Integrar o Mandiant Threat Intelligence ao Google SecOps
Este documento fornece orientações sobre como integrar a Mandiant Threat Intelligence ao Google Security Operations (Google SecOps).
Versão da integração: 11.0
Parâmetros de integração
A integração da Mandiant Threat Intelligence exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
UI Root |
Obrigatório A raiz da interface da instância do Mandiant. O valor padrão é |
API Root |
Obrigatório A raiz da API da instância do Mandiant. O valor padrão é Para autenticar com as credenciais da Inteligência do Google contra ameaças, insira o seguinte valor: |
Client ID |
Opcional O ID do cliente da conta do Mandiant Threat Intelligence. Para gerar o ID do cliente na Mandiant Threat Intelligence, acesse Configurações da conta > Acesso e chaves de API > Receber ID e segredo da chave. |
Client Secret |
Opcional A chave secreta do cliente da conta do Mandiant Threat Intelligence. Para gerar o chave secreta do cliente no Mandiant Threat Intelligence, acesse Configurações da conta > Acesso e chaves de API > Receber ID e segredo da chave. |
GTI API Key |
Opcional
A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro Quando você se autentica usando a chave de API do Google Threat Intelligence, ela tem prioridade sobre outros métodos de autenticação. |
Verify SSL |
Obrigatório Se selecionada, a integração verifica se o certificado SSL para a conexão com o servidor do Mandiant é válido. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.
Enriquecer entidades
Use a ação Enriquecer entidades para enriquecer entidades com as informações da Mandiant Threat Intelligence. Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
A ação Enriquecer entidades é executada nas seguintes entidades do Google SecOps:
HostnameIP AddressURLFile HashThreat ActorVulnerability
Entradas de ação
A ação Enriquecer entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Severity Score Threshold |
Obrigatório A pontuação de gravidade mais baixa para marcar a entidade como suspeita. A ação pode marcar como suspeitos os seguintes indicadores:
O valor padrão é 50. O valor máximo é 100. |
Create Insight |
Opcional Se selecionada, a ação cria um insight que contém todas as informações recuperadas sobre a entidade. Essa configuração é selecionada por padrão. |
Only Suspicious Entity Insight |
Opcional Se selecionada, a ação cria insights apenas para entidades suspeitas. Se você selecionar esse parâmetro, também selecione o
|
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidade
A tabela a seguir lista os valores para o enriquecimento de indicadores ao usar a ação Enriquecer entidades:
| Nome do campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
first_seen |
first_seen |
Aplicável quando disponível em JSON. |
last_seen |
last_seen |
Aplicável quando disponível em JSON. |
sources |
Um arquivo CSV de valores sources/source_name exclusivos. |
Aplicável quando disponível em JSON. |
mscore |
mscore |
Aplicável quando disponível em JSON. |
attributed_associations_{associated_associations/type}
|
Um arquivo CSV de chaves attributed_associations/name para
cada tipo de attributed_associations/type (uma chave para cada
tipo). |
Aplicável quando disponível em JSON. |
report_link |
Criado. | Aplicável quando disponível em JSON. |
A tabela a seguir lista os valores para o enriquecimento da entidade Threat Actors ao usar a ação Enriquecer entidades:
| Nome do campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
motivations |
CSV de valores motivations/name. |
Aplicável quando disponível em JSON. |
aliases |
CSV de valores aliases/name. |
Aplicável quando disponível em JSON. |
industries |
CSV de valores industries/name. |
Aplicável quando disponível em JSON. |
malware |
CSV de valores malware/name. |
Aplicável quando disponível em JSON. |
locations\_source |
CSV de valores locations/source/country/name. |
Aplicável quando disponível em JSON. |
locations\_target |
CSV de valores locations/target/name. |
Aplicável quando disponível em JSON. |
cve |
CSV de valores cve/cve\_id. |
Aplicável quando disponível em JSON. |
description |
description |
Aplicável quando disponível em JSON. |
last\_activity\_time |
last\_activity\_time |
Aplicável quando disponível em JSON. |
report\_link |
Criado. | Aplicável quando disponível em JSON. |
A tabela a seguir lista os valores para o enriquecimento da entidade Vulnerability ao usar a ação Enriquecer entidades:
| Nome do campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
sources |
CSV de valores source_name. |
Aplicável quando disponível em JSON. |
exploitation_state |
exploitation_state |
Aplicável quando disponível em JSON. |
date_of_disclosure |
date_of_disclosure |
Aplicável quando disponível em JSON. |
vendor_fix_references |
vendor_fix_references/url |
Aplicável quando disponível em JSON. |
title |
title |
Aplicável quando disponível em JSON. |
exploitation_vectors |
CSV de valores exploitation_vectors. |
Aplicável quando disponível em JSON. |
description |
description |
Aplicável quando disponível em JSON. |
risk_rating |
risk_rating |
Aplicável quando disponível em JSON. |
available_mitigation |
CSV de valores available_mitigation. |
Aplicável quando disponível em JSON. |
exploitation_consequence |
exploitation_consequence |
Aplicável quando disponível em JSON. |
report_link |
Feito à mão | Aplicável quando disponível em JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON para indicadores recebidos ao usar a ação Enriquecer entidades:
{
"Entity": "192.0.2.1",
"EntityResult": {
"first_seen": "2022-03-22T21:46:43.000Z",
"last_seen": "2022-05-22T00:58:48.000Z",
"sources": [
{
"first_seen": "2022-03-22T21:46:46.000+0000",
"last_seen": "2022-03-24T19:12:57.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 100,
"attributed_associations": [
{
"id": "malware--f1151a22-9d9c-589d-90ad-xxxxx",
"name": "EMOTET",
"type": "malware"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"microsoft": false,
"microsoft-office365": false,
"crl-hostname": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"dax30": false,
"public-dns-v4": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": false,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"alexa_1M": false,
"automated-malware-analysis": false,
"rfc6598": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": false,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": true,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "ID",
"type": "ipv4",
"value": "192.0.2.1",
"is_publishable": true,
"last_updated": "2022-05-22T01:04:46.098Z",
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
O exemplo a seguir mostra a saída do resultado JSON para a entidade Threat Actor
recebida ao usar a ação Enriquecer entidades:
{
"Entity": "ENTITY_ID",
"EntityResult": {
"motivations": [
{
"id": "ID",
"name": "Example",
"attribution_scope": "confirmed"
}
],
"aliases": [
{
"name": "Comment Crew (Internet)",
"attribution_scope": "confirmed"
}
],
"industries": [
{
"id": "ID",
"name": "Aerospace & Defense",
"attribution_scope": "confirmed"
},
{
"id": "ID",
"name": "Transportation",
"attribution_scope": "confirmed"
}
],
"observed": [
{
"earliest": "2003-06-20T12:00:00.000Z",
"recent": "2015-10-20T00:00:00.000Z",
"attribution_scope": "confirmed"
}
],
"malware": [
{
"id": "malware--ID",
"name": "EXAMPLE1",
"attribution_scope": "confirmed"
},
{
"id": "malware--ID",
"name": "EXAMPLE2",
"attribution_scope": "confirmed"
}
],
"tools": [
{
"id": "malware--ID",
"name": "EXAMPLE3",
"attribution_scope": "confirmed"
}
],
"suspected_attribution": [],
"locations": {
"source": [
{
"region": {
"id": "location--ID",
"name": "Asia",
"attribution_scope": "confirmed"
},
"sub_region": {
"id": "location--ID",
"name": "East Asia",
"attribution_scope": "confirmed"
},
"country": {
"id": "location--ID",
"name": "China",
"iso2": "CN",
"attribution_scope": "confirmed"
}
}
],
"target": [
{
"id": "location--ID",
"name": "Belgium",
"iso2": "be",
"region": "Europe",
"sub-region": "West Europe",
"attribution_scope": "confirmed"
}
],
"target_sub_region": [
{
"id": "location--ID",
"name": "East Asia",
"key": "eastasia",
"region": "Asia",
"attribution_scope": "confirmed"
}
],
"target_region": [
{
"id": "location--ID",
"name": "Africa",
"key": "africa",
"attribution_scope": "confirmed"
}
]
},
"cve": [
{
"id": "vulnerability--ID",
"cve_id": "CVE-ID",
"attribution_scope": "confirmed"
}
],
"associated_uncs": [],
"id": "threat-actor--ID",
"name": "Example",
"description": "A description of the threat actor",
"type": "threat-actor",
"last_updated": "2022-05-29T05:30:48.000Z",
"last_activity_time": "2015-10-20T00:00:00.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 171,
"malware": 92,
"cve": 1,
"associated_uncs": 0,
"aliases": 4,
"industries": 16,
"attack_patterns": 111
},
"intel_free": true,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
O exemplo a seguir mostra a saída do resultado JSON para a entidade Vulnerability
recebida ao usar a ação Enriquecer entidades:
{
"Entity": "CVE-ID",
"EntityResult": {
"exploits": [],
"vulnerable_products": "<p>The following vendors/products have been reported as vulnerable:</p>\\n<ul>\\n<li>Company A: Example Application Server 7.01, 7.02, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, and 7.86</li>\\n</ul>",
"sources": [
{
"source_description": "Company A Security Patch Day – January 2022",
"source_name": "Company A",
"url": "URL",
"date": "2022-01-11T17:00:00.000Z",
"unique_id": "ID"
}
],
"exploitation_state": "No Known",
"date_of_disclosure": "2022-01-11T07:00:00.000Z",
"id": "vulnerability--ID",
"vendor_fix_references": [
{
"url": "https://launchpad.support.company.com/#/notes/ID",
"name": "Company A ID Security Update Information",
"unique_id": "ID"
}
],
"title": "Company A Example Application Server 7.86 Unspecified Vulnerability",
"exploitation_vectors": [
"General Network Connectivity"
],
"was_zero_day": false,
"vulnerable_cpes": [
{
"technology_name": "example_as_abap 7.31",
"vendor_name": "Company A",
"cpe_title": "company a example_as_abap 7.31",
"cpe": "cpe:2.3:a:company a:example_as_abap:7.31:*:*:*:*:*:*:*"
}
],
"executive_summary": "<p>An unspecified vulnerability exists within Company A Example Application Server 7.86 and earlier that, when exploited, allows an authenticated attacker to remotely access potentially sensitive information. Exploit code is not publicly available. Mitigation options include a vendor fix.</p>",
"cwe": "Unknown",
"description": null,
"cve_id": "CVE-ID",
"risk_rating": "LOW",
"observed_in_the_wild": false,
"common_vulnerability_scores": {
"v2.0": {
"access_complexity": "LOW",
"temporal_score": 3,
"confidentiality_impact": "PARTIAL",
"report_confidence": "CONFIRMED",
"base_score": 4,
"access_vector": "NETWORK",
"vector_string": "AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:OF/RC:C",
"integrity_impact": "NONE",
"availability_impact": "NONE",
"remediation_level": "OFFICIAL_FIX",
"authentication": "SINGLE",
"exploitability": "UNPROVEN"
}
},
"available_mitigation": [
"Patch"
],
"exploitation_consequence": "Information Disclosure",
"analysis": "<p>Mandiant Threat Intelligence considers this a Low-risk vulnerability because of the privileges required and the limited impact upon exploitation.</p>",
"audience": [
"intel_vuln"
],
"publish_date": "2022-01-11T18:24:00.000Z",
"workarounds": null,
"type": "vulnerability",
"is_publishable": true,
"associated_actors": [],
"associated_malware": [],
"intel_free": false,
"report_link": "https://advantage.mandiant.com/indicator/ipv4/ID"
}
}
Mensagens de saída
A ação Enriquecer entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer entidades:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IOCs
Use a ação Enriquecer IOCs para receber informações sobre IOCs da Mandiant Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enriquecer IOCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Identifiers |
Obrigatório Uma lista separada por vírgulas de IOCs a serem enriquecidos. |
Saídas de ação
A ação Enriquecer IOCs fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IOCs:
{
"first_seen": "2011-09-12T12:23:13.000Z",
"last_seen": "2011-09-12T12:23:13.000Z",
"sources": [
{
"first_seen": "2011-09-12T12:23:13.000+0000",
"last_seen": "2011-09-12T12:23:13.000+0000",
"osint": false,
"category": [],
"source_name": "Mandiant"
}
],
"mscore": 47,
"attributed_associations": [
{
"id": "threat-actor--ID",
"name": "Example",
"type": "threat-actor"
}
],
"misp": {
"smtp-receiving-ips": false,
"covid": false,
"eicar.com": false,
"majestic_million": false,
"sinkholes": false,
"alexa": false,
"cisco_top1000": false,
"crl-hostname": false,
"microsoft-office365": false,
"microsoft": false,
"googlebot": false,
"microsoft-azure-germany": false,
"microsoft-attack-simulator": false,
"microsoft-azure": false,
"rfc5735": false,
"tranco10k": false,
"public-dns-v4": false,
"dax30": false,
"dynamic-dns": false,
"public-dns-v6": false,
"covid-19-cyber-threat-coalition-whitelist": false,
"common-ioc-false-positive": false,
"cisco_1M": false,
"google-gmail-sending-ips": false,
"microsoft-azure-china": false,
"stackpath": false,
"google": false,
"cloudflare": false,
"moz-top500": false,
"tranco": false,
"tlds": true,
"university_domains": false,
"smtp-sending-ips": false,
"cisco_top20k": false,
"empty-hashes": false,
"nioc-filehash": false,
"amazon-aws": false,
"url-shortener": false,
"microsoft-office365-ip": false,
"microsoft-win10-connection-endpoints": false,
"microsoft-azure-us-gov": false,
"majestic_million_1M": false,
"mozilla-CA": false,
"whats-my-ip": false,
"microsoft-office365-cn": false,
"vpn-ipv6": false,
"rfc3849": false,
"rfc6761": false,
"security-provider-blogpost": false,
"cisco_top5k": false,
"apple": false,
"public-dns-hostname": false,
"mozilla-IntermediateCA": false,
"rfc1918": false,
"ti-falsepositives": false,
"akamai": false,
"bank-website": false,
"automated-malware-analysis": false,
"rfc6598": false,
"alexa_1M": false,
"google-gcp": false,
"ovh-cluster": false,
"multicast": false,
"phone_numbers": false,
"fastly": false,
"cisco_top10k": false,
"second-level-tlds": true,
"wikimedia": false,
"disposable-email": false,
"common-contact-emails": false,
"vpn-ipv4": false,
"ipv6-linklocal": false,
"covid-19-krassi-whitelist": false,
"crl-ip": false
},
"id": "fqdn--ID",
"type": "fqdn",
"value": "example.com",
"is_publishable": true,
"is_exclusive": true,
"last_updated": "2022-02-21T13:20:27.176Z"
}
Mensagens de saída
A ação Enriquecer IOCs pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich IOCs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes do malware
Use a ação Receber detalhes do malware para obter informações sobre malware da Mandiant Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes de malware exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Malware Names |
Obrigatório Uma lista separada por vírgulas de nomes de malware para enriquecer. |
Create Insight |
Opcional Se selecionada, a ação cria um insight que contém todas as informações recuperadas sobre a entidade. |
Fetch Related IOCs |
Opcional Se selecionada, a ação vai buscar indicadores relacionados ao malware fornecido. |
Max Related IOCs To Return |
Opcional O número de indicadores que a ação processa para cada malware. O valor padrão é 100. |
Saídas de ação
A ação Receber detalhes de malware fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes de malware:
{
"inherently_malicious": 1,
"operating_systems": [
"Windows"
],
"aliases": [],
"capabilities": [
{
"name": "Allocates memory",
"description": "Capable of allocating memory. "
}
],
"detections": [],
"yara": [],
"roles": [
"Cryptocurrency Miner"
],
"malware": [],
"actors": [],
"cve": [],
"id": "malware--ID",
"name": "EXAMPLE",
"description": "Example description",
"type": "malware",
"last_updated": "2022-04-13T02:59:30.000Z",
"last_activity_time": "2022-04-13T02:59:30.000Z",
"audience": [
{
"name": "intel_fusion",
"license": "INTEL_RBI_FUS"
}
],
"is_publishable": true,
"counts": {
"reports": 0,
"capabilities": 26,
"malware": 0,
"actors": 0,
"detections": 0,
"cve": 0,
"aliases": 0,
"industries": 5,
"attack_patterns": 19
},
"intel_free": false
}
Mensagens de saída
A ação Receber detalhes de malware pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Malware Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do malware:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar entidades relacionadas
Use a ação Receber entidades relacionadas para obter detalhes sobre indicadores de comprometimento (IOCs, na sigla em inglês) relacionados a entidades usando informações do Mandiant Threat Intelligence.
Essa ação é executada nas seguintes entidades do Google SecOps:
HostnameIP AddressURLFile HashThreat Actor
Entradas de ação
A ação Receber entidades relacionadas exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Lowest Severity Score |
Obrigatório A pontuação de gravidade mais baixa para retornar indicadores relacionados. O valor padrão é 50. O valor máximo é 100. |
Max IOCs To Return |
Opcional O número de indicadores que a ação processa para cada entidade. O valor padrão é 100. |
Saídas de ação
A ação Receber entidades relacionadas fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber entidades relacionadas:
{
"hash": "VALUE",
"url": "VALUE",
"fqdn": "VALUE",
"ip": "VALUE",
"email": "VALUE"
}
Mensagens de saída
A ação Receber entidades relacionadas pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber entidades relacionadas:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com a Mandiant Threat Intelligence.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Mandiant server with the provided
connection parameters! |
A ação foi concluída. |
Failed to connect to the Mandiant server! Error is
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.