Cisco Threat Grid

整合版本:13.0

在 Google Security Operations 中設定 Cisco Threat Grid 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

動作

取得雜湊關聯網域

說明

取得與指定雜湊相關聯的網域。

參數

不適用

用途

不適用

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充
補充資料欄位名稱 邏輯 - 應用時機
cisco_threat_grid.get_associated_network 如果 JSON 結果中存在該值,則傳回該值
深入分析

不適用

指令碼執行結果
指令碼結果名稱 值選項 範例
成功 True/False success:False
JSON 結果
[
    {
        "EntityResult": ["migsel.com"],
        "Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

取得與雜湊相關聯的 IP

說明

取得與指定雜湊相關聯的 IP。

參數

不適用

用途

不適用

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充
補充資料欄位名稱 邏輯 - 應用時機
cisco_threat_grid.get_associated_network 如果 JSON 結果中存在該值,則傳回該值
深入分析

不適用

指令碼執行結果
指令碼結果名稱 值選項 範例
成功 True/False success:False
JSON 結果
[
    {
        "EntityResult": ["95.128.128.129",
                         "192.168.1.255",
                         "192.168.1.1"],
        "Entity": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

取得提交內容

說明

依實體取得提交內容。

參數

參數名稱 類型 預設值 說明
門檻 字串 50 如果最高威脅分數超過門檻,請標示為可疑。

用途

不適用

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • Filehash
  • 主機名稱
  • 程序
  • 網址
  • 檔案名稱

動作執行結果

實體擴充

如果最高分數超過門檻,實體就會標示為可疑。否則: false。

補充資料欄位名稱 邏輯 - 應用時機
名稱 如果 JSON 結果中存在該值,則傳回該值
已提交 如果 JSON 結果中存在該值,則傳回該值
分數 如果 JSON 結果中存在該值,則傳回該值
指標 如果 JSON 結果中存在該值,則傳回該值
SHA256 如果 JSON 結果中存在該值,則傳回該值
MD5 如果 JSON 結果中存在該值,則傳回該值
深入分析

不適用

指令碼執行結果
指令碼結果名稱 值選項 範例
成功 True/False success:False
JSON 結果
[
    {
        "EntityResult": [
            {
            "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
             "Submitted": "2018-06-13T09:16:12Z",
             "Score": 95,
             "Indicators": 20,
             "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
             "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:15:51Z",
                "Score": 95,
                "Indicators": 21,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:14:38Z",
                "Score": 95,
                "Indicators": 20,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:13:12Z",
                "Score": 95,
                "Indicators": 19,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }, {
                "Name": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894.exe",
                "Submitted": "2018-06-13T09:12:27Z",
                "Score": 95,
                "Indicators": 19,
                "SHA256": "dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894",
                "MD5": "5fa6b79842cec6d8d172fb16e56b7247"
            }
        ],
        "Entity\": \"dfdca325e9a23bb0131d1f887480481f961f3df919a0609d6472381e76a53894"
    }
]

乒乓

說明

測試連線。

參數

不適用

用途

不適用

執行時間

這項操作會對所有實體執行。

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 值選項 範例
成功 True/False success:False
JSON 結果
N/A

上傳樣本

說明

上傳並分析樣本。

參數

參數名稱 類型 預設值 說明
參數 類型 預設值 說明
檔案路徑 字串 不適用 範例檔案路徑。
Vm 字串 不適用 要執行分析的 VM。例如:win7-x64
應對手冊 字串 不適用 要套用至這個樣本執行的教戰手冊名稱。範例:default
Network Exit 字串 不適用 分析期間產生的任何外送網路流量,都會顯示為從網路出口位置離開。
私人 核取方塊 已勾選 如果勾選這個選項,樣本就會標示為私人。
Linux 伺服器位址 字串 不適用 指定檔案所在的遠端 Linux 伺服器 IP 位址。
Linux 使用者名稱 字串 不適用 指定檔案所在遠端 Linux 伺服器的使用者名稱。
Linux 密碼 密碼 不適用 指定檔案所在遠端 Linux 伺服器的密碼。

用途

不適用

執行時間

這項操作會對所有實體執行。

動作執行結果

實體擴充

不適用

深入分析

不適用

指令碼執行結果
指令碼結果名稱 值選項 範例
分數 不適用 不適用
JSON 結果
{
    "count": 0,
    "max-confidence": 0,
    "sample": "99ca73a47996cc3069e39a672728a49c",
    "score": 0,
    "bis": [],
    "max-severity": 0
}
案件總覽
結果類型 值 / 說明 類型
輸出訊息* 如果未提供「Linux 伺服器地址」、「Linux 使用者名稱」或「Linux 密碼」參數: 執行動作「{action_name}」時發生錯誤。原因:如要連線至遠端伺服器,您必須為所有參數提供值,包括「Linux 伺服器地址」、「Linux 使用者名稱」和「Linux 密碼」。 一般

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。