Integrar Mandiant Attack Surface Management con Google SecOps
En este documento se explica cómo integrar Mandiant Attack Surface Management con Google Security Operations (Google SecOps).
Versión de integración: 9.0
En la plataforma Google SecOps, la integración de Mandiant Attack Surface Management se llama Mandiant ASM.
Parámetros de integración
La integración de Mandiant Attack Surface Management requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio. La raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Access Key |
Opcional. Clave de acceso a la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave de acceso en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Secret Key |
Opcional. La clave secreta de la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave secreta en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar nueva clave. |
Project Name |
Opcional. El nombre del proyecto que se usará en la integración. Si usa los parámetros |
GTI API Key |
Opcional. La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor Cuando te autenticas mediante la clave de la API Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración verifica la validez del certificado SSL para la conexión al servidor de Mandiant. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta el artículo Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a las acciones pendientes de Mi mesa de trabajo y Realizar una acción manual.
Get ASM Entity Details
Usa la acción Get ASM Entity Details para obtener información sobre una entidad de Mandiant Attack Surface Management.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get ASM Entity Details (Obtener detalles de la entidad de ASM) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity ID |
Obligatorio. Lista de IDs de entidades separados por comas para obtener detalles. |
Resultados de la acción
La acción Obtener detalles de entidad de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get ASM Entity Details (Obtener detalles de la entidad de ASM):
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensajes de salida
La acción Get ASM Entity Details puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles de la entidad de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar entidades de ASM
Usa la acción Buscar entidades de ASM para buscar entidades en Mandiant Attack Surface Management.
Si usa los parámetros Access Key y Secret Key para autenticar, también debe configurar el parámetro Project Name en los parámetros de integración.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar entidades de ASM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity Name |
Opcional. Lista de nombres de entidades separados por comas para encontrar entidades. Para evitar que se produzca un error en la acción, no utilice el carácter de barra diagonal |
Minimum Vulnerabilities Count |
Opcional. Número de vulnerabilidades relacionadas con la entidad devuelta. |
Minimum Issues Count |
Opcional. El número de problemas relacionados con la entidad devuelta. |
Tags |
Opcional. Lista de nombres de etiquetas separados por comas que se usarán al buscar entidades. |
Max Entities To Return |
Opcional. Número de entidades que se deben devolver. El valor predeterminado es |
Critical or High Issue |
Opcional. Si se selecciona esta opción, la acción solo devuelve las entidades que tengan problemas de No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Buscar entidades de ASM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar entidades de ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensajes de salida
La acción Buscar entidades de ASM puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar entidades de ASM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Problemas con las búsquedas
Usa la acción Buscar problemas para buscar problemas en Mandiant Attack Surface Management.
Si usa los parámetros Access Key y Secret Key para autenticar, también debe configurar el parámetro Project Name en los parámetros de integración.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Problemas de búsqueda requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Opcional. Lista de IDs de problemas separados por comas para devolver los detalles. |
Entity ID |
Opcional. Lista de IDs de entidad separados por comas para encontrar problemas relacionados. |
Entity Name |
Opcional. Lista de nombres de entidades separados por comas para encontrar problemas relacionados. Para evitar que se produzca un error en la acción, no utilice el carácter de barra diagonal |
Time Parameter |
Opcional. Una opción de filtro para definir la hora del problema. Los valores posibles son El valor predeterminado es |
Time Frame |
Opcional. Periodo para filtrar los problemas. Si seleccionas
Estos son los valores posibles:
El valor predeterminado es |
Start Time |
Opcional. La hora de inicio de los resultados. Si ha seleccionado |
End Time |
Opcional. Hora de finalización de los resultados. Si has seleccionado |
Lowest Severity To Return |
Opcional. La gravedad más baja de los problemas que se devolverán. Estos son los valores posibles:
El valor predeterminado es Si seleccionas |
Status |
Opcional. El filtro de estado de la búsqueda. Los valores posibles son El valor predeterminado es Si seleccionas |
Tags |
Opcional. Lista de nombres de etiquetas separados por comas que se usarán al buscar problemas. |
Max Issues To Return |
Opcional. Número de problemas que se van a devolver. El valor predeterminado es |
Resultados de la acción
La acción Buscar problemas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar incidencias:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensajes de salida
La acción Buscar problemas puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Buscar problemas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Problema con la actualización
Usa la acción Actualizar problema para actualizar un problema en Mandiant Attack Surface Management.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Actualizar incidencia requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Obligatorio. ID del problema que se va a actualizar. |
Status |
Obligatorio. El estado que se va a asignar al problema. Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Actualizar incidencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Actualizar incidencia puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
La acción se ha realizado correctamente. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Actualizar incidencia:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).
Mandiant ASM - Issues Connector
Usa el conector de problemas de Mandiant ASM para extraer información sobre problemas de Mandiant Attack Surface Management.
El filtro de lista dinámica funciona con el parámetro category.
El conector de problemas de Mandiant ASM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado |
Event Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
Environment Regex Pattern |
Opcional. Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, introduce el siguiente valor: |
Access Key |
Opcional. Clave de acceso a la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave de acceso en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Secret Key |
Opcional. La clave secreta de la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave secreta en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar nueva clave. |
Project Name |
Opcional. El nombre del proyecto que se usará en la integración. Obligatorio si usa los parámetros |
GTI API Key |
Opcional. La clave de API de Google Threat Intelligence. Para autenticarte mediante Google Threat Intelligence, asigna el valor La autenticación mediante la clave de la API Google Threat Intelligence tiene prioridad sobre otros métodos de autenticación. |
Lowest Severity To Fetch |
Opcional. La gravedad más baja de los problemas que se van a obtener. Estos son los valores posibles:
Si no define ningún valor, el conector ingiere problemas de todos los tipos de gravedad. |
Max Hours Backwards |
Opcional. Número de horas antes de la primera iteración del conector para recuperar incidencias. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de respaldo de una marca de tiempo del conector caducada. El valor predeterminado es |
Max Issues To Fetch |
Opcional. Número de problemas que se deben procesar en una sola iteración del conector. El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona, verifica que el certificado SSL de la conexión al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.