Integrare Mandiant Threat Intelligence con Google SecOps
Questo documento fornisce indicazioni su come integrare Mandiant Threat Intelligence con Google Security Operations (Google SecOps).
Versione integrazione: 11.0
Parametri di integrazione
L'integrazione di Mandiant Threat Intelligence richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
UI Root |
Obbligatorio La radice dell'interfaccia utente dell'istanza Mandiant. Il valore predefinito è |
API Root |
Obbligatorio La radice API dell'istanza Mandiant. Il valore predefinito è Per l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Client ID |
Optional L'ID client dell'account Mandiant Threat Intelligence. Per generare l'ID client in Mandiant Threat Intelligence, vai a Impostazioni account > Accesso API e chiavi > Ottieni ID chiave e secret. |
Client Secret |
Optional Il client secret dell'account Mandiant Threat Intelligence. Per generare il client secret in Mandiant Threat Intelligence, vai a Impostazioni account > Accesso e chiavi API > Ottieni ID e secret chiave. |
GTI API Key |
Optional
La chiave API di Google Threat Intelligence. Per l'autenticazione
utilizzando Google Threat Intelligence, imposta ilvalore parametroo Quando esegui l'autenticazione utilizzando la chiave API Google Threat Intelligence, questa ha la priorità rispetto ad altri metodi di autenticazione. |
Verify SSL |
Obbligatorio Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua postazione di lavoro ed Eseguire un'azione manuale.
Arricchisci entità
Utilizza l'azione Arricchisci entità per arricchire le entità utilizzando le informazioni di Mandiant Threat Intelligence. Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
L'azione Arricchisci entità viene eseguita sulle seguenti entità Google SecOps:
HostnameIP AddressURLFile HashThreat ActorVulnerability
Input azione
L'azione Arricchisci entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Severity Score Threshold |
Obbligatorio Il punteggio di gravità più basso per contrassegnare l'entità come sospetta. L'azione può contrassegnare come sospetti i seguenti indicatori:
Il valore predefinito è 50. Il valore massimo è 100. |
Create Insight |
Optional Se selezionata, l'azione crea un approfondimento che contiene tutte le informazioni recuperate sull'entità. Selezionata per impostazione predefinita. |
Only Suspicious Entity Insight |
Optional Se selezionata, l'azione crea approfondimenti solo per le entità sospette. Se selezioni questo parametro, seleziona anche il parametro |
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
La seguente tabella elenca i valori per l'arricchimento degli indicatori quando si utilizza l'azione Arricchisci entità:
| Nome del campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
first_seen |
first_seen |
Applicabile quando è disponibile in JSON. |
last_seen |
last_seen |
Applicabile quando è disponibile in JSON. |
sources |
Un file CSV di valori sources/source_name univoci. |
Applicabile quando è disponibile in JSON. |
mscore |
mscore |
Applicabile quando è disponibile in JSON. |
attributed_associations_{associated_associations/type}
|
Un file CSV di chiavi attributed_associations/name per
ogni tipo attributed_associations/type (una chiave per ogni
tipo). |
Applicabile quando è disponibile in JSON. |
report_link |
Realizzato. | Applicabile quando è disponibile in JSON. |
La seguente tabella elenca i valori per l'arricchimento dell'entità Threat Actors
quando utilizzi l'azione Arricchisci entità:
| Nome del campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
motivations |
File CSV dei valori motivations/name. |
Applicabile quando è disponibile in JSON. |
aliases |
File CSV dei valori aliases/name. |
Applicabile quando è disponibile in JSON. |
industries |
File CSV dei valori industries/name. |
Applicabile quando è disponibile in JSON. |
malware |
File CSV dei valori malware/name. |
Applicabile quando è disponibile in JSON. |
locations\_source |
File CSV dei valori locations/source/country/name. |
Applicabile quando è disponibile in JSON. |
locations\_target |
File CSV dei valori locations/target/name. |
Applicabile quando è disponibile in JSON. |
cve |
File CSV dei valori cve/cve\_id. |
Applicabile quando è disponibile in JSON. |
description |
description |
Applicabile quando è disponibile in JSON. |
last\_activity\_time |
last\_activity\_time |
Applicabile quando è disponibile in JSON. |
report\_link |
Realizzato. | Applicabile quando è disponibile in JSON. |
La seguente tabella elenca i valori per l'arricchimento dell'entità Vulnerability
quando utilizzi l'azione Arricchisci entità:
| Nome del campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
sources |
File CSV dei valori source_name. |
Applicabile quando è disponibile in JSON. |
exploitation_state |
exploitation_state |
Applicabile quando è disponibile in JSON. |
date_of_disclosure |
date_of_disclosure |
Applicabile quando è disponibile in JSON. |
vendor_fix_references |
vendor_fix_references/url |
Applicabile quando è disponibile in JSON. |
title |
title |
Applicabile quando è disponibile in JSON. |
exploitation_vectors |
File CSV dei valori exploitation_vectors. |
Applicabile quando è disponibile in JSON. |
description |
description |
Applicabile quando è disponibile in JSON. |
risk_rating |
risk_rating |
Applicabile quando è disponibile in JSON. |
available_mitigation |
File CSV dei valori available_mitigation. |
Applicabile quando è disponibile in JSON. |
exploitation_consequence |
exploitation_consequence |
Applicabile quando è disponibile in JSON. |
report_link |
Realizzato | Applicabile quando è disponibile in JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON per gli indicatori ricevuti quando si utilizza l'azione Arricchisci entità:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Il seguente esempio mostra l'output del risultato JSON per l'entità Threat Actor
ricevuto quando si utilizza l'azione Arricchisci entità:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Il seguente esempio mostra l'output del risultato JSON per l'entità Vulnerability
ricevuto quando si utilizza l'azione Arricchisci entità:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Messaggi di output
L'azione Arricchisci entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchire gli IOC
Utilizza l'azione Arricchisci IOC per ottenere informazioni sugli indicatori di compromissione da Mandiant Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Arricchisci indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Identifiers |
Obbligatorio Un elenco separato da virgole di indicatori di compromissione da arricchire. |
Output dell'azione
L'azione Arricchisci indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci indicatori di compromissione:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Messaggi di output
L'azione Arricchisci indicatori di compromissione può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Arricchisci indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Visualizzare i dettagli del malware
Utilizza l'azione Ottieni dettagli malware per ottenere informazioni sul malware da Mandiant Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli malware richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Malware Names |
Obbligatorio Un elenco separato da virgole di nomi di malware da arricchire. |
Create Insight |
Optional Se selezionata, l'azione crea un approfondimento che contiene tutte le informazioni recuperate sull'entità. |
Fetch Related IOCs |
Optional Se selezionata, l'azione recupera gli indicatori correlati al malware fornito. |
Max Related IOCs To Return |
Optional Il numero di indicatori elaborati dall'azione per ogni malware. Il valore predefinito è 100. |
Output dell'azione
L'azione Ottieni dettagli malware fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Malware Details:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Messaggi di output
L'azione Ottieni dettagli malware può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Recupera dettagli malware:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupero entità correlate
Utilizza l'azione Ottieni entità correlate per ottenere dettagli sugli indicatori di compromissione (IOC) correlati alle entità utilizzando le informazioni di Mandiant Threat Intelligence.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HostnameIP AddressURLFile HashThreat Actor
Input azione
L'azione Recupera entità correlate richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Lowest Severity Score |
Obbligatorio Il punteggio di gravità più basso per restituire indicatori correlati. Il valore predefinito è 50. Il valore massimo è 100. |
Max IOCs To Return |
Optional Il numero di indicatori elaborati dall'azione per ogni entità. Il valore predefinito è 100. |
Output dell'azione
L'azione Recupera entità correlate fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Recupera entità correlate:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Messaggi di output
L'azione Recupera entità correlate può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore per l'output del risultato dello script quando utilizzi l'azione Recupera entità correlate:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a Mandiant Threat Intelligence.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
L'azione è riuscita. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.