Questa pagina è stata tradotta dall'API Cloud Translation.

Mandiant Managed Defense

Questo documento fornisce indicazioni per aiutarti a configurare e integrare Mandiant Managed Defense con Google Security Operations SOAR.

Versione integrazione: 2.0

Integrare Mandiant Managed Defense con Google SecOps

L'integrazione richiede i seguenti parametri:

Parametri	Descrizione
`API Root`	Obbligatorio La radice API dell'istanza Mandiant. Il valore predefinito è `https://api.services.mandiant.com`.
`Client ID`	Obbligatorio Il valore dell'ID client dell'account Mandiant Managed Defense.
`Client Secret`	Obbligatorio Il valore del client secret dell'account Mandiant Managed Defense.
`Verify SSL`	Obbligatorio Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato le istanze, puoi utilizzarle nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta la sezione Configurare le integrazioni.

Azioni

L'integrazione include le seguenti azioni:

Ping

Dindin

Utilizza l'azione Ping per testare la connettività a Mandiant Managed Defense.

Questa azione non viene eseguita sulle entità.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Ping fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! Azione riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	Azione riuscita.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Connettori

Per saperne di più su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Mandiant Managed Defense - Investigations Connector

Utilizza Mandiant Managed Defense - Investigations Connector per recuperare le indagini da Mandiant Managed Defense.

L'elenco dinamico funziona con il parametro name.

Input del connettore

Il connettore Mandiant Managed Defense - Investigations richiede i seguenti parametri:

Parametri	Descrizione
`Product Field Name`	Obbligatorio Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è `Product Name`.
`Event Field Name`	Obbligatorio Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è `type`.
`Environment Field Name`	Optional Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. Il valore predefinito è `""`.
`Environment Regex Pattern`	Optional Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` grezzo richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
`Script Timeout (Seconds)`	Obbligatorio Il limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 180.
`API Root`	Obbligatorio La radice API dell'istanza Mandiant. Il valore predefinito è `https://api.services.mandiant.com`.
`Client ID`	Obbligatorio Il valore dell'ID client dell'account Mandiant Managed Defense.
`Client Secret`	Obbligatorio Il valore del client secret dell'account Mandiant Managed Defense.
`Status Filter`	Optional Il filtro di stato per le indagini. Se non fornisci alcun valore, il connettore acquisisce le indagini con tutti i valori di stato. I valori possibili sono i seguenti: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Obbligatorio Il numero di ore prima della prima iterazione del connettore da cui recuperare gli incidenti. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo averlo attivato per la prima volta. Il valore predefinito è 24 ore.
`Max Investigations To Fetch`	Obbligatorio Il numero di indagini da elaborare in un'iterazione del connettore. Il valore predefinito è 100. Il valore massimo è 100.
`Use dynamic list as a blocklist`	Obbligatorio Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita.
`Verify SSL`	Obbligatorio Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita.
`Proxy Server Address`	Optional L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Optional Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Optional La password del proxy per l'autenticazione.
`Disable Overflow`	Optional Seleziona per disattivare un overflow di eventi. Non selezionato per impostazione predefinita.

Regole del connettore

Il connettore Mandiant Managed Defense - Investigations supporta i proxy.

Eventi del connettore

Di seguito è riportato un esempio di evento Mandiant Managed Defense - Investigations Connector in Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.