Trend Micro Vision One
Versione integrazione: 2.0
Configurare l'integrazione di Trend Micro Vision One in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di configurazione dell'integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{instance} | Sì | Radice API dell'istanza di Trend Micro Vision One. |
| Token API | Stringa | N/D | Sì | Chiave API dell'account Trend Micro Vision One. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, l'integrazione verifica che il certificato SSL per la connessione al server Trend Micro Vision One sia valido. |
Come generare un token API
Per saperne di più su come generare il token API, consulta Ottenere il token di autenticazione di un account.
Azioni
Arricchisci entità
Descrizione azione
Arricchisci le entità utilizzando le informazioni di Trend Micro Vision One. Entità supportate: nome host, indirizzo IP.
Parametri di configurazione dell'azione
Questa azione non ha parametri di configurazione.
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Arricchimento delle entità
Prefisso TrendMicroVisionOne_
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| os | osDescription | Quando disponibile in formato JSON |
| login_account | File CSV di loginAccount.value | Quando disponibile in formato JSON |
| endpoint_name | endpointName.value | Quando disponibile in formato JSON |
| ip | Csv ip.value | Quando disponibile in formato JSON |
| installedProductCodes | CSV di installedProductCodes | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Trend Micro Vision One: {entity.identifier}" Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Titolo: {entity.identifier} Valore chiave delle colonne |
Entità |
Esegui script personalizzato
Descrizione azione
Esegui lo script personalizzato sull'endpoint in Trend Micro Vision One. Entità supportate: nome host, indirizzo IP. L'azione viene eseguita in modo asincrono, regola il valore di timeout dello script nell'IDE Google SecOps SOAR per l'azione in base alle esigenze.
Parametri di configurazione dell'azione
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome script | Stringa | N/D | Sì | Specifica il nome dello script da eseguire sugli endpoint. |
| Parametri dello script | Stringa | N/D | No | Specifica i parametri per lo script. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Il risultato JSON viene mostrato anche se l'azione non va a buon fine.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un endpoint (is_success=true solo se tutti hanno avuto esito positivo, altrimenti false): "Esecuzione riuscita dello script personalizzato "{script name}" sui seguenti endpoint in Trend Micro Vision One: {entity.identifier}" Se i dati non sono disponibili per un endpoint o l'asset non viene trovato (is_success=false): "Action wasn't able to execute custom script "{scrip name}" on the following endpoints using in Trend Micro Vision One: {entity.identifier}" (L'azione non è riuscita a eseguire lo script personalizzato "{scrip name}" sui seguenti endpoint utilizzando Trend Micro Vision One: {entity.identifier}) Se i dati non sono disponibili per tutti gli endpoint (is_success=false): "Gli script non sono stati eseguiti sugli endpoint forniti." Messaggio asincrono: "Endpoint in attesa: {entities}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Esegui script personalizzato". Motivo: {0}''.format(error.Stacktrace)" Se non viene trovato uno script personalizzato: "Errore durante l'esecuzione dell'azione "Esegui script personalizzato". Motivo: lo script con il nome "{script name} non è stato trovato". Se l'azione ha raggiunto il timeout: "Errore durante l'esecuzione dell'azione "Esegui script personalizzato". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Endpoint in attesa: {endpoints that are still in progress}. Aumenta il timeout nell'IDE. Nota: l'azione eseguirà nuovamente lo script personalizzato." |
Generale |
Isola endpoint
Descrizione azione
Isola gli endpoint in Trend Micro Vision One. Entità supportate: indirizzo IP, nome host. L'azione viene eseguita in modo asincrono, modifica il valore di timeout dello script nell'IDE Google SecOps SOAR per l'azione in base alle esigenze.
Parametri di configurazione dell'azione
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Descrizione | Stringa | N/D | No | Specifica il ragionamento alla base dell'isolamento degli endpoint. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Il risultato JSON viene mostrato anche se l'azione non va a buon fine.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un endpoint (is_success=true solo se tutti gli endpoint sono stati isolati correttamente, altrimenti false): "Successfully isolated the following endpoints in Trend Micro Vision One: {entity.identifier}" (Gli endpoint seguenti sono stati isolati correttamente in Trend Micro Vision One: {entity.identifier}) Se i dati non sono disponibili per un endpoint o l'asset non viene trovato (is_success=false): "L'azione non è riuscita a isolare i seguenti endpoint utilizzando Trend Micro Vision One: {entity.identifier}" Se i dati non sono disponibili per tutti gli endpoint (is_success=false): "Nessuno degli endpoint forniti è stato isolato." Messaggio asincrono: "Endpoint in attesa: {entities}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Isola endpoint". Motivo: {0}''.format(error.Stacktrace)" Se l'azione ha raggiunto il timeout: "Errore durante l'esecuzione dell'azione "Isola endpoint". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Endpoint in attesa: {endpoints that are still in progress}. Aumenta il timeout nell'IDE." |
Generale |
Unisolate Endpoint
Descrizione azione
Rimuovi l'isolamento degli endpoint in Trend Micro Vision One. Entità supportate: indirizzo IP, nome host. L'azione viene eseguita in modo asincrono, modifica il valore di timeout dello script nell'IDE Google SecOps SOAR per l'azione in base alle esigenze.
Parametri di configurazione dell'azione
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Descrizione | Stringa | N/D | No | Specifica il ragionamento alla base dell'isolamento degli endpoint. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Il risultato JSON viene mostrato anche se l'azione non va a buon fine.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un endpoint (is_success=true solo se tutti gli endpoint sono stati isolati correttamente, altrimenti false): "Successfully unisolated the following endpoints in Trend Micro Vision One: {entity.identifier}" (Gli endpoint seguenti sono stati isolati correttamente in Trend Micro Vision One: {entity.identifier}) Se i dati non sono disponibili per un endpoint o non viene trovato un asset (is_success=false): "L'azione non è riuscita a isolare i seguenti endpoint utilizzando Trend Micro Vision One: {entity.identifier}" Se i dati non sono disponibili per tutti gli endpoint (is_success=false): "Nessuno degli endpoint forniti è stato isolato." Messaggio asincrono: "Endpoint in attesa: {entities}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Separa endpoint". Motivo: {0}''.format(error.Stacktrace)" Se l'azione ha raggiunto il timeout: "Errore durante l'esecuzione dell'azione "Unisolate Endpoints". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Endpoint in attesa: {endpoints that are still in progress}. Aumenta il timeout nell'IDE." |
Generale |
Aggiorna avviso Workbench
Descrizione azione
Aggiorna un avviso del workbench in Trend Micro Vision One.
Parametri di configurazione dell'azione
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Stringa | N/D | Sì | Specifica l'ID dell'avviso da aggiornare. |
| Stato | DDL | Selezionane uno Valore possibile:
|
Sì | Specifica lo stato da impostare per l'avviso. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One." (Avviso del workbench aggiornato correttamente con ID "{id}" in Trend Micro Vision One.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna avviso workbench". Motivo: {0}''.format(error.Stacktrace)" Se nella risposta viene segnalato un errore: "Error executing action "Update Workbench Alert". Motivo: {message}." |
Generale |
Connettori
Trend Micro Vision One - Workbench Alerts Connector
Descrizione del connettore
Recupera informazioni sugli avvisi di workbench da Trend Micro Vision One.
Configura il connettore
Per istruzioni su come creare e configurare il connettore in Chronicle SOAR, consulta Configurazione del connettore.
Parametri di configurazione del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | indicators_field | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo Nome campo ambiente. Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance} | Sì | Radice API dell'istanza di Trend Micro Vision One. |
| Token API | Stringa | Sì | Chiave API dell'account Trend Micro Vision One. | |
| Gravità minima da recuperare | Stringa | N/D | No | La gravità minima da utilizzare per recuperare gli avvisi. Valori possibili: Bassa, Media, Alta, Critica. Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutti i tipi di gravità. |
| Ore massime indietro | Numero intero | 1 | No | Il numero di ore da cui recuperare gli avvisi. |
| Numero massimo di avvisi da recuperare | Numero intero | 10 | No | Il numero di avvisi da elaborare per ogni iterazione del connettore. |
| Utilizzare una lista dinamica come lista bloccata | Casella di controllo | Deselezionata | Sì | Se abilitate, le liste dinamiche vengono utilizzate come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, l'integrazione verifica che il certificato SSL per la connessione al server Trend Micro Vision One sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.