Integra Mandiant Threat Intelligence con Google SecOps
En este documento, se proporciona orientación para integrar Mandiant Threat Intelligence en Google Security Operations (Google SecOps).
Versión de integración: 11.0
Parámetros de integración
La integración de Mandiant Threat Intelligence requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
UI Root |
Obligatorio Es la raíz de la IU de la instancia de Mandiant. El valor predeterminado es |
API Root |
Obligatorio Es la raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Client ID |
Optional Es el ID de cliente de la cuenta de Mandiant Threat Intelligence. Para generar el ID de cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de la clave. |
Client Secret |
Optional Es el secreto del cliente de la cuenta de Mandiant Threat Intelligence. Para generar el secreto del cliente en Mandiant Threat Intelligence, ve a Configuración de la cuenta > Acceso y claves de API > Obtener ID y secreto de la clave. |
GTI API Key |
Optional
Es la clave de API de Google Threat Intelligence. Para autenticarte con la Inteligencia sobre amenazas de Google, establece el valor del parámetro Cuando te autenticas con la clave de la API de Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio Si se selecciona esta opción, la integración verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido. Esta opción se selecciona de forma predeterminada. |
Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.
Enriquece entidades
Usa la acción Enrich Entities para enriquecer entidades con la información de Mandiant Threat Intelligence. Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
La acción Enrich Entities se ejecuta en las siguientes entidades de Google SecOps:
HostnameIP AddressURLFile HashThreat ActorVulnerability
Entradas de acción
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Severity Score Threshold |
Obligatorio Es la puntuación de gravedad más baja para marcar la entidad como sospechosa. La acción puede marcar como sospechosos los siguientes indicadores:
El valor predeterminado es 50. El valor máximo es 100. |
Create Insight |
Optional Si se selecciona, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. Esta opción se selecciona de forma predeterminada. |
Only Suspicious Entity Insight |
Optional Si se selecciona, la acción solo crea estadísticas para las entidades sospechosas. Si seleccionas este parámetro, también debes seleccionar el parámetro |
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
En la siguiente tabla, se enumeran los valores para el enriquecimiento de indicadores cuando se usa la acción Enrich Entities:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
first_seen |
first_seen |
Se aplica cuando está disponible en JSON. |
last_seen |
last_seen |
Se aplica cuando está disponible en JSON. |
sources |
Es un archivo CSV de valores sources/source_name únicos. |
Se aplica cuando está disponible en JSON. |
mscore |
mscore |
Se aplica cuando está disponible en JSON. |
attributed_associations_{associated_associations/type}
|
Un archivo CSV de claves de attributed_associations/name para cada tipo de attributed_associations/type (una clave para cada tipo) |
Se aplica cuando está disponible en JSON. |
report_link |
Elaborado. | Se aplica cuando está disponible en JSON. |
En la siguiente tabla, se enumeran los valores para el enriquecimiento de la entidad Threat Actors cuando se usa la acción Enrich Entities:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
motivations |
Es un CSV de valores de motivations/name. |
Se aplica cuando está disponible en JSON. |
aliases |
Es un CSV de valores de aliases/name. |
Se aplica cuando está disponible en JSON. |
industries |
Es un CSV de valores de industries/name. |
Se aplica cuando está disponible en JSON. |
malware |
Es un CSV de valores de malware/name. |
Se aplica cuando está disponible en JSON. |
locations\_source |
Es un CSV de valores de locations/source/country/name. |
Se aplica cuando está disponible en JSON. |
locations\_target |
Es un CSV de valores de locations/target/name. |
Se aplica cuando está disponible en JSON. |
cve |
Es un CSV de valores de cve/cve\_id. |
Se aplica cuando está disponible en JSON. |
description |
description |
Se aplica cuando está disponible en JSON. |
last\_activity\_time |
last\_activity\_time |
Se aplica cuando está disponible en JSON. |
report\_link |
Elaborado. | Se aplica cuando está disponible en JSON. |
En la siguiente tabla, se enumeran los valores para el enriquecimiento de la entidad Vulnerability cuando se usa la acción Enrich Entities:
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
sources |
Es un CSV de valores de source_name. |
Se aplica cuando está disponible en JSON. |
exploitation_state |
exploitation_state |
Se aplica cuando está disponible en JSON. |
date_of_disclosure |
date_of_disclosure |
Se aplica cuando está disponible en JSON. |
vendor_fix_references |
vendor_fix_references/url |
Se aplica cuando está disponible en JSON. |
title |
title |
Se aplica cuando está disponible en JSON. |
exploitation_vectors |
Es un CSV de valores de exploitation_vectors. |
Se aplica cuando está disponible en JSON. |
description |
description |
Se aplica cuando está disponible en JSON. |
risk_rating |
risk_rating |
Se aplica cuando está disponible en JSON. |
available_mitigation |
Es un CSV de valores de available_mitigation. |
Se aplica cuando está disponible en JSON. |
exploitation_consequence |
exploitation_consequence |
Se aplica cuando está disponible en JSON. |
report_link |
Elaborado | Se aplica cuando está disponible en JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON de los indicadores recibidos cuando se usa la acción Enrich Entities:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo, se muestra el resultado JSON de la entidad Threat Actor que se recibe cuando se usa la acción Enrich Entities:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
En el siguiente ejemplo, se muestra el resultado JSON de la entidad Vulnerability que se recibe cuando se usa la acción Enrich Entities:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquece los IOC
Usa la acción Enrich IOCs para obtener información sobre los IOC de Mandiant Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Enrich IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Identifiers |
Obligatorio Es una lista separada por comas de los IOC que se deben enriquecer. |
Resultados de la acción
La acción Enrich IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Mensajes de salida
La acción Enrich IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del software malicioso
Usa la acción Get Malware Details para obtener información sobre software malicioso de Mandiant Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Malware Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Malware Names |
Obligatorio Es una lista separada por comas de los nombres de software malicioso para enriquecer. |
Create Insight |
Optional Si se selecciona, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. |
Fetch Related IOCs |
Optional Si se selecciona, la acción recupera indicadores relacionados con el software malicioso proporcionado. |
Max Related IOCs To Return |
Optional Es la cantidad de indicadores que procesa la acción para cada software malicioso. El valor predeterminado es 100. |
Resultados de la acción
La acción Get Malware Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Malware Details:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Mensajes de salida
La acción Get Malware Details puede mostrar los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Malware Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener entidades relacionadas
Usa la acción Get Related Entities para obtener detalles sobre los indicadores de compromiso (IOC) relacionados con las entidades a partir de la información de Mandiant Threat Intelligence.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HostnameIP AddressURLFile HashThreat Actor
Entradas de acción
La acción Get Related Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Lowest Severity Score |
Obligatorio Es la puntuación de gravedad más baja para devolver indicadores relacionados. El valor predeterminado es 50. El valor máximo es 100. |
Max IOCs To Return |
Optional Es la cantidad de indicadores que procesa la acción para cada entidad. El valor predeterminado es 100. |
Resultados de la acción
La acción Get Related Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Entities:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Mensajes de salida
La acción Get Related Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Mandiant Threat Intelligence.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.