcional. Uma lista de problemas a carregar separada por vírgulas. A entrada é sensível a maiúsculas e minúsculas. Se os nomes forem indicados diretamente, o conector usa um filtro de inclusão, carregando apenas os problemas correspondentes. Para excluir problemas específicos, adicione um ponto de exclamação antes do nome
(por exemplo, Se não for indicado nenhum valor, o filtro não é aplicado e todos os problemas são carregados. |
Status Filter |
Opcional. Uma lista separada por vírgulas de estados dos problemas a carregar. Se não for indicado nenhum valor, o conector processa apenas problemas abertos. Os valores possíveis são os seguintes:
O valor predefinido é |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a devolver. A entrada não é sensível a maiúsculas e minúsculas. Se não for indicado nenhum valor, o conector processa todos os tipos de eventos. Para excluir um tipo específico, coloque um ponto de exclamação como prefixo (por exemplo, |
Max Hours Backwards |
Obrigatório. O número de horas anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Issues To Fetch |
Obrigatório. O número de problemas a processar em cada iteração do conector. O valor máximo é |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Selecionado por predefinição. |
Use dynamic list as a blocklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Google Threat Intelligence. Selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Eventos de conetores
Segue-se o exemplo do evento Google Threat Intelligence - ASM Issues Connector:
{
"uuid": "UUID",
"dynamic_id": 25590288,
"entity_uid": "9bae9d6f931c5405ad95f0a51954cf8f7193664f0808aadc41c8b25e08eb9bc3",
"alias_group": null,
"category": "vulnerability",
"confidence": "confirmed",
"description": "A crafted request uri-path can cause mod_proxy to forward the request to an origin server chosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.",
"details": {
"added": "2021-10-15",
"proof": "The following resolver IP Address: 203.0.113.132:50408 invoked a DNS Lookup with the following data <empty> at 2023-02-03T03:41:48Z using the UUID associated with this entity.",
"status": "confirmed",
"severity": 1,
"references": [
{
"uri": "https://example.com/vuln/detail/CVE-2021-40438",
"type": "description"
},
{
"uri": "https://httpd.example.org/security/vulnerabilities_24.html",
"type": "description"
},
{
"uri": "https://example.com/cve-2021-40438",
"type": "description"
}
],
"remediation": null
},
"first_seen": "2022-11-28T03:24:48.000Z",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
}
],
"last_seen": "2023-02-03T03:41:48.000Z",
"name": "cve_2021_40438",
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"scoped": true,
"severity": 1,
"source": null,
"status": "open_in_progress",
"ticket_list": null,
"type": "standard",
"uid": "UID",
"upstream": "intrigue",
"created_at": "2022-11-28T03:34:31.124Z",
"updated_at": "2023-02-03T04:03:44.126Z",
"entity_id": 298912419,
"collection_id": 117139,
"collection": "example_oum28bu",
"collection_type": "user_collection",
"collection_uuid": "511311a6-6ff4-4933-8f5b-f1f7df2f6a3e",
"organization_uuid": "21d2d125-d398-4bcb-bae1-11aee14adcaf",
"entity_name": "http://192.0.2.73:80",
"entity_type": "Intrigue::Entity::Uri",
"Intrigue::Entity::Uri": "http://192.0.2.73:80",
"summary": {
"pretty_name": "Apache HTTP Server Side Request Forgery (CVE-2021-40438)",
"severity": 1,
"scoped": true,
"confidence": "confirmed",
"status": "open_in_progress",
"category": "vulnerability",
"identifiers": [
{
"name": "CVE-2021-40438",
"type": "CVE"
"CVE": "CVE-2021-40438"
}
],
"status_new": "open",
"status_new_detailed": "in_progress",
"ticket_list": null
},
"tags": []
}
Google Threat Intelligence – Livehunt Connector
Use o conector Livehunt da Google Threat Intelligence para obter informações sobre as notificações do Livehunt e os respetivos ficheiros relacionados da Google Threat Intelligence. Para trabalhar com a lista dinâmica, use o parâmetro rule_name.
Entradas do conetor
O Google Threat Intelligence - Livehunt Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é
|
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API da instância do Google Threat Intelligence. O valor predefinido é
|
API Key |
Obrigatório. A chave da API Google Threat Intelligence. |
Max Hours Backwards |
Obrigatório. O número de horas anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Notifications To Fetch |
Obrigatório. O número de notificações a processar em cada iteração do conector. O valor predefinido é |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Selecionado por predefinição. |
Use dynamic list as a blocklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Google Threat Intelligence. Selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O Google Threat Intelligence - Livehunt Connector suporta proxies.
Eventos de conetores
O exemplo do evento Google Threat Intelligence - Livehunt Connector é o seguinte:
{
"attributes": {
"type_description": "Win32 DLL",
"tlsh": "T1E6A25B41AF6020B3EAF508F135F6D913A930B7110AA4C957774B86511FB4BC3BE7AA2D",
"vhash": "124056651d15155bzevz36z1",
<! CONTENT OMITTED —>
"last_analysis_date": 1645620534,
"unique_sources": 8,
"first_submission_date": 1562871116,
"sha1": "3de080d32b14a88a5e411a52d7b43ff261b2bf5e",
"ssdeep": "384:wBvtsqUFEjxcAfJ55oTiwO5xOJuqn2F9BITqGBRnYPLxDG4y8jm+:e1YOcAfGnOmJuqn2LBITqGfWDG4yR+",
"md5": "6a796088cd3d1b1d6590364b9372959d",
"magic": "PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 5,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 14,
"failure": 4,
"malicious": 0,
"undetected": 49
},
"reputation": 0,
"first_seen_itw_date": 1536433291
},
"type": "file",
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/files/ID"
},
"context_attributes": {
"notification_id": "6425310189355008-7339e39660589ca2ec996c1c15ca5989-ID-1645620534",
"notification_source_key": "KEY",
"notification_tags": [
"cve_pattern",
"ID",
"cverules"
],
"ruleset_name": "cverules",
"notification_source_country": "KR",
"rule_name": "cve_pattern",
"notification_snippet": "",
"ruleset_id": "6425310189355008",
"rule_tags": [],
"notification_date": 1645620832,
"match_in_subfile": false
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.