Trend Micro DDAN
Versão da integração: 3.0
Configure a integração do DDAN da Trend Micro no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://IP_ADDRESS |
Sim | Raiz da API da instância do DDAN da Trend Micro. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da instância do Trend Micro DDAN. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao Trend Micro DDAN é válido. |
Ações
Tchim-tchim
Teste a conetividade ao Trend Micro DDAN com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao servidor DDAN da Trend Micro com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor DDAN da Trend Micro! O erro é {0}".format(exception.stacktrace)" |
Geral |
Enviar ficheiro
Envie ficheiros no Trend Micro DDAN.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| URLs de ficheiros | CSV | N/A | Sim | Especifique uma lista separada por vírgulas dos URLs que apontam para o ficheiro que tem de ser analisado. |
| Obtenha o registo de eventos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém registos de eventos relacionados com os ficheiros. |
| Obtenha objetos suspeitos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém objetos suspeitos. |
| Obter captura de ecrã do Sandbox | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação tenta obter uma captura de ecrã da sandbox relacionada com os ficheiros. |
| Reenvie o ficheiro | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação não verifica se já existiu um envio para este ficheiro anteriormente. |
| Máximo de registos de eventos a devolver | Número inteiro | 50 | Não | Especifique o número de registos de eventos a devolver. Máximo: 200 |
| Max Suspicious Objects To Return | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a devolver. Máximo: 200 |
| Obtenha objetos suspeitos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém o objeto suspeito. |
| Max Suspicious Objects To Return | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a devolver. Máximo: 200 |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o relatório devolvido (is_success=true): "Os seguintes URLs foram analisados com êxito no DDAN da Trend Micro: Se não devolveu o relatório para um (is_success=true): "Não foi possível devolver resultados para os seguintes URLs no Trend Micro DDAN: Se não devolveu um relatório para todos os URLs (is_success=true): "Não existem resultados para os URLs fornecidos." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar URL do ficheiro". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Enviar URL do ficheiro
Envie um ficheiro com URLs no DDAN da Trend Micro.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| URLs de ficheiros | CSV | N/A | Sim | Especifique uma lista separada por vírgulas dos URLs que apontam para o ficheiro que tem de ser analisado. |
| Obtenha o registo de eventos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém registos de eventos relacionados com os ficheiros. |
| Obtenha objetos suspeitos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém objetos suspeitos. |
| Obter captura de ecrã do Sandbox | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação tenta obter uma captura de ecrã da sandbox relacionada com os ficheiros. |
| Reenvie o ficheiro | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação não verifica se já existiu um envio para este ficheiro anteriormente. |
| Máximo de registos de eventos a devolver | Número inteiro | 50 | Não | Especifique o número de registos de eventos a devolver. Máximo: 200 |
| Max Suspicious Objects To Return | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a devolver. Máximo: 200 |
| Obtenha objetos suspeitos | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação obtém o objeto suspeito. |
| Max Suspicious Objects To Return | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a devolver. Máximo: 200 |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o relatório devolvido (is_success=true): "Os seguintes URLs foram analisados com êxito no DDAN da Trend Micro: Se não devolveu o relatório para um (is_success=true): "Não foi possível devolver resultados para os seguintes URLs no Trend Micro DDAN: Se não devolveu um relatório para todos os URLs (is_success=true): "Não existem resultados para os URLs fornecidos." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enviar URL do ficheiro". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.