本頁面由 Cloud Translation API 翻譯而成。

Trend Micro Vision One

整合版本：2.0

在 Google Security Operations 中設定 Trend Micro Vision One 整合功能

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合設定參數

請使用下列參數設定整合：

參數名稱	類型	預設值	必填	說明
API 根層級	字串	https://{instance}	是	Trend Micro Vision One 執行個體的 API 根目錄。
API 權杖	字串	不適用	是	Trend Micro Vision One 帳戶的 API 金鑰。
驗證 SSL	核取方塊	已勾選	否	啟用後，整合服務會驗證連線至 Trend Micro Vision One 伺服器的 SSL 憑證是否有效。

如何產生 API 權杖

如要進一步瞭解如何產生 API 權杖，請參閱「取得帳戶的驗證權杖」。

動作

充實實體

動作說明

使用 Trend Micro Vision One 的資訊擴充實體。支援的實體：主機名稱、IP 位址。

動作設定參數

這項動作沒有任何設定參數。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
           "agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
           "osName": "Windows",
           "osVersion": "6.1.7601",
           "osDescription": "Windows 7 Professional (64 bit) build 7601",
           "productCode": "xes",
           "loginAccount": {
               "value": [
                   "WINDOWS7\\devs"
               ],
               "updatedDateTime": "2022-12-26T17:28:51.000Z"
           },
           "endpointName": {
               "value": "WINDOWS7",
               "updatedDateTime": "2022-12-27T17:47:17.000Z"
           },
           "macAddress": {
               "value": [
                   "00:50:56:b6:3e:a1",
                   "00:00:00:00:00:00:00:e0"
               ],
               "updatedDateTime": "2022-12-27T17:47:17.000Z"
           },
           "ip": {
               "value": [
                   "172.30.201.12"
               ],
               "updatedDateTime": "2022-12-27T17:47:17.000Z"
           },
           "installedProductCodes": [
               "xes"
           ]
}

實體充實

前置字串 TrendMicroVisionOne_

補充資料欄位名稱	來源 (JSON 金鑰)	邏輯 - 應用時機
os	osDescription	以 JSON 格式提供時
login_account	loginAccount.value 的 CSV 檔案	以 JSON 格式提供時
endpoint_name	endpointName.value	以 JSON 格式提供時
ip	Csv ip.value	以 JSON 格式提供時
installedProductCodes	已安裝產品代碼的 CSV 檔案	以 JSON 格式提供時

案件總覽

結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果某個實體有資料 (is_success=true)：「Successfully enriched the following entities using information from Trend Micro Vision One: {entity.identifier}」(已使用 Trend Micro Vision One 的資訊，成功擴充下列實體：{entity.identifier}) 如果所有實體都沒有資料 (is_success=false)：「提供的實體皆未經過擴充。」動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Enrich Entities』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格	標題：{entity.identifier} 資料欄鍵值	實體

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果某個實體有資料 (is_success=true)：「Successfully enriched the following entities using information from Trend Micro Vision One: {entity.identifier}」(已使用 Trend Micro Vision One 的資訊，成功擴充下列實體：{entity.identifier})

如果所有實體都沒有資料 (is_success=false)：「提供的實體皆未經過擴充。」

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Enrich Entities』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

案件總覽表格

標題：{entity.identifier}

資料欄鍵值

實體

執行自訂指令碼

動作說明

在 Trend Micro Vision One 中，於端點執行自訂指令碼。支援的實體：主機名稱、IP 位址。這項動作會非同步執行，請視需要調整 Google SecOps SOAR IDE 中動作的指令碼逾時值。

動作設定參數

參數名稱	類型	預設值	必填	說明
指令碼名稱	字串	不適用	是	指定要在端點上執行的指令碼名稱。
指令碼參數	字串	不適用	否	指定指令碼的參數。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

即使動作失敗，系統仍會顯示 JSON 結果。

{
   "Entity": "qweqwe",
   "EntityResult": {
    "task_id": "{task id}"
       "status": "{task status}"
   }
}

案件總覽

結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果某個端點有資料 (只有在所有端點都成功時，is_success 才會為 true，否則為 false)：「Successfully executed custom script "{script name}" on the following endpoints in Trend Micro Vision One: {entity.identifier}」(已在 Trend Micro Vision One 的下列端點上成功執行自訂指令碼「{script name}」：{entity.identifier}) 如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to execute custom script "{scrip name}" on the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法在下列端點上，使用 Trend Micro Vision One 執行自訂指令碼「{scrip name}」：{entity.identifier}) 如果並非所有端點都有資料 (is_success=false)：「提供的端點未執行指令碼」。非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities}) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Execute Custom Script". Reason: {0}''.format(error.Stacktrace)" 如果找不到自訂指令碼：「執行動作『執行自訂指令碼』時發生錯誤。原因：找不到名為「{script name}」的指令碼。如果動作逾時：「Error executing action "Execute Custom Script". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。注意：這項動作會再次執行自訂指令碼。」	一般

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果某個端點有資料 (只有在所有端點都成功時，is_success 才會為 true，否則為 false)：「Successfully executed custom script "{script name}" on the following endpoints in Trend Micro Vision One: {entity.identifier}」(已在 Trend Micro Vision One 的下列端點上成功執行自訂指令碼「{script name}」：{entity.identifier})

如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to execute custom script "{scrip name}" on the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法在下列端點上，使用 Trend Micro Vision One 執行自訂指令碼「{scrip name}」：{entity.identifier})

如果並非所有端點都有資料 (is_success=false)：「提供的端點未執行指令碼」。

非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities})

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Execute Custom Script". Reason: {0}''.format(error.Stacktrace)"

如果找不到自訂指令碼：「執行動作『執行自訂指令碼』時發生錯誤。原因：找不到名為「{script name}」的指令碼。

如果動作逾時：「Error executing action "Execute Custom Script". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。注意：這項動作會再次執行自訂指令碼。」

一般

隔離端點

動作說明

在 Trend Micro Vision One 中隔離端點。支援的實體：IP 位址、主機名稱。這項動作會非同步執行，請視需要調整 Google SecOps SOAR IDE 中動作的指令碼逾時值。

動作設定參數

參數名稱	類型	預設值	必填	說明
說明	字串	不適用	否	說明隔離端點的原因。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

即使動作失敗，系統仍會顯示 JSON 結果。

{
   "Entity": "qweqwe",
   "EntityResult": {
       "status": "{task status}"
   }
}

案件總覽

結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果某個端點有資料 (只有在所有端點都成功隔離時，is_success 才會為 true，否則為 false)：「Successfully isolated the following endpoints in Trend Micro Vision One: {entity.identifier}」(已在 Trend Micro Vision One 中成功隔離下列端點：{entity.identifier}) 如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to isolate the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法使用 Trend Micro Vision One 隔離下列端點：{entity.identifier}) 如果所有端點都沒有資料 (is_success=false)：「None of the provided endpoints were isolated.」非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities}) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Isolate Endpoints". Reason: {0}''.format(error.Stacktrace)" 如果動作逾時：「Error executing action "Isolate Endpoints". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。」	一般

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果某個端點有資料 (只有在所有端點都成功隔離時，is_success 才會為 true，否則為 false)： 「Successfully isolated the following endpoints in Trend Micro Vision One: {entity.identifier}」(已在 Trend Micro Vision One 中成功隔離下列端點：{entity.identifier})

如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to isolate the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法使用 Trend Micro Vision One 隔離下列端點：{entity.identifier})

如果所有端點都沒有資料 (is_success=false)：「None of the provided endpoints were isolated.」

非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities})

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Isolate Endpoints". Reason: {0}''.format(error.Stacktrace)"

如果動作逾時：「Error executing action "Isolate Endpoints". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。」

一般

取消隔離端點

動作說明

在 Trend Micro Vision One 中取消隔離端點。支援的實體：IP 位址、主機名稱。這項動作會非同步執行，請視需要調整 Google SecOps SOAR IDE 中動作的指令碼逾時值。

動作設定參數

參數名稱	類型	預設值	必填	說明
說明	字串	不適用	否	說明隔離端點的原因。

執行日期

這項動作會對下列實體執行：

主機名稱
IP 位址

動作執行結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

即使動作失敗，系統仍會顯示 JSON 結果。

{
   "Entity": "qweqwe",
   "EntityResult": {
       "status": "{task status}"
   }
}

案件總覽

結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果某個端點有資料 (只有在所有端點都成功隔離時，is_success 才會為 true，否則為 false)：「已在 Trend Micro Vision One 中成功取消隔離下列端點：{entity.identifier}」如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to unisolate the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法使用 Trend Micro Vision One 取消隔離下列端點：{entity.identifier}) 如果所有端點都沒有可用資料 (is_success=false)：「None of the provided endpoints were unisolated.」非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities}) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Unisolate Endpoints". Reason: {0}''.format(error.Stacktrace)" 如果動作發生逾時情形：「Error executing action "Unisolate Endpoints". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。」	一般

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果某個端點有資料 (只有在所有端點都成功隔離時，is_success 才會為 true，否則為 false)：「已在 Trend Micro Vision One 中成功取消隔離下列端點：{entity.identifier}」

如果某個端點沒有資料，或找不到資產 (is_success=false)：「Action wasn't able to unisolate the following endpoints using in Trend Micro Vision One: {entity.identifier}」(動作無法使用 Trend Micro Vision One 取消隔離下列端點：{entity.identifier})

如果所有端點都沒有可用資料 (is_success=false)：「None of the provided endpoints were unisolated.」

非同步訊息：「Pending endpoints: {entities}」(待處理的端點：{entities})

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Unisolate Endpoints". Reason: {0}''.format(error.Stacktrace)"

如果動作發生逾時情形：「Error executing action "Unisolate Endpoints". 原因：動作在執行期間逾時。待處理的端點：{endpoints that are still in progress}。請在 IDE 中增加逾時時間。」

一般

更新 Workbench 快訊

動作說明

在 Trend Micro Vision One 中更新工作台快訊。

動作設定參數

參數名稱	類型	預設值	必填	說明
快訊 ID	字串	不適用	是	指定要更新的快訊 ID。
狀態	DDL	請選取一項可能的值：請選取一項新增進行中真陽性偽陽性	是	指定要為快訊設定的狀態。

參數名稱

類型

預設值

必填

說明

快訊 ID

字串

不適用

是

指定要更新的快訊 ID。

狀態

DDL

請選取一項

可能的值：

請選取一項
新增
進行中
真陽性
偽陽性

是

指定要為快訊設定的狀態。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
      "artifacts": [],
      "assignedTo": "tip.labops",
      "assignee": {
          "displayName": "tip.labops@siemplify.co",
          "username": "tip.labops"
      },
      "closed": "2022-03-23T11:04:33.731971",
      "closedBy": "tip.labops",
      "confidence": 0.1,
      "created": "2022-03-11T08:48:26.030204",
      "description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
      "entity": {
          "entityType": "_ip",
          "hostname": null,
          "id": "_ip-172.30.202.30",
          "macAddress": null,
          "name": "172.30.202.30",
          "sensorZone": "",
          "value": "172.30.202.30"
      },
      "id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
      "lastUpdated": "2022-03-23T11:04:33.740470",
      "lastUpdatedBy": null,
      "name": "Initial Access",
      "orgId": "siemplify",
      "readableId": "INSIGHT-13927",
      "recordSummaryFields": [],
      "resolution": "False Positive",
      "severity": "CRITICAL",
      "signals": [
          {
              "allRecords": [
                  {
                      "action": "failed password attempt",
                      "bro_dns_answers": [],
                      "bro_file_bytes": {},
                      "bro_file_connUids": [],
                      "bro_flow_service": [],
                      "bro_ftp_pendingCommands": [],
                      "bro_http_cookieVars": [],
                      "bro_http_origFuids": [],
                      "bro_http_origMimeTypes": [],
                      "bro_http_request_headers": {},
                      "bro_http_request_proxied": [],
                      "bro_http_response_headers": {},
                      "bro_http_response_respFuids": [],
                      "bro_http_response_respMimeTypes": [],
                      "bro_http_tags": [],
                      "bro_http_uriVars": [],
                      "bro_kerberos_clientCert": {},
                      "bro_kerberos_serverCert": {},
                      "bro_sip_headers": {},
                      "bro_sip_requestPath": [],
                      "bro_sip_responsePath": [],
                      "bro_ssl_certChainFuids": [],
                      "bro_ssl_clientCertChainFuids": [],
                      "cseSignal": {},
                      "day": 11,
                      "device_ip": "172.30.202.30",
                      "device_ip_ipv4IntValue": 2887698974,
                      "device_ip_isInternal": true,
                      "device_ip_version": 4,
                      "fieldTags": {},
                      "fields": {
                          "auth_method": "ssh2",
                          "endpoint_ip": "172.30.202.30",
                          "endpoint_username": "1ewk0XJn",
                          "event_message": "Failed password for invalid user",
                          "src_port": "59088"
                      },
                      "friendlyName": "record",
                      "hour": 8,
                      "http_requestHeaders": {},
                      "listMatches": [],
                      "matchedItems": [],
                      "metadata_deviceEventId": "citrix_xenserver_auth_message",
                      "metadata_mapperName": "Citrix Xenserver Auth Message",
                      "metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
                      "metadata_parseTime": 1646987453926,
                      "metadata_product": "Hypervisor",
                      "metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
                      "metadata_receiptTime": 1646987443,
                      "metadata_relayHostname": "centos-002",
                      "metadata_schemaVersion": 3,
                      "metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
                      "metadata_sensorInformation": {},
                      "metadata_sensorZone": "default",
                      "metadata_vendor": "Citrix",
                      "month": 3,
                      "normalizedAction": "logon",
                      "objectType": "Authentication",
                      "srcDevice_ip": "172.30.202.30",
                      "srcDevice_ip_ipv4IntValue": 2887698974,
                      "srcDevice_ip_isInternal": true,
                      "srcDevice_ip_version": 4,
                      "success": false,
                      "timestamp": 1646987443000,
                      "uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
                      "user_username": "1ewk0XJn",
                      "user_username_raw": "1ewk0XJn",
                      "year": 2022
                  }
              ],
              "artifacts": [],
              "contentType": "ANOMALY",
              "description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
              "id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
              "name": "Password Attack",
              "recordCount": 10,
              "recordTypes": [],
              "ruleId": "THRESHOLD-S00095",
              "severity": 4,
              "stage": "Initial Access",
              "tags": [
                  "_mitreAttackTactic:TA0001"
              ],
              "timestamp": "2022-03-11T08:31:28"
          }
      ],
      "source": "USER",
      "status": {
          "displayName": "Closed",
          "name": "closed"
      },
      "subResolution": null,
      "tags": [
          "aaa3"
      ],
      "teamAssignedTo": null,
      "timeToDetection": 1271.030204,
      "timeToRemediation": 1044967.701767,
      "timeToResponse": 21.186055,
      "timestamp": "2022-03-11T08:31:28"
  }

案件總覽

結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果回報 200 狀態碼 (is_success=true)：「Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One.」(已在 Trend Micro Vision One 中成功更新工作台警報，ID 為「{id}」)。動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行動作『更新 Workbench 快訊』時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果回應中回報錯誤：「Error executing action "Update Workbench Alert". 原因：{message}。'"	一般

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果回報 200 狀態碼 (is_success=true)：「Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One.」(已在 Trend Micro Vision One 中成功更新工作台警報，ID 為「{id}」)。

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行動作『更新 Workbench 快訊』時發生錯誤。Reason: {0}''.format(error.Stacktrace)"

如果回應中回報錯誤：「Error executing action "Update Workbench Alert". 原因：{message}。'"

一般

連接器

Trend Micro Vision One - Workbench 警報連接器

連接器說明

從 Trend Micro Vision One 擷取有關工作台快訊的資訊。

設定連接器

如要瞭解如何在 Chronicle SOAR 中建立及設定連接器，請參閱「設定連接器」。

連接器設定參數

請使用下列參數設定連接器：

參數名稱	類型	預設值	必填	說明
產品欄位名稱	字串	產品名稱	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	indicators_field	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	180	是	執行目前指令碼的 Python 程序逾時限制。
API 根層級	字串	https://{instance}	是	Trend Micro Vision One 執行個體的 API 根目錄。
API 權杖	字串		是	Trend Micro Vision One 帳戶的 API 金鑰。
要擷取的最低嚴重程度	字串	不適用	否	用於擷取快訊的最低嚴重程度。可能的值：低、中、高、重大。如未指定任何項目，連接器會擷取所有嚴重程度類型的快訊。
可倒轉的小時數上限	整數	1	否	要擷取快訊的小時數。
要擷取的警告數上限	整數	10	否	每個連接器疊代要處理的快訊數量。
將動態清單設為封鎖清單	核取方塊	已取消勾選	是	如果啟用，系統會將動態清單做為封鎖清單。
驗證 SSL	核取方塊	已勾選	否	啟用後，整合服務會驗證連線至 Trend Micro Vision One 伺服器的 SSL 憑證是否有效。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。