DeepSight
통합 버전: 7.0
Google Security Operations에서 DeepSight 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
핑
설명
연결을 테스트합니다.
매개변수
이 작업은 모든 항목에서 실행됩니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | True/False | null:False |
JSON 결과
N/A
도메인 스캔
설명
도메인을 스캔합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- 사용자
- 호스트 이름
- URL
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| 허용됨 | JSON 결과에 존재하는 경우에 반환 |
| schemaVersion | JSON 결과에 존재하는 경우에 반환 |
| whois | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"EntityResult":
{
"domain": "example.com",
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "Reno",
"updated": "2014-04-30T00: 00: 00Z",
"created": "1994-11-01T00: 00: 00Z",
"nameServers": ["NS1.P31.DYNECT.NET",
"NS2.P31.DYNECT.NET",
"NS3.P31.DYNECT.NET"],
"country": "Us",
"expires": "2022-10-31T00: 00: 00Z",
"person": "Hostmaster,AmazonLegalDept.",
"registrar": "MarkmonitorInc.",
"postalCode": "89507",
"organization": "AmazonTechnologies,Inc.",
"email":"john_doe@example.com"
}
},
"Entity": "example.com"
}]
이메일 스캔
설명
이메일을 스캔합니다.
매개변수
해당 사항 없음
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 날짜 | JSON 결과에 존재하는 경우에 반환 |
| 제목 | JSON 결과에 존재하는 경우에 반환 |
| uri | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "john_doe@example.com"
}]
파일 이름 스캔
설명
이벤트에 참여한 이름의 스캔입니다.
매개변수
해당 사항 없음
실행
이 작업은 파일 이름 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 날짜 | JSON 결과에 존재하는 경우에 반환 |
| 제목 | JSON 결과에 존재하는 경우에 반환 |
| uri | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | True/False | null:False |
JSON 결과
[{
"EntityResult":
{
"date": "2015-04-27T01:10Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
},
"Entity": "BadGuy1"
}]
스캔 해시
설명
해시를 스캔합니다.
매개변수
해당 사항 없음
실행
이 작업은 파일 이름 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| matiReports | JSON 결과에 존재하는 경우에 반환 |
| 무엇이며 | JSON 결과에 존재하는 경우에 반환 |
| detection_name | JSON 결과에 존재하는 경우에 반환 |
| 활동 | JSON 결과에 존재하는 경우에 반환 |
| schemaVersion | JSON 결과에 존재하는 경우에 반환 |
| sha256 | JSON 결과에 존재하는 경우에 반환 |
| 이벤트 | JSON 결과에 존재하는 경우에 반환 |
| md5 | JSON 결과에 존재하는 경우에 반환 |
| 평판 | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"EntityResult":
{
"matiReports":
[{
"date": "2015-04-27T01:10:47Z",
"title": "Laziok Trojan Activity and Infrastructure\\u2014January to April 2015",
"uri": "/v1/mati/reports/300156",
"id": 300156
}],
"intelligence":
{
"countries": ["kor", "Gtm","are"],
"paths": ["CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike"],
"fileNames": ["SEARCHLIKE.EXE"],
"parentProcesses": ["f8403ce30c3a2a42b4604c2cf952533ed828a3d7bdb289b0cec82b8844a72a5a"],
"filesCreated": [{"path": "CSIDL_PROFILE\\\\appdata\\\\local\\\\searchlike",
"sha256": "6d873e6198f7aca685b4c697dfbf82e3450ed5277c5f3c55b1b6fb0338521e0f",
"fileName": "B_SEARCHLIKEEX.EXE"
}]
},
"detection_name": "Trojan.Mdropper",
"Activity":
{
"dns": [{"type": "A",
"target": "acroipm2.adobe.com"}],
"urls": [{"url":
"http://acroipm.adobe.com/assets/102.zip"}]
},
"schemaVersion": 3,
"sha256": "e46d5472e49793017892cb18a0aa174ff9c5b79cec0a9451f1b70e21b19855c2",
"events":
[{
"pid": 2528,
"type": "PROCESS:CURRENT",
"target": "C:\\\\Windows\\\\SysWOW64\\\\cmd.exe",
"severity": 1,
"details": "B41859D39D786D32B23A9D2E00F4011DEC7A02402AE"
}],
"md5": "a77e89bf60e931477f5858a004fb5e0a",
"reputation": "Malicious"
},
"Entity": "a77e89bf60e931477f5858a004fb5e0a"
}]
IP 검색
설명
IP 주소를 스캔합니다.
매개변수
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 위치정보 | JSON 결과에 존재하는 경우에 반환 |
| 네트워크 | JSON 결과에 존재하는 경우에 반환 |
| targetIndustries | JSON 결과에 존재하는 경우에 반환 |
| ip | JSON 결과에 존재하는 경우에 반환 |
| 허용됨 | JSON 결과에 존재하는 경우에 반환 |
| 행동 | JSON 결과에 존재하는 경우에 반환 |
| targetCountries | JSON 결과에 존재하는 경우에 반환 |
| lastSeen | JSON 결과에 존재하는 경우에 반환 |
| urls | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| 조직 | JSON 결과에 존재하는 경우에 반환 |
| schemaVersion | JSON 결과에 존재하는 경우에 반환 |
| firstSeen | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"EntityResult":
{
"geolocation":
{
"latitude": 39.91176055,
"city": "Beijing",
"longitude": 116.3792325,
"country": "China"
},
"Network":
{
"carrier": "ChinaUnicomBeijingProvinceNetwork",
"asn": 4808,
"lineSpeed": "High",
"ipRouting": "Fixed"
},
"targetIndustries":
[{
"name": "Utilities",
"naics": 221
},{
"name": "Telecommunications",
"naics": 517
}],
"ip": "1.1.1.1",
"whitelisted": false,
"behaviours":
[{
"behaviour": "Attacks",
"type": "WWWAttacks",
"description": "FakeBrowserUpdate"
}],
"targetCountries": ["fra", "tur", "twn"],
"lastSeen": "2019-01-20T00: 00: 00Z",
"urls":
[{
"url": "http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f",
"uri": "/v1/urls/http: //iremedypro.com/assets/img/jQuery/014/LOGS/c1dabc02e7c9c23688fcdccb9c94379f"
}],
"domains":
[{
"domain": "iremedypro.com",
"uri": "/v1/domains/iremedypro.com"
}],
"Organization":
{
"isic": "J6110",
"type": "InternetServiceProvider",
"name": "ChinaUnicomBeijingProvinceNetwork",
"naics": 517110
},
"schemaVersion": 2,
"firstSeen": "2016-01-01T00: 00: 00Z"
},
"Entity": "1.1.1.1"
}]
URL 스캔
설명
URL을 스캔합니다.
매개변수
해당 사항 없음
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| url | JSON 결과에 존재하는 경우에 반환 |
| 호스트 | JSON 결과에 존재하는 경우에 반환 |
| 허용됨 | JSON 결과에 존재하는 경우에 반환 |
| schemaVersion | JSON 결과에 존재하는 경우에 반환 |
| whois | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| null | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"EntityResult":
{
"url": "https: //www.facebook.com",
"host":
{
"domain": "facebook.com",
"uri": "/v1/domains/facebook.com"
},
"whitelisted": true,
"schemaVersion": 2,
"whois":
{
"city": "MenloPark",
"updated": "2015-08-25T00: 00: 00Z",
"created": "1997-03-29T00: 00: 00Z",
"nameServers": ["A.NS.FACEBOOK.COM", "B.NS.FACEBOOK.COM"],
"country": "Us",
"expires": "2020-03-30T00: 00: 00Z",
"person": "DomainAdministrator",
"registrar": "MarkmonitorInc.",
"postalCode": "94025",
"organization": "Facebook,Inc.",
"email": "john_doe@example.com"
}
},
"Entity": "https: //www.facebook.com"
}]
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.