Integrar Mandiant Digital Threat Monitoring con Google SecOps
En este documento se explica cómo integrar Mandiant Digital Threat Monitoring con Google Security Operations (Google SecOps).
Versión de integración: 4.0
Parámetros de integración
La integración de Monitorización de amenazas digitales de Mandiant requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio La raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Client ID |
Optional El ID de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
Client Secret |
Optional La clave secreta de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor La autenticación mediante la clave de la API Google Threat Intelligence tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
La integración de Monitorización de amenazas digitales de Mandiant incluye las siguientes acciones:
Ping
Usa la acción Ping para probar la conectividad con el servidor de Monitorización de amenazas digitales de Mandiant.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Actualizar alerta para actualizar una alerta en Monitorización de amenazas digitales de Mandiant.
Entradas de acciones
La acción Actualizar alerta requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio ID de la alerta que se va a actualizar. |
Status |
Optional El estado de la alerta. Estos son los valores posibles:
|
Resultados de la acción
La acción Actualizar alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Update Alert (Actualizar alerta):
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensajes de salida
La acción Actualizar alerta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
La acción se ha realizado correctamente. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).
Mandiant DTM - Alerts Connector
Usa el conector de alertas de DTM de Mandiant para extraer alertas de Mandiant Digital Threat Monitoring. Para trabajar con una lista dinámica, usa el parámetro alert_type.
El conector de alertas de Mandiant DTM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se asigna el valor predeterminado al entorno. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es |
Script Timeout |
Obligatorio El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180. |
API Root |
Obligatorio La raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Client ID |
Optional El ID de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
Client Secret |
Optional La clave secreta de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor Cuando te autenticas con la clave de la API Google Threat Intelligence, tiene prioridad sobre otros métodos de autenticación. |
Lowest Severity To Fetch |
Optional
La puntuación de gravedad más baja de las alertas que se van a recuperar. Si no configura este parámetro, el conector ingiere alertas de todas las gravedades. El parámetro acepta los siguientes valores de gravedad:
|
Monitor ID Filter |
Optional Lista de IDs de monitor separados por comas para obtener las alertas. |
Max Hours Backwards |
Obligatorio
Número de horas anteriores a partir de las cuales se deben obtener las alertas. El valor predeterminado es 1 hora. |
Max Alerts To Fetch |
Obligatorio
Número de alertas que se deben procesar en cada iteración del conector. El valor predeterminado es 25. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona esta opción, la integración usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, verifica que el certificado SSL de la conexión al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Optional La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
Eventos del conector
Hay dos tipos de eventos para Mandiant DTM – Alerts Connector: un evento basado en la alerta principal y un evento basado en un tema.
A continuación se muestra un ejemplo del evento del conector basado en la alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
A continuación se muestra un ejemplo del evento del conector basado en un tema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.