Intégrer Mandiant Threat Intelligence à Google SecOps
Ce document explique comment intégrer Mandiant Threat Intelligence à Google Security Operations (Google SecOps).
Version de l'intégration : 11.0
Paramètres d'intégration
L'intégration Mandiant Threat Intelligence nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
UI Root |
Obligatoire Racine de l'UI de l'instance Mandiant. La valeur par défaut est |
API Root |
Obligatoire Racine de l'API de l'instance Mandiant. La valeur par défaut est Pour vous authentifier avec les identifiants Google Threat Intelligence, saisissez la valeur suivante : |
Client ID |
Optional ID client du compte Mandiant Threat Intelligence. Pour générer l'ID client dans Mandiant Threat Intelligence, accédez à Paramètres du compte > Accès et clés API > Obtenir l'ID et le secret de la clé. |
Client Secret |
Optional Code secret du client du compte Mandiant Threat Intelligence. Pour générer le code secret du client dans Mandiant Threat Intelligence, accédez à Paramètres du compte> Accès et clés API> Obtenir l'ID et le secret de la clé. |
GTI API Key |
Optional
Clé API de Google Threat Intelligence. Pour vous authentifier à l'aide de Google Threat Intelligence, définissez la valeur du paramètre Lorsque vous vous authentifiez à l'aide de la clé API Google Threat Intelligence, elle est prioritaire par rapport aux autres méthodes d'authentification. |
Verify SSL |
Obligatoire Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Mandiant est valide. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis votre bureau et Effectuer une action manuelle.
Enrichir les entités
Utilisez l'action Enrichir les entités pour enrichir les entités à l'aide des informations de Mandiant Threat Intelligence. Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
L'action Enrichir les entités s'exécute sur les entités Google SecOps suivantes :
HostnameIP AddressURLFile HashThreat ActorVulnerability
Entrées d'action
L'action Enrichir les entités nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Severity Score Threshold |
Obligatoire Score de gravité le plus bas pour marquer l'entité comme suspecte. L'action peut marquer comme suspects les indicateurs suivants : La valeur par défaut est 50. La valeur maximale est 100. |
Create Insight |
Optional Si cette option est sélectionnée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. Cette option est sélectionnée par défaut. |
Only Suspicious Entity Insight |
Optional Si cette option est sélectionnée, l'action ne crée des insights que pour les entités suspectes. Si vous sélectionnez ce paramètre, sélectionnez également le paramètre |
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
Le tableau suivant répertorie les valeurs pour l'enrichissement des indicateurs lorsque vous utilisez l'action Enrichir les entités :
| Nom du champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
first_seen |
first_seen |
Applicable lorsqu'il est disponible au format JSON. |
last_seen |
last_seen |
Applicable lorsqu'il est disponible au format JSON. |
sources |
Fichier CSV contenant des valeurs sources/source_name uniques. |
Applicable lorsqu'il est disponible au format JSON. |
mscore |
mscore |
Applicable lorsqu'il est disponible au format JSON. |
attributed_associations_{associated_associations/type}
|
Un fichier CSV de clés attributed_associations/name pour chaque type attributed_associations/type (une clé pour chaque type). |
Applicable lorsqu'il est disponible au format JSON. |
report_link |
Conçue. | Applicable lorsqu'il est disponible au format JSON. |
Le tableau suivant liste les valeurs d'enrichissement de l'entité Threat Actors lorsque vous utilisez l'action Enrichir les entités :
| Nom du champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
motivations |
CSV des valeurs motivations/name. |
Applicable lorsqu'il est disponible au format JSON. |
aliases |
CSV des valeurs aliases/name. |
Applicable lorsqu'il est disponible au format JSON. |
industries |
CSV des valeurs industries/name. |
Applicable lorsqu'il est disponible au format JSON. |
malware |
CSV des valeurs malware/name. |
Applicable lorsqu'il est disponible au format JSON. |
locations\_source |
CSV des valeurs locations/source/country/name. |
Applicable lorsqu'il est disponible au format JSON. |
locations\_target |
CSV des valeurs locations/target/name. |
Applicable lorsqu'il est disponible au format JSON. |
cve |
CSV des valeurs cve/cve\_id. |
Applicable lorsqu'il est disponible au format JSON. |
description |
description |
Applicable lorsqu'il est disponible au format JSON. |
last\_activity\_time |
last\_activity\_time |
Applicable lorsqu'il est disponible au format JSON. |
report\_link |
Conçue. | Applicable lorsqu'il est disponible au format JSON. |
Le tableau suivant liste les valeurs d'enrichissement de l'entité Vulnerability lorsque vous utilisez l'action Enrichir les entités :
| Nom du champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
sources |
CSV des valeurs source_name. |
Applicable lorsqu'il est disponible au format JSON. |
exploitation_state |
exploitation_state |
Applicable lorsqu'il est disponible au format JSON. |
date_of_disclosure |
date_of_disclosure |
Applicable lorsqu'il est disponible au format JSON. |
vendor_fix_references |
vendor_fix_references/url |
Applicable lorsqu'il est disponible au format JSON. |
title |
title |
Applicable lorsqu'il est disponible au format JSON. |
exploitation_vectors |
CSV des valeurs exploitation_vectors. |
Applicable lorsqu'il est disponible au format JSON. |
description |
description |
Applicable lorsqu'il est disponible au format JSON. |
risk_rating |
risk_rating |
Applicable lorsqu'il est disponible au format JSON. |
available_mitigation |
CSV des valeurs available_mitigation. |
Applicable lorsqu'il est disponible au format JSON. |
exploitation_consequence |
exploitation_consequence |
Applicable lorsqu'il est disponible au format JSON. |
report_link |
Conçus | Applicable lorsqu'il est disponible au format JSON. |
Résultat JSON
L'exemple suivant montre la sortie des résultats JSON pour les indicateurs reçus lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
L'exemple suivant montre le résultat JSON pour l'entité Threat Actor reçue lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
L'exemple suivant montre le résultat JSON pour l'entité Vulnerability reçue lors de l'utilisation de l'action Enrichir les entités :
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Messages de sortie
L'action Enrichir les entités peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir les IOC
Utilisez l'action Enrichir les IOC pour obtenir des informations sur les IOC à partir de Mandiant Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Enrichir les IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Identifiers |
Obligatoire Liste d'IOC à enrichir, séparés par une virgule. |
Sorties d'action
L'action Enrichir les IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les IOC :
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Messages de sortie
L'action Enrichir les IOC peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Enrichir les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir des informations sur les logiciels malveillants
Utilisez l'action Obtenir les détails du logiciel malveillant pour obtenir des informations sur les logiciels malveillants à partir de Mandiant Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du logiciel malveillant nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Malware Names |
Obligatoire Liste de noms de logiciels malveillants à enrichir, séparés par une virgule. |
Create Insight |
Optional Si cette option est sélectionnée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. |
Fetch Related IOCs |
Optional Si cette option est sélectionnée, l'action récupère les indicateurs liés au logiciel malveillant fourni. |
Max Related IOCs To Return |
Optional Nombre d'indicateurs traités par l'action pour chaque logiciel malveillant. La valeur par défaut est 100. |
Sorties d'action
L'action Obtenir les détails du logiciel malveillant fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du logiciel malveillant :
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Messages de sortie
L'action Obtenir les détails du logiciel malveillant peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails du logiciel malveillant :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les entités associées
Utilisez l'action Get Related Entities (Obtenir les entités associées) pour obtenir des informations sur les indicateurs de compromission (IOC) associés aux entités à l'aide des informations de Mandiant Threat Intelligence.
Cette action s'exécute sur les entités Google SecOps suivantes :
HostnameIP AddressURLFile HashThreat Actor
Entrées d'action
L'action Obtenir les entités associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Lowest Severity Score |
Obligatoire Score de gravité le plus faible pour renvoyer les indicateurs associés. La valeur par défaut est 50. La valeur maximale est de 100. |
Max IOCs To Return |
Optional Nombre d'indicateurs traités par l'action pour chaque entité. La valeur par défaut est 100. |
Sorties d'action
L'action Obtenir les entités associées fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Entities (Obtenir les entités associées) :
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Messages de sortie
L'action Get Related Entities (Obtenir les entités associées) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les entités associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à Mandiant Threat Intelligence.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
L'action a réussi. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.