Cette page a été traduite par l'API Cloud Translation.

Mandiant Managed Defense

Ce document fournit des conseils pour vous aider à configurer et à intégrer Mandiant Managed Defense à Google Security Operations SOAR.

Version de l'intégration : 2.0

Intégrer Mandiant Managed Defense à Google SecOps

L'intégration nécessite les paramètres suivants :

Paramètres	Description
`API Root`	Obligatoire Racine de l'API de l'instance Mandiant. La valeur par défaut est `https://api.services.mandiant.com`.
`Client ID`	Obligatoire Valeur de l'ID client du compte Mandiant Managed Defense.
`Client Secret`	Obligatoire Valeur du code secret du client du compte Mandiant Managed Defense.
`Verify SSL`	Obligatoire Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Mandiant est valide. Cette option est sélectionnée par défaut.

Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois les instances configurées, vous pouvez les utiliser dans les playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

L'intégration comprend les actions suivantes :

Ping

Ping

Utilisez l'action Ping pour tester la connectivité à Mandiant Managed Defense.

Cette action ne s'applique pas aux entités.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ping fournit les messages de sortie suivants :

Message affiché Description du message

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! Action effectuée.

Message affiché	Description du message
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	Action effectuée.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Connecteurs

Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Mandiant Managed Defense – Investigations

Utilisez le connecteur Mandiant Managed Defense – Investigations pour récupérer les investigations depuis Mandiant Managed Defense.

La liste dynamique fonctionne avec le paramètre name.

Entrées du connecteur

Le connecteur Mandiant Managed Defense – Investigations nécessite les paramètres suivants :

Paramètres	Description
`Product Field Name`	Obligatoire Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est `Product Name`.
`Event Field Name`	Obligatoire Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. La valeur par défaut est `type`.
`Environment Field Name`	Optional Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. La valeur par défaut est `""`.
`Environment Regex Pattern`	Optional Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
`Script Timeout (Seconds)`	Obligatoire Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est 180.
`API Root`	Obligatoire Racine de l'API de l'instance Mandiant. La valeur par défaut est `https://api.services.mandiant.com`.
`Client ID`	Obligatoire Valeur de l'ID client du compte Mandiant Managed Defense.
`Client Secret`	Obligatoire Valeur du code secret du client du compte Mandiant Managed Defense.
`Status Filter`	Optional Filtre d'état pour les investigations. Si vous ne fournissez aucune valeur, le connecteur ingère les investigations avec toutes les valeurs d'état. Les valeurs possibles sont les suivantes : `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Obligatoire Nombre d'heures avant la première itération du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois. La valeur par défaut est de 24 heures.
`Max Investigations To Fetch`	Obligatoire Nombre d'investigations à traiter dans une itération de connecteur. La valeur par défaut est 100. La valeur maximale est de 100.
`Use dynamic list as a blocklist`	Obligatoire Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut).
`Verify SSL`	Obligatoire Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL pour la connexion au serveur Mandiant est valide. Cette option est sélectionnée par défaut.
`Proxy Server Address`	Optional Adresse du serveur proxy à utiliser.
`Proxy Username`	Optional Nom d'utilisateur du proxy pour l'authentification.
`Proxy Password`	Optional Mot de passe du proxy pour l'authentification.
`Disable Overflow`	Optional Sélectionnez cette option pour désactiver le dépassement d'événements. (non sélectionnée par défaut).

Règles du connecteur

Le connecteur Mandiant Managed Defense – Investigations est compatible avec les proxys.

Événements de connecteur

Voici un exemple d'événement Mandiant Managed Defense – Investigations Connector dans Google SecOps :

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.