Integrar Mandiant Threat Intelligence con Google SecOps
En este documento se explica cómo integrar Mandiant Threat Intelligence con Google Security Operations (Google SecOps).
Versión de integración: 11.0
Parámetros de integración
La integración de Mandiant Threat Intelligence requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
UI Root |
Obligatorio La raíz de la interfaz de usuario de la instancia de Mandiant. El valor predeterminado es |
API Root |
Obligatorio La raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Client ID |
Optional El ID de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el ID de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de la API > Obtener ID y secreto de la clave. |
Client Secret |
Optional El secreto de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el secreto de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de clave. |
GTI API Key |
Optional
La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor Cuando te autenticas con la clave de la API Google Threat Intelligence, tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde tu mesa de trabajo y Realizar una acción manual.
Enriquecer entidades
Usa la acción Enriquecer entidades para enriquecer entidades con la información de Mandiant Threat Intelligence. Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
La acción Enrich Entities se ejecuta en las siguientes entidades de Google SecOps:
HostnameIP AddressURLFile HashThreat ActorVulnerability
Entradas de acciones
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Severity Score Threshold |
Obligatorio La puntuación de gravedad más baja para marcar la entidad como sospechosa. La acción puede marcar como sospechosos los siguientes indicadores:
El valor predeterminado es 50. El valor máximo es 100. |
Create Insight |
Optional Si se selecciona esta opción, la acción crea una estadística que contiene toda la información obtenida sobre la entidad. Esta opción está seleccionada de forma predeterminada. |
Only Suspicious Entity Insight |
Optional Si se selecciona esta opción, la acción solo crea estadísticas de entidades sospechosas. Si selecciona este parámetro, también debe seleccionar el parámetro |
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
En la siguiente tabla se indican los valores del enriquecimiento de indicadores al usar la acción Enriquecer entidades:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
first_seen |
first_seen |
Se aplica cuando está disponible en JSON. |
last_seen |
last_seen |
Se aplica cuando está disponible en JSON. |
sources |
Un archivo CSV de valores sources/source_name únicos. |
Se aplica cuando está disponible en JSON. |
mscore |
mscore |
Se aplica cuando está disponible en JSON. |
attributed_associations_{associated_associations/type}
|
Un archivo CSV de claves attributed_associations/name para
cada tipo attributed_associations/type (una clave por cada
tipo). |
Se aplica cuando está disponible en JSON. |
report_link |
Elaborado. | Se aplica cuando está disponible en JSON. |
En la siguiente tabla se indican los valores del enriquecimiento de la entidad Threat Actors al usar la acción Enriquecer entidades:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
motivations |
CSV de valores de motivations/name. |
Se aplica cuando está disponible en JSON. |
aliases |
CSV de valores de aliases/name. |
Se aplica cuando está disponible en JSON. |
industries |
CSV de valores de industries/name. |
Se aplica cuando está disponible en JSON. |
malware |
CSV de valores de malware/name. |
Se aplica cuando está disponible en JSON. |
locations\_source |
CSV de valores de locations/source/country/name. |
Se aplica cuando está disponible en JSON. |
locations\_target |
CSV de valores de locations/target/name. |
Se aplica cuando está disponible en JSON. |
cve |
CSV de valores de cve/cve\_id. |
Se aplica cuando está disponible en JSON. |
description |
description |
Se aplica cuando está disponible en JSON. |
last\_activity\_time |
last\_activity\_time |
Se aplica cuando está disponible en JSON. |
report\_link |
Elaborado. | Se aplica cuando está disponible en JSON. |
En la siguiente tabla se indican los valores del enriquecimiento de la entidad Vulnerability al usar la acción Enriquecer entidades:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
sources |
CSV de valores de source_name. |
Se aplica cuando está disponible en JSON. |
exploitation_state |
exploitation_state |
Se aplica cuando está disponible en JSON. |
date_of_disclosure |
date_of_disclosure |
Se aplica cuando está disponible en JSON. |
vendor_fix_references |
vendor_fix_references/url |
Se aplica cuando está disponible en JSON. |
title |
title |
Se aplica cuando está disponible en JSON. |
exploitation_vectors |
CSV de valores de exploitation_vectors. |
Se aplica cuando está disponible en JSON. |
description |
description |
Se aplica cuando está disponible en JSON. |
risk_rating |
risk_rating |
Se aplica cuando está disponible en JSON. |
available_mitigation |
CSV de valores de available_mitigation. |
Se aplica cuando está disponible en JSON. |
exploitation_consequence |
exploitation_consequence |
Se aplica cuando está disponible en JSON. |
report_link |
Elaborado | Se aplica cuando está disponible en JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON de los indicadores recibidos al usar la acción Enrich Entities (Enriquecer entidades):
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo se muestra la salida del resultado JSON de la entidad Threat Actor recibida al usar la acción Enriquecer entidades:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo se muestra la salida del resultado JSON de la entidad Vulnerability recibida al usar la acción Enriquecer entidades:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IOCs
Usa la acción Enrich IOCs (Enriquecer indicadores de compromiso) para obtener información sobre los IOCs de Mandiant Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Identifiers |
Obligatorio Lista de IOCs separada por comas que se va a enriquecer. |
Resultados de la acción
La acción Enriquecer indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich IOCs (Enriquecer indicadores de compromiso):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del malware
Usa la acción Obtener detalles del malware para obtener información sobre malware de Mandiant Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Malware Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Malware Names |
Obligatorio Lista de nombres de malware separados por comas para enriquecer. |
Create Insight |
Optional Si se selecciona esta opción, la acción crea una estadística que contiene toda la información obtenida sobre la entidad. |
Fetch Related IOCs |
Optional Si se selecciona esta opción, la acción obtiene indicadores relacionados con el malware proporcionado. |
Max Related IOCs To Return |
Optional Número de indicadores que procesa la acción por cada malware. El valor predeterminado es 100. |
Resultados de la acción
La acción Obtener detalles del malware proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Malware Details (Obtener detalles del malware):
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Mensajes de salida
La acción Get Malware Details puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener detalles del malware:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener entidades relacionadas
Usa la acción Obtener entidades relacionadas para obtener detalles sobre indicadores de riesgo (IOCs) relacionados con entidades mediante información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HostnameIP AddressURLFile HashThreat Actor
Entradas de acciones
La acción Get Related Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Lowest Severity Score |
Obligatorio La puntuación de gravedad más baja para devolver indicadores relacionados. El valor predeterminado es 50. El valor máximo es 100. |
Max IOCs To Return |
Optional Número de indicadores que procesa la acción por cada entidad. El valor predeterminado es 100. |
Resultados de la acción
La acción Obtener entidades relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related Entities (Obtener entidades relacionadas):
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Mensajes de salida
La acción Obtener entidades relacionadas puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Obtener entidades relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Mandiant Threat Intelligence.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.