Trend Micro Vision One
Versión de la integración: 2.0
Configura la integración de Trend Micro Vision One en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de configuración de la integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{instance} | Sí | Es la raíz de la API de la instancia de Trend Micro Vision One. |
| Token de API | String | N/A | Sí | Es la clave de API de la cuenta de Trend Micro Vision One. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitada, la integración verifica que el certificado SSL para la conexión al servidor de Trend Micro Vision One sea válido. |
Cómo generar un token de API
Para obtener más información sobre cómo generar un token de API, consulta Cómo obtener el token de autenticación de una cuenta.
Acciones
Enriquece entidades
Descripción de la acción
Enriquece las entidades con la información de Trend Micro Vision One. Entidades admitidas: Nombre de host y dirección IP.
Parámetros de configuración de la acción
Esta acción no tiene parámetros de configuración.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Enriquecimiento de entidades
Prefijo TrendMicroVisionOne_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| os | osDescription | Cuando está disponible en JSON |
| login_account | CSV de loginAccount.value | Cuando está disponible en JSON |
| endpoint_name | endpointName.value | Cuando está disponible en JSON |
| ip | Csv ip.value | Cuando está disponible en JSON |
| installedProductCodes | CSV de installedProductCodes | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Título: {entity.identifier} Clave y valor de las columnas |
Entidad |
Ejecutar secuencia de comandos personalizada
Descripción de la acción
Ejecuta una secuencia de comandos personalizada en el endpoint en Trend Micro Vision One. Entidades admitidas: Nombre de host y dirección IP. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de SOAR de Google SecOps para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la secuencia de comandos | String | N/A | Sí | Especifica el nombre de la secuencia de comandos que se debe ejecutar en los extremos. |
| Parámetros de secuencia de comandos | String | N/A | No | Especifica los parámetros de la secuencia de comandos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra incluso si la acción falla.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un extremo (is_success=true solo si todos se ejecutaron correctamente; de lo contrario, es falso): "Se ejecutó correctamente la secuencia de comandos personalizada "{script name}" en los siguientes extremos de Trend Micro Vision One: {entity.identifier}" Si no hay datos disponibles para un extremo o no se encuentra el activo (is_success=false): "La acción no pudo ejecutar la secuencia de comandos personalizada "{nombre de la secuencia de comandos}" en los siguientes extremos con Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para todos los extremos (is_success=false): "No se ejecutaron secuencias de comandos en los extremos proporcionados". Mensaje asíncrono: "Extremos pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Ejecutar secuencia de comandos personalizada". Reason: {0}''.format(error.Stacktrace)" Si no se encuentra una secuencia de comandos personalizada: "Error executing action "Execute Custom Script". Motivo: No se encontró la secuencia de comandos con el nombre "{script name}". Si la acción agotó el tiempo de espera: "Error al ejecutar la acción "Ejecutar secuencia de comandos personalizada". Motivo: La acción agotó el tiempo de espera durante la ejecución. Extremos pendientes: {extremos que aún están en curso}. Aumenta el tiempo de espera en el IDE. Nota: La acción volverá a ejecutar la secuencia de comandos personalizada". |
General |
Aislamiento del extremo
Descripción de la acción
Aísla los endpoints en Trend Micro Vision One. Entidades admitidas: dirección IP y nombre de host. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps SOAR para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Descripción | String | N/A | No | Especifica el motivo del aislamiento de los extremos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra incluso si la acción falla.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un extremo (is_success=true solo si todos los extremos se aislaron correctamente; de lo contrario, es false): "Se aislaron correctamente los siguientes extremos en Trend Micro Vision One: {entity.identifier}" Si no hay datos disponibles para un extremo o no se encuentra el activo (is_success=false): "La acción no pudo aislar los siguientes extremos con Trend Micro Vision One: {entity.identifier}". Si los datos no están disponibles para todos los extremos (is_success=false): "No se aisló ninguno de los extremos proporcionados". Mensaje asíncrono: "Extremos pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Isolate Endpoints". Reason: {0}''.format(error.Stacktrace)" Si la acción agotó el tiempo de espera: "Error al ejecutar la acción "Isolate Endpoints". Motivo: La acción agotó el tiempo de espera durante la ejecución. Extremos pendientes: {extremos que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Aislamiento de extremo
Descripción de la acción
Aísla los endpoints en Trend Micro Vision One. Entidades admitidas: dirección IP y nombre de host. La acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps SOAR para la acción según sea necesario.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Descripción | String | N/A | No | Especifica el motivo del aislamiento de los extremos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
El resultado en JSON se muestra incluso si la acción falla.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un extremo (is_success=true solo si todos los extremos se aislaron correctamente; de lo contrario, es false): "Se aislaron correctamente los siguientes extremos en Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para un extremo o no se encuentra el activo (is_success=false): "No se pudo aislar los siguientes extremos con Trend Micro Vision One: {entity.identifier}" Si los datos no están disponibles para todos los extremos (is_success=false): "Ninguno de los extremos proporcionados se aisló". Mensaje asíncrono: "Extremos pendientes: {entities}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Unisolate Endpoints". Reason: {0}''.format(error.Stacktrace)" Si la acción agotó el tiempo de espera: "Error al ejecutar la acción "Unisolate Endpoints". Motivo: La acción agotó el tiempo de espera durante la ejecución. Extremos pendientes: {extremos que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Actualiza la alerta de Workbench
Descripción de la acción
Actualiza una alerta de la estación de trabajo en Trend Micro Vision One.
Parámetros de configuración de la acción
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Estado | DDL | Selecciona una opción Valor posible:
|
Sí | Especifica el estado que se establecerá para la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se actualizó correctamente la alerta de la estación de trabajo con el ID "{id}" en Trend Micro Vision One". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Update Workbench Alert". Reason: {0}''.format(error.Stacktrace)" Si se informa un error en la respuesta: "Error executing action "Update Workbench Alert". Motivo: {message}". |
General |
Conectores
Trend Micro Vision One: conector de alertas de Workbench
Descripción del conector
Extrae información sobre las alertas de Workbench de Trend Micro Vision One.
Configura el conector
Si deseas obtener instrucciones para crear y configurar el conector en Chronicle SOAR, consulta Cómo configurar el conector.
Parámetros de configuración del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | indicators_field | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecuta en el valor que se encuentra en el campo Nombre del campo de entorno. El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{instance} | Sí | Es la raíz de la API de la instancia de Trend Micro Vision One. |
| Token de API | String | Sí | Es la clave de API de la cuenta de Trend Micro Vision One. | |
| Gravedad más baja que se recuperará | String | N/A | No | Es la gravedad más baja que se debe usar para recuperar alertas. Los valores posibles son: Low, Medium, High y Critical. Si no se especifica nada, el conector ingiere alertas con todos los tipos de gravedad. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperarán las alertas. |
| Cantidad máxima de alertas para recuperar | Número entero | 10 | No | Es la cantidad de alertas que se procesarán en cada iteración del conector. |
| Usar la lista dinámica como lista de bloqueo | Casilla de verificación | Desmarcado | Sí | Si se habilita, las listas dinámicas se usan como lista de bloqueo. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitada, la integración verifica que el certificado SSL para la conexión al servidor de Trend Micro Vision One sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.