Intégrer Mandiant Attack Surface Management à Google SecOps
Ce document explique comment intégrer Mandiant Attack Surface Management à Google Security Operations (Google SecOps).
Version de l'intégration : 9.0
Dans la plate-forme Google SecOps, l'intégration pour Mandiant Attack Surface Management s'appelle Mandiant ASM.
Paramètres d'intégration
L'intégration de Mandiant Attack Surface Management nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
API Root |
Obligatoire. Racine de l'API de l'instance Mandiant. La valeur par défaut est Pour vous authentifier avec les identifiants Google Threat Intelligence, saisissez la valeur suivante : |
Access Key |
Facultatif. Clé d'accès à l'API du compte Mandiant Attack Surface Management. Pour générer la clé d'accès dans Mandiant Attack Surface Management, accédez à Paramètres du compte > Clés API > Générer une clé. |
Secret Key |
Facultatif. Clé secrète de l'API du compte Mandiant Attack Surface Management. Pour générer la clé secrète dans Mandiant Attack Surface Management, accédez à Paramètres du compte> Clés API> Générer une clé. |
Project Name |
Facultatif. Nom du projet à utiliser dans l'intégration. Si vous utilisez les paramètres |
GTI API Key |
Facultatif. Clé API de Google Threat Intelligence. Pour vous authentifier à l'aide de Google Threat Intelligence, définissez la valeur du paramètre Lorsque vous vous authentifiez à l'aide de la clé API Google Threat Intelligence, elle est prioritaire par rapport aux autres méthodes d'authentification. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration vérifie la validité du certificat SSL pour la connexion au serveur Mandiant. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre espace de travail et Effectuer une action manuelle.
Obtenir les détails d'une entité ASM
Utilisez l'action Obtenir les détails d'une entité ASM pour renvoyer des informations sur une entité Mandiant Attack Surface Management.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de l'entité ASM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Entity ID |
Obligatoire. Liste d'ID d'entités séparés par une virgule pour récupérer les détails. |
Sorties d'action
L'action Obtenir les détails de l'entité ASM fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de l'entité ASM :
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Messages de sortie
L'action Get ASM Entity Details (Obtenir les détails de l'entité ASM) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get ASM Entity Details (Obtenir les détails de l'entité ASM) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des entités ASM
Utilisez l'action Rechercher des entités ASM pour rechercher des entités dans Mandiant Attack Surface Management.
Si vous utilisez les paramètres Access Key et Secret Key pour vous authentifier, configurez également le paramètre Project Name dans les paramètres d'intégration.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Search ASM Entities (Rechercher des entités ASM) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Entity Name |
Facultatif. Liste de noms d'entités séparés par une virgule pour trouver des entités. Pour éviter l'échec de l'action, évitez d'utiliser la barre oblique |
Minimum Vulnerabilities Count |
Facultatif. Nombre de failles liées à l'entité renvoyée. |
Minimum Issues Count |
Facultatif. Nombre de problèmes liés à l'entité renvoyée. |
Tags |
Facultatif. Liste de noms de tags séparés par une virgule à utiliser lors de la recherche d'entités. |
Max Entities To Return |
Facultatif. Nombre d'entités à renvoyer. La valeur par défaut est |
Critical or High Issue |
Facultatif. Si cette option est sélectionnée, l'action ne renvoie que les entités présentant des problèmes Non sélectionnée par défaut. |
Sorties d'action
L'action Search ASM Entities (Rechercher des entités ASM) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search ASM Entities (Rechercher des entités ASM) :
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Messages de sortie
L'action Search ASM Entities (Rechercher des entités ASM) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Search ASM Entities (Rechercher des entités ASM) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Problèmes liés à la recherche
Utilisez l'action Rechercher des problèmes pour rechercher des problèmes dans Mandiant Attack Surface Management.
Si vous utilisez les paramètres Access Key et Secret Key pour vous authentifier, configurez également le paramètre Project Name dans les paramètres d'intégration.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Rechercher les problèmes nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Issue ID |
Facultatif. Liste d'ID de problèmes séparés par une virgule pour renvoyer les détails. |
Entity ID |
Facultatif. Liste d'ID d'entités séparés par une virgule pour trouver les problèmes associés. |
Entity Name |
Facultatif. Liste de noms d'entités séparés par une virgule pour trouver les problèmes associés. Pour éviter l'échec de l'action, évitez d'utiliser le caractère barre oblique |
Time Parameter |
Facultatif. Option de filtre permettant de définir l'heure du problème. Les valeurs possibles sont La valeur par défaut est |
Time Frame |
Facultatif. Période permettant de filtrer les problèmes. Si vous sélectionnez Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Start Time |
Facultatif. Heure de début des résultats. Ce paramètre est obligatoire si vous avez sélectionné |
End Time |
Facultatif. Heure de fin des résultats. Si vous avez sélectionné |
Lowest Severity To Return |
Facultatif. Niveau de gravité le plus faible des problèmes à renvoyer. Les valeurs possibles sont les suivantes :
La valeur par défaut est Si vous sélectionnez |
Status |
Facultatif. Filtre d'état pour la recherche. Les valeurs possibles sont La valeur par défaut est Si vous sélectionnez |
Tags |
Facultatif. Liste de noms de tags séparés par une virgule à utiliser lors de la recherche de problèmes. |
Max Issues To Return |
Facultatif. Nombre de problèmes à renvoyer. La valeur par défaut est |
Sorties d'action
L'action Rechercher des problèmes fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search Issues (Rechercher les problèmes) :
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Messages de sortie
L'action Rechercher les problèmes peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Rechercher les problèmes :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Problème de mise à jour
Utilisez l'action Mettre à jour le problème pour mettre à jour un problème dans Mandiant Attack Surface Management.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour le problème nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Issue ID |
Obligatoire. ID du problème à modifier. |
Status |
Obligatoire. État à définir pour le problème. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Mettre à jour le problème fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Mettre à jour le problème peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
L'action a réussi. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour le problème :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Ingérer vos données (connecteurs).
Connecteur de problèmes Mandiant ASM
Utilisez le connecteur de problèmes Mandiant ASM pour extraire des informations sur les problèmes de Mandiant Attack Surface Management.
Le filtre de liste dynamique fonctionne avec le paramètre category.
Le connecteur de problèmes Mandiant ASM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut |
Event Field Name |
Obligatoire. Nom du champ dans lequel le nom de l'événement est stocké. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement est l'environnement par défaut. |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est |
Script Timeout (Seconds) |
Obligatoire. Délai limite, en secondes, pour le processus Python exécutant le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Mandiant. La valeur par défaut est Pour vous authentifier avec les identifiants Google Threat Intelligence, saisissez la valeur suivante : |
Access Key |
Facultatif. Clé d'accès à l'API du compte Mandiant Attack Surface Management. Pour générer la clé d'accès dans Mandiant Attack Surface Management, accédez à Paramètres du compte > Clés API > Générer une clé. |
Secret Key |
Facultatif. Clé secrète de l'API du compte Mandiant Attack Surface Management. Pour générer la clé secrète dans Mandiant Attack Surface Management, accédez à Paramètres du compte> Clés API> Générer une clé. |
Project Name |
Facultatif. Nom du projet à utiliser dans l'intégration. Requis si vous utilisez les paramètres |
GTI API Key |
Facultatif. Clé API de Google Threat Intelligence. Pour vous authentifier à l'aide de Google Threat Intelligence, définissez la valeur du paramètre L'authentification à l'aide de la clé API Google Threat Intelligence est prioritaire par rapport aux autres méthodes d'authentification. |
Lowest Severity To Fetch |
Facultatif. Gravité la plus faible des problèmes à récupérer. Les valeurs possibles sont les suivantes :
Si vous ne définissez pas de valeur, le connecteur ingère les problèmes de tous les types de gravité. |
Max Hours Backwards |
Facultatif. Nombre d'heures avant la première itération du connecteur pour récupérer les incidents. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Issues To Fetch |
Facultatif. Nombre de problèmes à traiter lors d'une seule itération du connecteur. La valeur par défaut est |
Use dynamic list as a blocklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, elle vérifie que le certificat SSL pour la connexion au serveur Mandiant est valide. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.