Trend Micro Vision One
Version de l'intégration : 2.0
Configurer l'intégration de Trend Micro Vision One dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres de configuration de l'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{instance} | Oui | Racine de l'API de l'instance Trend Micro Vision One. |
| Jeton d'API | Chaîne | N/A | Oui | Clé API du compte Trend Micro Vision One. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Trend Micro Vision One est valide. |
Générer un jeton d'API
Pour savoir comment générer un jeton d'API, consultez Obtenir le jeton d'authentification d'un compte.
Actions
Enrichir les entités
Description de l'action
Enrichissez les entités à l'aide des informations de Trend Micro Vision One. Entités acceptées : nom d'hôte, adresse IP.
Paramètres de configuration des actions
Cette action ne comporte aucun paramètre de configuration.
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Enrichissement d'entités
Préfixe TrendMicroVisionOne_
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| os | osDescription | Lorsqu'il est disponible au format JSON |
| login_account | CSV de loginAccount.value | Lorsqu'il est disponible au format JSON |
| endpoint_name | endpointName.value | Lorsqu'il est disponible au format JSON |
| ip | Csv ip.value | Lorsqu'il est disponible au format JSON |
| installedProductCodes | CSV des installedProductCodes | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Titre : {entity.identifier} Valeur clé des colonnes |
Entité |
Exécuter un script personnalisé
Description de l'action
Exécutez un script personnalisé sur le point de terminaison dans Trend Micro Vision One. Entités acceptées : nom d'hôte, adresse IP. L'action s'exécute de manière asynchrone. Ajustez la valeur du délai d'expiration du script dans l'IDE Google SecOps SOAR pour l'action, si nécessaire.
Paramètres de configuration des actions
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du script | Chaîne | N/A | Oui | Spécifiez le nom du script à exécuter sur les points de terminaison. |
| Paramètres de script | Chaîne | N/A | Non | Spécifiez les paramètres du script. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Le résultat JSON s'affiche même si l'action échoue.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un point de terminaison (is_success=true uniquement si toutes les opérations ont réussi, sinon false) : "Le script personnalisé "{script name}" a été exécuté avec succès sur les points de terminaison suivants dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour un point de terminaison ou si l'asset est introuvable (is_success=false) : "L'action n'a pas pu exécuter le script personnalisé "{nom du script}" sur les points de terminaison suivants dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour tous les points de terminaison (is_success=false) : "Les scripts n'ont pas été exécutés sur les points de terminaison fournis." Message asynchrone : "Points de terminaison en attente : {entities}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Exécuter un script personnalisé". Raison : {0}''.format(error.Stacktrace)" Si aucun script personnalisé n'est trouvé : "Erreur lors de l'exécution de l'action "Exécuter un script personnalisé". Motif : le script portant le nom "{script name}" n'a pas été trouvé. Si l'action a expiré : "Erreur lors de l'exécution de l'action "Exécuter un script personnalisé". Motif : l'action a expiré lors de l'exécution. Points de terminaison en attente : {endpoints that are still in progress}. Veuillez augmenter le délai avant expiration dans l'IDE. Remarque : Cette action exécutera à nouveau le script personnalisé." |
Général |
Isoler un point de terminaison
Description de l'action
Isoler les points de terminaison dans Trend Micro Vision One. Entités acceptées : adresse IP, nom d'hôte. L'action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps SOAR pour l'action, si nécessaire.
Paramètres de configuration des actions
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Description | Chaîne | N/A | Non | Spécifiez le motif de l'isolement des points de terminaison. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Le résultat JSON s'affiche même si l'action échoue.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un point de terminaison (is_success=true uniquement si tous les points de terminaison ont été isolés avec succès, sinon false) : "Les points de terminaison suivants ont été isolés avec succès dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour un point de terminaison ou si l'asset est introuvable (is_success=false) : "L'action n'a pas pu isoler les points de terminaison suivants dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour tous les points de terminaison (is_success=false) : "Aucun des points de terminaison fournis n'a été isolé." Message asynchrone : "Points de terminaison en attente : {entities}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Isoler les points de terminaison". Raison : {0}''.format(error.Stacktrace)" Si l'action a expiré : "Erreur lors de l'exécution de l'action "Isoler les points de terminaison". Motif : l'action a expiré lors de l'exécution. Points de terminaison en attente : {endpoints that are still in progress}. Veuillez augmenter le délai avant expiration dans l'IDE." |
Général |
Point de terminaison Unisolate
Description de l'action
Désisolez les points de terminaison dans Trend Micro Vision One. Entités acceptées : adresse IP, nom d'hôte. L'action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps SOAR pour l'action, si nécessaire.
Paramètres de configuration des actions
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Description | Chaîne | N/A | Non | Spécifiez le motif de l'isolement des points de terminaison. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Le résultat JSON s'affiche même si l'action échoue.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un point de terminaison (is_success=true uniquement si tous les points de terminaison ont été isolés avec succès, sinon false) : "Les points de terminaison suivants ont été désisolés avec succès dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour un point de terminaison ou si l'asset est introuvable (is_success=false) : "L'action n'a pas pu désisoler les points de terminaison suivants dans Trend Micro Vision One : {entity.identifier}" Si les données ne sont pas disponibles pour tous les points de terminaison (is_success=false) : "Aucun des points de terminaison fournis n'a été désisolé." Message asynchrone : "Points de terminaison en attente : {entities}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Unisolate Endpoints". Raison : {0}''.format(error.Stacktrace)" Si l'action a expiré : "Erreur lors de l'exécution de l'action "Unisolate Endpoints". Motif : l'action a expiré lors de l'exécution. Points de terminaison en attente : {endpoints that are still in progress}. Veuillez augmenter le délai avant expiration dans l'IDE." |
Général |
Mettre à jour une alerte Workbench
Description de l'action
Mettez à jour une alerte de workbench dans Trend Micro Vision One.
Paramètres de configuration des actions
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | N/A | Oui | Spécifiez l'ID de l'alerte à mettre à jour. |
| État | LDD | Sélectionnez une réponse Valeur possible :
|
Oui | Spécifiez l'état à définir pour l'alerte. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "L'alerte de l'atelier avec l'ID "{id}" a été mise à jour dans Trend Micro Vision One." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte Workbench". Raison : {0}''.format(error.Stacktrace)" Si une erreur est signalée dans la réponse : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte Workbench". Motif : {message}." |
Général |
Connecteurs
Connecteur d'alertes Trend Micro Vision One - Workbench
Description du connecteur
Extrayez des informations sur les alertes Workbench de Trend Micro Vision One.
Configurer le connecteur
Pour savoir comment créer et configurer le connecteur dans Chronicle SOAR, consultez Configurer le connecteur.
Paramètres de configuration du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | indicators_field | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{instance} | Oui | Racine de l'API de l'instance Trend Micro Vision One. |
| Jeton d'API | Chaîne | Oui | Clé API du compte Trend Micro Vision One. | |
| Gravité la plus faible à récupérer | Chaîne | N/A | Non | Gravité minimale à utiliser pour récupérer les alertes. Valeurs possibles : "Faible", "Moyenne", "Élevée", "Critique". Si rien n'est spécifié, le connecteur ingère les alertes de tous les types de gravité. |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alertes à récupérer | Integer | 10 | Non | Nombre d'alertes à traiter par itération de connecteur. |
| Utiliser une liste dynamique comme liste de blocage | Case à cocher | Décochée | Oui | Si cette option est activée, les listes dynamiques sont utilisées comme listes de blocage. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Trend Micro Vision One est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.