Trend Micro Vision One
Versão da integração: 2.0
Configure a integração do Trend Micro Vision One no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de configuração da integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Trend Micro Vision One. |
| Chave da API | String | N/A | Sim | Chave da API da conta do Trend Micro Vision One. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, a integração verifica se o certificado SSL para a ligação ao servidor do Trend Micro Vision One é válido. |
Como gerar um token de API
Para mais informações sobre como gerar um token de API, consulte o artigo Obtenha o token de autenticação de uma conta.
Ações
Enriquecer entidades
Descrição da ação
Enriqueça as entidades com informações do Trend Micro Vision One. Entidades suportadas: nome do anfitrião, endereço IP.
Parâmetros de configuração de ações
Esta ação não tem parâmetros de configuração.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Enriquecimento de entidades
Prefixo TrendMicroVisionOne_
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| os | osDescription | Quando estiver disponível em JSON |
| login_account | CSV de loginAccount.value | Quando estiver disponível em JSON |
| endpoint_name | endpointName.value | Quando estiver disponível em JSON |
| ip | Csv ip.value | Quando estiver disponível em JSON |
| installedProductCodes | CSV de installedProductCodes | Quando estiver disponível em JSON |
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Título: {entity.identifier} Valor-chave das colunas |
Entidade |
Executar script personalizado
Descrição da ação
Execute um script personalizado no ponto final no Trend Micro Vision One. Entidades suportadas: nome do anfitrião, endereço IP. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do SOAR do Google SecOps para a ação, conforme necessário.
Parâmetros de configuração de ações
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome do script | String | N/A | Sim | Especifique o nome do script que tem de ser executado nos pontos finais. |
| Parâmetros do script | String | N/A | Não | Especifique os parâmetros do script. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é apresentado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um ponto final (is_success=true apenas se todos tiverem sido bem-sucedidos, caso contrário, é false): "O script personalizado "{script name}" foi executado com êxito nos seguintes pontos finais no Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um endpoint ou o recurso não for encontrado (is_success=false): "Não foi possível executar o script personalizado "{scrip name}" nos seguintes endpoints através do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os endpoints (is_success=false): "Os scripts não foram executados nos endpoints fornecidos." Mensagem assíncrona: "Pending endpoints: {entities}" (Pontos finais pendentes: {entities}) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Executar script personalizado". Motivo: {0}''.format(error.Stacktrace)" Se não for encontrado um script personalizado: "Erro ao executar a ação "Executar script personalizado". Motivo: não foi encontrado nenhum script com o nome "{script name}". Se a ação tiver excedido o limite de tempo: "Erro ao executar a ação "Executar script personalizado". Motivo: a ação excedeu o limite de tempo durante a execução. Pontos finais pendentes: {endpoints that are still in progress}. Aumente o limite de tempo no IDE. Nota: a ação executa novamente o script personalizado." |
Geral |
Isolar ponto final
Descrição da ação
Isole os pontos finais no Trend Micro Vision One. Entidades suportadas: endereço IP, nome de anfitrião. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do SOAR do Google SecOps para a ação, conforme necessário.
Parâmetros de configuração de ações
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Descrição | String | N/A | Não | Especifique o raciocínio para o isolamento dos pontos finais. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é apresentado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um ponto final (is_success=true apenas se todos os pontos finais tiverem sido isolados com êxito; caso contrário, é false): "Os seguintes pontos finais foram isolados com êxito no Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um ponto final ou o recurso não for encontrado (is_success=false): "A ação não conseguiu isolar os seguintes pontos finais através do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os pontos finais (is_success=false): "Nenhum dos pontos finais fornecidos foi isolado." Mensagem assíncrona: "Pending endpoints: {entities}" (Pontos finais pendentes: {entities}) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Isolar pontos finais". Motivo: {0}''.format(error.Stacktrace)" Se a ação tiver excedido o limite de tempo: "Erro ao executar a ação "Isolar pontos finais". Motivo: a ação excedeu o limite de tempo durante a execução. Pontos finais pendentes: {endpoints that are still in progress}. Aumente o limite de tempo no IDE." |
Geral |
Unisolate Endpoint
Descrição da ação
Anule o isolamento dos pontos finais no Trend Micro Vision One. Entidades suportadas: endereço IP, nome de anfitrião. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do SOAR do Google SecOps para a ação, conforme necessário.
Parâmetros de configuração de ações
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Descrição | String | N/A | Não | Especifique o raciocínio para o isolamento dos pontos finais. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado JSON é apresentado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um ponto final (is_success=true apenas se todos os pontos finais tiverem sido isolados com êxito; caso contrário, é false): "Os seguintes pontos finais foram desisolados com êxito no Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um ponto final ou o recurso não for encontrado (is_success=false): "Não foi possível desisolá-los dos seguintes pontos finais através do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os pontos finais (is_success=false): "Nenhum dos pontos finais fornecidos foi isolado." Mensagem assíncrona: "Pending endpoints: {entities}" (Pontos finais pendentes: {entities}) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Unisolate Endpoints". Motivo: {0}''.format(error.Stacktrace)" Se a ação tiver excedido o tempo limite: "Erro ao executar a ação "Unisolate Endpoints". Motivo: a ação excedeu o limite de tempo durante a execução. Pontos finais pendentes: {endpoints that are still in progress}. Aumente o limite de tempo no IDE." |
Geral |
Atualizar alerta do Workbench
Descrição da ação
Atualize um alerta da bancada de trabalho no Trend Micro Vision One.
Parâmetros de configuração de ações
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta que tem de ser atualizado. |
| Estado | LDD | Selecione uma opção Valor possível:
|
Sim | Especifique o estado a definir para o alerta. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One." (Alerta da bancada de trabalho atualizado com êxito com o ID "{id}" no Trend Micro Vision One.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar alerta do Workbench". Motivo: {0}''.format(error.Stacktrace)" Se for comunicado um erro na resposta: "Error executing action "Update Workbench Alert". Motivo: {message}.'" |
Geral |
Conetores
Trend Micro Vision One - Workbench Alerts Connector
Descrição do conetor
Extraia informações sobre alertas do workbench do Trend Micro Vision One.
Configure o conetor
Para obter instruções sobre como criar e configurar o conetor no Chronicle SOAR, consulte o artigo Configurar o conetor.
Parâmetros de configuração do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | indicators_field | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo Nome do campo do ambiente. A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Trend Micro Vision One. |
| Chave da API | String | Sim | Chave da API da conta do Trend Micro Vision One. | |
| Gravidade mais baixa a obter | String | N/A | Não | A gravidade mais baixa que tem de ser usada para obter alertas. Valores possíveis: baixo, médio, elevado, crítico. Se não for especificado nada, o conector carrega alertas com todos os tipos de gravidade. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas a partir das quais os alertas devem ser obtidos. |
| Máximo de alertas a obter | Número inteiro | 10 | Não | O número de alertas a processar por iteração de conetor. |
| Use uma lista dinâmica como lista de bloqueio | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, as listas dinâmicas são usadas como uma lista de bloqueios. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, a integração verifica se o certificado SSL para a ligação ao servidor do Trend Micro Vision One é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.