Trend Micro Vision One
Versión de la integración: 2.0
.Configurar la integración de Trend Micro Vision One en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de configuración de la integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{instance} | Sí | Raíz de la API de la instancia de Trend Micro Vision One. |
| Token de API | Cadena | N/A | Sí | Clave de API de la cuenta de Trend Micro Vision One. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, la integración verifica que el certificado SSL de la conexión al servidor de Trend Micro Vision One sea válido. |
Cómo generar un token de API
Para obtener más información sobre cómo generar un token de API, consulta Obtener el token de autenticación de una cuenta.
Acciones
Enriquecer entidades
Descripción de la acción
Enriquece las entidades con información de Trend Micro Vision One. Entidades admitidas: nombre de host y dirección IP.
Parámetros de configuración de la acción
Esta acción no tiene ningún parámetro de configuración.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Enriquecimiento de entidades
Prefijo TrendMicroVisionOne_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| os | osDescription | Cuando esté disponible en JSON |
| login_account | CSV de loginAccount.value | Cuando esté disponible en JSON |
| endpoint_name | endpointName.value | Cuando esté disponible en JSON |
| ip | Csv ip.value | Cuando esté disponible en JSON |
| installedProductCodes | CSV de installedProductCodes | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se han enriquecido correctamente las siguientes entidades con información de Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("Ninguna de las entidades proporcionadas se ha enriquecido"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Título: {entity.identifier} Valor de clave de columnas |
Entidad |
Ejecutar secuencia de comandos personalizada
Descripción de la acción
Ejecuta una secuencia de comandos personalizada en el endpoint de Trend Micro Vision One. Entidades admitidas: nombre de host y dirección IP. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de SOAR de Google SecOps para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del script | Cadena | N/A | Sí | Especifica el nombre de la secuencia de comandos que se debe ejecutar en los endpoints. |
| Parámetros de secuencia de comandos | Cadena | N/A | No | Especifica los parámetros de la secuencia de comandos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra aunque la acción falle.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un endpoint (is_success=true solo si todos se han completado correctamente; de lo contrario, el valor es false): "Se ha ejecutado correctamente la secuencia de comandos personalizada "{script name}" en los siguientes endpoints de Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para un endpoint o no se encuentra un recurso (is_success=false): "Action wasn't able to execute custom script "{scrip name}" on the following endpoints using in Trend Micro Vision One: {entity.identifier}" ("No se ha podido ejecutar la secuencia de comandos personalizada "{nombre de la secuencia de comandos}" en los siguientes endpoints mediante Trend Micro Vision One: {entity.identifier}") Si no hay datos disponibles para todos los endpoints (is_success=false): "No se han ejecutado secuencias de comandos en los endpoints proporcionados". Mensaje asíncrono: "Endpoints pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Ejecutar secuencia de comandos personalizada". Motivo: {0}''.format(error.Stacktrace)" Si no se encuentra una secuencia de comandos personalizada: "Error al ejecutar la acción "Ejecutar secuencia de comandos personalizada". Motivo: no se ha encontrado la secuencia de comandos con el nombre "{script name}". Si la acción ha agotado el tiempo de espera: "Error al ejecutar la acción "Ejecutar secuencia de comandos personalizada". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Endpoints pendientes: {endpoints that are still in progress}. Aumenta el tiempo de espera en el IDE. Nota: La acción volverá a ejecutar la secuencia de comandos personalizada". |
General |
Aislar endpoint
Descripción de la acción
Aísla los endpoints en Trend Micro Vision One. Entidades admitidas: dirección IP y nombre de host. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps SOAR para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Descripción | Cadena | N/A | No | Especifica el motivo del aislamiento de los endpoints. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra aunque la acción falle.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un endpoint (is_success=true solo si todos los endpoints se han aislado correctamente; de lo contrario, el valor es false): "Se han aislado correctamente los siguientes endpoints en Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para un endpoint o no se encuentra el recurso (is_success=false): "Action wasn't able to isolate the following endpoints using in Trend Micro Vision One: {entity.identifier}" ("No se ha podido aislar los siguientes endpoints con Trend Micro Vision One: {entity.identifier}") Si no hay datos disponibles para todos los endpoints (is_success=false): "None of the provided endpoints were isolated." ("No se ha aislado ninguno de los endpoints proporcionados"). Mensaje asíncrono: "Endpoints pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Aislar endpoints". Motivo: {0}''.format(error.Stacktrace)" Si la acción ha agotado el tiempo de espera: "Error al ejecutar la acción "Aislar endpoints". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Endpoints pendientes: {endpoints that are still in progress}. Aumenta el tiempo de espera en el IDE". |
General |
Unisolate Endpoint
Descripción de la acción
Desaislar endpoints en Trend Micro Vision One. Entidades admitidas: dirección IP y nombre de host. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps SOAR para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Descripción | Cadena | N/A | No | Especifica el motivo del aislamiento de los endpoints. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra aunque la acción falle.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un endpoint (is_success=true solo si todos los endpoints se han aislado correctamente; de lo contrario, el valor es false): "Se han aislado correctamente los siguientes endpoints en Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para un endpoint o no se encuentra el recurso (is_success=false): "Action wasn't able to unisolate the following endpoints using in Trend Micro Vision One: {entity.identifier}" ("La acción no ha podido aislar los siguientes endpoints en Trend Micro Vision One: {entity.identifier}") Si no hay datos disponibles para todos los endpoints (is_success=false): "None of the provided endpoints were unisolated." ("Ninguno de los endpoints proporcionados se ha aislado"). Mensaje asíncrono: "Endpoints pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Unisolate Endpoints". Motivo: {0}''.format(error.Stacktrace)" Si la acción ha agotado el tiempo de espera: "Error al ejecutar la acción "Unisolate Endpoints". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Endpoints pendientes: {endpoints that are still in progress}. Aumenta el tiempo de espera en el IDE". |
General |
Update Workbench Alert
Descripción de la acción
Actualizar una alerta de mesa de trabajo en Trend Micro Vision One.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Estado | DDL | Selecciona una opción. Valor posible:
|
Sí | Especifica el estado que se va a asignar a la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha actualizado correctamente la alerta del espacio de trabajo con el ID "{id}" en Trend Micro Vision One." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Update Workbench Alert". Motivo: {0}''.format(error.Stacktrace)" Si se informa de un error en la respuesta: "Error al ejecutar la acción "Update Workbench Alert". Motivo: {message}." |
General |
Conectores
Trend Micro Vision One - Workbench Alerts Connector
Descripción del conector
Extrae información sobre las alertas de Workbench de Trend Micro Vision One.
Configurar el conector
Para obtener instrucciones sobre cómo crear y configurar el conector en Chronicle SOAR, consulta el artículo Configurar el conector.
Parámetros de configuración del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | indicators_field | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplica al valor del campo Nombre del campo de entorno. El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{instance} | Sí | Raíz de la API de la instancia de Trend Micro Vision One. |
| Token de API | Cadena | Sí | Clave de API de la cuenta de Trend Micro Vision One. | |
| Gravedad mínima que se va a obtener | Cadena | N/A | No | La gravedad mínima que se debe usar para obtener alertas. Valores posibles: Bajo, Medio, Alto y Crítico. Si no se especifica nada, el conector ingiere alertas con todos los tipos de gravedad. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se deben obtener las alertas. |
| Número máximo de alertas que se van a obtener | Entero | 10 | No | Número de alertas que se deben procesar por iteración de conector. |
| Usar una lista dinámica como lista de bloqueo | Casilla | Desmarcada | Sí | Si se habilita, las listas dinámicas se usan como listas de bloqueo. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, la integración verifica que el certificado SSL de la conexión al servidor de Trend Micro Vision One sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.