FireEye AX
Versione integrazione: 3.0
Casi d'uso
Eseguire l'arricchimento delle entità.
Configura l'integrazione di FireEye AX in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https:/<<ip address>> | Sì | Radice API dell'istanza di Trellix Malware Analysis. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Malware Analysis. |
| Password | Password | N/D | Sì | Password dell'account Trellix Malware Analysis. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Trellix Malware Analysis sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a Trellix Malware Analysis con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Invia URL
Descrizione
Invia il file per l'analisi utilizzando l'URL in Trellix Malware Analysis. Entità supportate: URL.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Profilo VM | Stringa | N/D | Sì | Specifica il profilo della macchina virtuale da utilizzare durante l'analisi. I profili VM disponibili sono disponibili nell'azione "Ottieni dettagli appliance" |
| ID applicazione | Stringa | N/D | No | Specifica l'ID dell'applicazione da utilizzare durante l'analisi del file. Per impostazione predefinita, Trellix Malware Analysis selezionerà automaticamente l'applicazione necessaria. Per ottenere un elenco delle applicazioni disponibili sul profilo, esegui l'azione "Ottieni dettagli elettrodomestico". |
| Priorità | DDL | Normale Valori possibili: Normale Urgente |
No | Specifica la priorità per l'invio. "Normale" inserisce l'invio in fondo alla coda, mentre "Urgente" lo inserisce in cima. |
| Forza nuova scansione | Casella di controllo | No | Se abilitata, l'azione forzerà Trellix Malware Analysis a eseguire nuovamente la scansione del file inviato. | |
| Tipo di analisi | DDL | In diretta Valori possibili: In diretta Sandbox |
No | Specifica il tipo di analisi. Se è selezionata l'opzione "Live", Trellix Malware Analysis analizzerà i file sospetti in tempo reale all'interno del motore di analisi Multi-Vector Virtual Execution (MVX) di Malware Analysis. Se è selezionata l'opzione "Sandbox", Trellix Malware Analysis analizzerà i file sospetti in un ambiente chiuso e protetto. |
| Crea approfondimento | Casella di controllo | Sì | Se attivata, l'azione creerà un approfondimento contenente informazioni sul file inviato. |
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Tabella di arricchimento
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| dannose | Quando disponibile in formato JSON |
| gravità | Quando disponibile in formato JSON |
Informazioni sull'entità
Esempio di approfondimento sull'entità:
Malicious: True
Gravità: MINR Conteggio servizi C&C: 0 Conteggio processi eseguiti: 0 Conteggio modifiche al registro: 0 Conteggio file estratti: 0
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Se i dati non sono disponibili per uno (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Trellix Malware Analysis: {entity.identifier}" Se i dati non sono disponibili per tutti (is_success=false): nessuna delle entità fornite è stata arricchita. Messaggio asincrono: in attesa dell'elaborazione dei seguenti file: {pending files} L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se timeout: "Error executing action "Enrich Entities". Motivo: l'azione è scaduta. I seguenti file sono ancora in fase di elaborazione: {pending urls}. Aumenta il timeout nell'IDE. Nota: l'aggiunta degli stessi file creerà un job di analisi separato in Trellix Malware Analysis. |
Generale |
| Tabella Bacheca casi | Titolo: {entity.identifier} | Entità |
Invia file
Descrizione
Invia il file per l'analisi in Trellix Malware Analysis.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorsi file | CSV | N/D | Sì | Specifica un elenco separato da virgole di percorsi file assoluti per l'invio. |
| Profilo VM | Stringa | N/D | Sì | Specifica il profilo della macchina virtuale da utilizzare durante l'analisi. I profili VM disponibili sono disponibili nell'azione "Ottieni dettagli appliance" |
| ID applicazione | Stringa | N/D | No | Specifica l'ID dell'applicazione da utilizzare durante l'analisi del file. Per impostazione predefinita, Trellix Malware Analysis selezionerà automaticamente l'applicazione necessaria. Per ottenere un elenco delle applicazioni disponibili sul profilo, esegui l'azione "Ottieni dettagli elettrodomestico". |
| Priorità | DDL | Normale Valori possibili: Normale Urgente |
No | Specifica la priorità per l'invio. "Normale" inserisce l'invio in fondo alla coda, mentre "Urgente" lo inserisce in cima. |
| Forza nuova scansione | Casella di controllo | No | Se abilitata, l'azione forzerà Trellix Malware Analysis a eseguire nuovamente la scansione del file inviato. | |
| Tipo di analisi | DDL | In diretta Valori possibili: In diretta Sandbox |
No | Specifica il tipo di analisi. Se è selezionata l'opzione "Live", Trellix Malware Analysis analizzerà i file sospetti in tempo reale all'interno del motore di analisi Multi-Vector Virtual Execution (MVX) di Malware Analysis. Se è selezionata l'opzione "Sandbox", Trellix Malware Analysis analizzerà i file sospetti in un ambiente chiuso e protetto. |
| Crea approfondimento | Casella di controllo | Sì | Se attivata, l'azione creerà un approfondimento contenente informazioni sul file inviato. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Informazioni sull'entità
Esempio di approfondimento sull'entità:
Malicious: True
Gravità: MAJR Conteggio servizi C&C: 15 Conteggio processi eseguiti: 0 Conteggio modifiche al registro: 13 Conteggio file estratti: 10
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Messaggio asincrono: in attesa dell'elaborazione dei seguenti file: {pending files} L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica il timeout: "Errore durante l'esecuzione dell'azione "Invia file". Motivo: l'azione è scaduta. I seguenti file sono ancora in fase di elaborazione: {pending files}. Aumenta il timeout nell'IDE. Nota: l'aggiunta degli stessi file creerà un job di analisi separato in Trellix Malware Analysis. Se non è stato trovato almeno un file: "Errore durante l'esecuzione dell'azione "Allega file alla richiesta". Motivo: i seguenti file non sono stati trovati o l'azione non dispone di autorizzazioni sufficienti per accedervi: {not available files}' |
Generale |
Recuperare i dettagli dell'appliance
Descrizione
Recupera informazioni sull'appliance Trellix Malware Analysis.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.