Esta página foi traduzida pela API Cloud Translation.

Mandiant Managed Defense

Este documento fornece orientações para ajudar a configurar e integrar o Mandiant Managed Defense com o Google Security Operations SOAR.

Versão da integração: 2.0

Integre o Mandiant Managed Defense com o Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros	Descrição
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor predefinido é `https://api.services.mandiant.com`.
`Client ID`	Obrigatório O valor do ID de cliente da conta do Mandiant Managed Defense.
`Client Secret`	Obrigatório O valor do segredo do cliente da conta do Mandiant Managed Defense.
`Verify SSL`	Obrigatório Se esta opção estiver selecionada, a integração verifica se o certificado SSL para a ligação ao servidor Mandiant é válido. Selecionado por predefinição.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar as instâncias, pode usá-las em manuais de procedimentos. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Ações

A integração inclui as seguintes ações:

Ping

Tchim-tchim

Use a ação Ping para testar a conetividade com o Mandiant Managed Defense.

Esta ação não é executada em entidades.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	Ação efetuada com êxito.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conetores

Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

Mandiant Managed Defense – Investigations Connector

Use o Mandiant Managed Defense – Investigations Connector para obter investigações do Mandiant Managed Defense.

A lista dinâmica funciona com o parâmetro name.

Entradas do conetor

O Mandiant Managed Defense – Investigations Connector requer os seguintes parâmetros:

Parâmetros	Descrição
`Product Field Name`	Obrigatório O nome do campo onde o nome do produto está armazenado. O valor predefinido é `Product Name`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor predefinido é `type`.
`Environment Field Name`	Opcional O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. O valor predefinido é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo limite para o processo Python que executa o script atual. O valor predefinido é 180.
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor predefinido é `https://api.services.mandiant.com`.
`Client ID`	Obrigatório O valor do ID de cliente da conta do Mandiant Managed Defense.
`Client Secret`	Obrigatório O valor do segredo do cliente da conta do Mandiant Managed Defense.
`Status Filter`	Opcional O filtro de estado das investigações. Se não fornecer nenhum valor, o conector carrega as investigações com todos os valores de estado. Os valores possíveis são os seguintes: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Obrigatório O número de horas antes da primeira iteração do conector para obter os incidentes. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de o ativar pela primeira vez. O valor predefinido é 24 horas.
`Max Investigations To Fetch`	Obrigatório O número de investigações a processar numa iteração de um conector. O valor predefinido é 100. O valor máximo é 100.
`Use dynamic list as a blocklist`	Obrigatório Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição.
`Verify SSL`	Obrigatório Se esta opção estiver selecionada, o Google SecOps verifica se o certificado SSL para a ligação ao servidor do Mandiant é válido. Selecionado por predefinição.
`Proxy Server Address`	Opcional O endereço do servidor proxy a usar.
`Proxy Username`	Opcional O nome de utilizador do proxy para autenticação.
`Proxy Password`	Opcional A palavra-passe do proxy para autenticação.
`Disable Overflow`	Opcional Selecione para desativar um excesso de eventos. Não selecionado por predefinição.

Regras de conector

O conetor Mandiant Managed Defense – Investigations suporta proxies.

Eventos de conetores

Segue-se um exemplo de um evento do Mandiant Managed Defense – Investigations Connector no Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.