Trend Micro Vision One
통합 버전: 2.0
Google Security Operations에서 Trend Micro Vision One 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 구성 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{instance} | 예 | Trend Micro Vision One 인스턴스의 API 루트입니다. |
| API 토큰 | 문자열 | 해당 사항 없음 | 예 | Trend Micro Vision One 계정의 API 키입니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 통합에서 Trend Micro Vision One 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
API 토큰을 생성하는 방법
API 토큰을 생성하는 방법에 대한 자세한 내용은 계정의 인증 토큰 가져오기를 참고하세요.
작업
항목 보강
작업 설명
Trend Micro Vision One의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, IP 주소
작업 구성 매개변수
이 작업에는 구성 매개변수가 없습니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
항목 보강
접두사 TrendMicroVisionOne_
| 보강 필드 이름 | 소스 (JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| os | osDescription | JSON으로 제공되는 경우 |
| login_account | loginAccount.value의 CSV | JSON으로 제공되는 경우 |
| endpoint_name | endpointName.value | JSON으로 제공되는 경우 |
| ip | CSV ip.value | JSON으로 제공되는 경우 |
| installedProductCodes | 설치된 제품 코드의 CSV | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Trend Micro Vision One: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 제목: {entity.identifier} 열 키 값 |
항목 |
맞춤 스크립트 실행
작업 설명
Trend Micro Vision One의 엔드포인트에서 맞춤 스크립트를 실행합니다. 지원되는 항목: 호스트 이름, IP 주소 작업이 비동기식으로 실행되므로 필요에 따라 Google SecOps SOAR IDE에서 작업의 스크립트 제한 시간 값을 조정하세요.
작업 구성 매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 스크립트 이름 | 문자열 | 해당 사항 없음 | 예 | 엔드포인트에서 실행해야 하는 스크립트의 이름을 지정합니다. |
| 스크립트 매개변수 | 문자열 | 해당 사항 없음 | 아니요 | 스크립트의 매개변수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업이 실패하더라도 JSON 결과가 표시됩니다.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 엔드포인트 하나에 데이터를 사용할 수 있는 경우 (is_success=true는 모두 성공한 경우에만 해당, 그렇지 않으면 false): 'Trend Micro Vision One: {entity.identifier}에서 다음 엔드포인트에 맞춤 스크립트 '{script name}'을 성공적으로 실행했습니다.' 엔드포인트 하나에 데이터를 사용할 수 없거나 애셋을 찾을 수 없는 경우(is_success=false): '작업이 Trend Micro Vision One: {entity.identifier}을(를) 사용하여 다음 엔드포인트에서 맞춤 스크립트 '{스크립트 이름}'을(를) 실행할 수 없습니다.' 일부 엔드포인트에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 엔드포인트에서 스크립트가 실행되지 않았습니다.' 비동기 메시지: '대기 중인 엔드포인트: {entities}' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''맞춤 스크립트 실행' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 맞춤 스크립트를 찾을 수 없는 경우: ''맞춤 스크립트 실행' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 이름이 '{스크립트 이름}'인 스크립트를 찾을 수 없습니다. 작업의 제한 시간이 초과된 경우: ''맞춤 스크립트 실행' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 엔드포인트: {아직 진행 중인 엔드포인트}. IDE에서 제한 시간을 늘리세요. 참고: 작업을 실행하면 맞춤 스크립트가 다시 실행됩니다.' |
일반 |
엔드포인트 격리
작업 설명
Trend Micro Vision One에서 엔드포인트를 격리합니다. 지원되는 항목: IP 주소, 호스트 이름 작업은 비동기식으로 실행되므로 필요에 따라 Google SecOps SOAR IDE에서 작업의 스크립트 제한 시간 값을 조정하세요.
작업 구성 매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 엔드포인트 격리의 이유를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업이 실패하더라도 JSON 결과가 표시됩니다.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 엔드포인트 하나에 데이터를 사용할 수 있는 경우 (is_success=true는 모든 엔드포인트가 성공적으로 격리된 경우에만 해당, 그렇지 않으면 false): 'Trend Micro Vision One: {entity.identifier}에서 다음 엔드포인트를 성공적으로 격리했습니다.' 엔드포인트 하나에 데이터를 사용할 수 없거나 애셋을 찾을 수 없는 경우 (is_success=false): '작업이 Trend Micro Vision One: {entity.identifier}을 사용하여 다음 엔드포인트를 격리할 수 없습니다.' 모든 엔드포인트에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 엔드포인트가 격리되지 않았습니다.' 비동기 메시지: '대기 중인 엔드포인트: {entities}' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔드포인트 격리' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 작업의 제한 시간이 초과된 경우: ''엔드포인트 격리' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 엔드포인트: {아직 진행 중인 엔드포인트}. IDE에서 제한 시간을 늘리세요.' |
일반 |
엔드포인트 격리 해제
작업 설명
Trend Micro Vision One에서 엔드포인트의 격리를 해제합니다. 지원되는 항목: IP 주소, 호스트 이름 작업은 비동기식으로 실행되므로 필요에 따라 Google SecOps SOAR IDE에서 작업의 스크립트 제한 시간 값을 조정하세요.
작업 구성 매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 엔드포인트 격리의 이유를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업이 실패하더라도 JSON 결과가 표시됩니다.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 엔드포인트 하나에 데이터를 사용할 수 있는 경우 (is_success=true는 모든 엔드포인트가 성공적으로 격리된 경우에만 해당, 그렇지 않으면 false): 'Trend Micro Vision One: {entity.identifier}에서 다음 엔드포인트의 격리를 해제했습니다.' 엔드포인트 하나에 데이터를 사용할 수 없거나 애셋을 찾을 수 없는 경우 (is_success=false): '작업이 Trend Micro Vision One: {entity.identifier}에서 다음 엔드포인트의 격리를 해제할 수 없습니다.' 모든 엔드포인트에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 엔드포인트가 격리 해제되지 않았습니다.' 비동기 메시지: '대기 중인 엔드포인트: {entities}' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 작업의 제한 시간이 초과된 경우: ''엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 엔드포인트: {아직 진행 중인 엔드포인트}. IDE에서 제한 시간을 늘리세요.' |
일반 |
Workbench 알림 업데이트
작업 설명
Trend Micro Vision One에서 워크벤치 알림을 업데이트합니다.
작업 구성 매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 알림의 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값:
|
예 | 알림에 설정할 상태를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Trend Micro Vision One에서 ID가 '{id}'인 워크벤치 알림을 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''워크벤치 알림 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 대답에 오류가 보고된 경우: "Error executing action "Update Workbench Alert". 이유: {message}.'" |
일반 |
커넥터
Trend Micro Vision One - Workbench Alerts Connector
커넥터 설명
Trend Micro Vision One에서 워크벤치 알림에 관한 정보를 가져옵니다.
커넥터 구성
Chronicle SOAR에서 커넥터를 만들고 구성하는 방법에 대한 안내는 커넥터 구성을 참고하세요.
커넥터 구성 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | indicators_field | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{instance} | 예 | Trend Micro Vision One 인스턴스의 API 루트입니다. |
| API 토큰 | 문자열 | 예 | Trend Micro Vision One 계정의 API 키입니다. | |
| 가져올 가장 낮은 심각도 | 문자열 | 해당 사항 없음 | 아니요 | 알림을 가져오는 데 사용해야 하는 가장 낮은 심각도입니다. 가능한 값: 낮음, 중간, 높음, 심각 아무것도 지정하지 않으면 커넥터가 모든 심각도 유형의 알림을 수집합니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 알림을 가져올 위치로부터의 시간입니다. |
| 가져올 최대 알림 수 | 정수 | 10 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. |
| 동적 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 통합에서 Trend Micro Vision One 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.