Integra Mandiant Attack Surface Management con Google SecOps
En este documento, se explica cómo integrar Mandiant Attack Surface Management con Google Security Operations (Google SecOps).
Versión de integración: 9.0
En la plataforma de SecOps de Google, la integración de Mandiant Attack Surface Management se denomina Mandiant ASM.
Parámetros de integración
La integración de Mandiant Attack Surface Management requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio. Es la raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Access Key |
Opcional. Es la clave de acceso a la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave de acceso en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Secret Key |
Opcional. Es la clave secreta de la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave secreta en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Project Name |
Opcional. Nombre del proyecto que se usará en la integración. Si usas los parámetros |
GTI API Key |
Opcional. Es la clave de API de Google Threat Intelligence. Para autenticarte con la Inteligencia sobre amenazas de Google, establece el valor del parámetro Cuando te autenticas con la clave de la API de Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio. Si se selecciona, la integración verifica la validez del certificado SSL para la conexión al servidor de Mandiant. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu Workdesk y Cómo realizar una acción manual.
Obtén detalles de la entidad de ASM
Usa la acción Get ASM Entity Details para devolver información sobre una entidad de Mandiant Attack Surface Management.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get ASM Entity Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity ID |
Obligatorio. Es una lista separada por comas de los IDs de entidades de las que se recuperarán detalles. |
Resultados de la acción
La acción Get ASM Entity Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get ASM Entity Details:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensajes de salida
La acción Get ASM Entity Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get ASM Entity Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo buscar entidades de ASM
Usa la acción Search ASM Entities para buscar entidades en Mandiant Attack Surface Management.
Si usas los parámetros Access Key y Secret Key para la autenticación, también debes configurar el parámetro Project Name en los parámetros de integración.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search ASM Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity Name |
Opcional. Es una lista separada por comas de los nombres de las entidades que se deben buscar. Para evitar que la acción falle, no uses el carácter de barra diagonal |
Minimum Vulnerabilities Count |
Opcional. Es la cantidad de vulnerabilidades relacionadas con la entidad devuelta. |
Minimum Issues Count |
Opcional. Es la cantidad de problemas relacionados con la entidad devuelta. |
Tags |
Opcional. Es una lista separada por comas de los nombres de las etiquetas que se usarán cuando se busquen entidades. |
Max Entities To Return |
Opcional. Es la cantidad de entidades que se devolverán. El valor predeterminado es |
Critical or High Issue |
Opcional. Si se selecciona, la acción solo devuelve entidades con problemas de No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Search ASM Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search ASM Entities:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensajes de salida
La acción Search ASM Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Search ASM Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Problemas con las búsquedas
Usa la acción Search Issues para buscar problemas en Mandiant Attack Surface Management.
Si usas los parámetros Access Key y Secret Key para la autenticación, también debes configurar el parámetro Project Name en los parámetros de integración.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search Issues requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Opcional. Es una lista de IDs de problemas separados por comas para devolver los detalles. |
Entity ID |
Opcional. Es una lista de IDs de entidades separados por comas para encontrar problemas relacionados. |
Entity Name |
Opcional. Lista separada por comas de los nombres de las entidades para encontrar problemas relacionados. Para evitar que la acción falle, no uses el carácter de barra |
Time Parameter |
Opcional. Opción de filtro para establecer la hora del problema. Los valores posibles son El valor predeterminado es |
Time Frame |
Opcional. Es un período para filtrar problemas. Si seleccionas Los valores posibles son los siguientes:
El valor predeterminado es |
Start Time |
Opcional. Es la hora de inicio de los resultados. Si seleccionaste |
End Time |
Opcional. Es la hora de finalización de los resultados. Si seleccionaste |
Lowest Severity To Return |
Opcional. Es la gravedad más baja de los problemas que se devolverán. Los valores posibles son los siguientes:
El valor predeterminado es Si seleccionas |
Status |
Opcional. Es el filtro de estado de la búsqueda. Los valores posibles son El valor predeterminado es Si seleccionas |
Tags |
Opcional. Es una lista separada por comas de los nombres de las etiquetas que se usarán cuando se busquen problemas. |
Max Issues To Return |
Opcional. Es la cantidad de problemas que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción Search Issues proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Issues:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensajes de salida
La acción Search Issues puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Search Issues:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Problema con la actualización
Usa la acción Update Issue para actualizar un problema en Mandiant Attack Surface Management.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Issue requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Issue ID |
Obligatorio. Es el ID del problema que se actualizará. |
Status |
Obligatorio. Es el estado que se establecerá para el problema. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update Issue proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Issue puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
La acción se completó correctamente. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update Issue:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).
Mandiant ASM: conector de problemas
Usa el conector de problemas de Mandiant ASM para extraer información sobre los problemas de la administración de la superficie de ataque de Mandiant.
El filtro de lista dinámico funciona con el parámetro category.
El conector de problemas de Mandiant ASM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado |
Event Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del evento. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Access Key |
Opcional. Es la clave de acceso a la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave de acceso en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Secret Key |
Opcional. Es la clave secreta de la API de la cuenta de Mandiant Attack Surface Management. Para generar la clave secreta en Mandiant Attack Surface Management, ve a Configuración de la cuenta > Claves de API > Generar clave nueva. |
Project Name |
Opcional. Nombre del proyecto que se usará en la integración. Se requiere si usas los parámetros |
GTI API Key |
Opcional. Es la clave de API de Google Threat Intelligence. Para autenticarte con la Inteligencia sobre amenazas de Google, establece el valor del parámetro La autenticación con la clave de la API de Google Threat Intelligence tiene prioridad sobre otros métodos de autenticación. |
Lowest Severity To Fetch |
Opcional. Es la gravedad más baja de los problemas que se recuperarán. Los valores posibles son los siguientes:
Si no estableces un valor, el conector ingerirá problemas con todos los tipos de gravedad. |
Max Hours Backwards |
Opcional. Cantidad de horas previas a la primera iteración del conector para recuperar incidentes. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo de una marca de tiempo del conector vencida. El valor predeterminado es |
Max Issues To Fetch |
Opcional. Es la cantidad de problemas que se procesarán en una sola iteración del conector. El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona, verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.