Integrare Mandiant Attack Surface Management con Google SecOps
Questo documento spiega come integrare Mandiant Attack Surface Management con Google Security Operations (Google SecOps).
Versione integrazione: 9.0
Nella piattaforma Google SecOps, l'integrazione per Mandiant Attack Surface Management si chiama Mandiant ASM.
Parametri di integrazione
L'integrazione di Mandiant Attack Surface Management richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
API Root |
Obbligatorio. La radice API dell'istanza Mandiant. Il valore predefinito è Per l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Access Key |
Facoltativo. La chiave di accesso API dell'account Mandiant Attack Surface Management. Per generare la chiave di accesso in Mandiant Attack Surface Management, vai a Impostazioni account > Chiavi API > Genera nuova chiave. |
Secret Key |
Facoltativo. La chiave segreta API dell'account Mandiant Attack Surface Management. Per generare la chiave segreta in Mandiant Attack Surface Management, vai a Impostazioni account > Chiavi API > Genera nuova chiave. |
Project Name |
Facoltativo. Il nome del progetto da utilizzare nell'integrazione. Se utilizzi i parametri |
GTI API Key |
Facoltativo. La chiave API di Google Threat Intelligence. Per l'autenticazione
utilizzando Google Threat Intelligence, imposta ilvalore parametroo Quando esegui l'autenticazione utilizzando la chiave API Google Threat Intelligence, questa ha la priorità rispetto ad altri metodi di autenticazione. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione verifica la validità del certificato SSL per la connessione al server Mandiant. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania ed Eseguire un'azione manuale.
Recupera i dettagli dell'entità ASM
Utilizza l'azione Ottieni dettagli entità ASM per restituire informazioni su un'entità Mandiant Attack Surface Management.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli entità ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Entity ID |
Obbligatorio. Un elenco separato da virgole di ID entità per recuperare i dettagli. |
Output dell'azione
L'azione Ottieni dettagli entità ASM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli entità ASM:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Messaggi di output
L'azione Get ASM Entity Details può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni dettagli entità ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca entità ASM
Utilizza l'azione Cerca entità ASM per cercare entità in Mandiant Attack Surface Management.
Se utilizzi i parametri Access Key e Secret Key per l'autenticazione, configura anche il parametro Project Name nei parametri di integrazione.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca entità ASM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Entity Name |
Facoltativo. Un elenco separato da virgole di nomi di entità per trovare entità. Per evitare errori di azione, evita di utilizzare il carattere barra
avanti quando configuri i valori per questo parametro. |
Minimum Vulnerabilities Count |
Facoltativo. Il numero di vulnerabilità correlate all'entità restituita. |
Minimum Issues Count |
Facoltativo. Il numero di problemi relativi all'entità restituita. |
Tags |
Facoltativo. Un elenco separato da virgole di nomi di tag da utilizzare quando cerchi entità. |
Max Entities To Return |
Facoltativo. Il numero di entità da restituire. Il valore
predefinito è |
Critical or High Issue |
Facoltativo. Se selezionata, l'azione restituisce solo le entità con
problemi Non selezionata per impostazione predefinita. |
Output dell'azione
L'azione Search ASM Entities (Cerca entità ASM) fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca entità ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Messaggi di output
L'azione Cerca entità ASM può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca entità ASM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Problemi di ricerca
Utilizza l'azione Cerca problemi per cercare i problemi in Mandiant Attack Surface Management.
Se utilizzi i parametri Access Key e Secret Key per l'autenticazione, configura anche il parametro Project Name nei parametri di integrazione.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Problemi di ricerca richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Issue ID |
Facoltativo. Un elenco separato da virgole di ID problema per restituire i dettagli. |
Entity ID |
Facoltativo. Un elenco separato da virgole di ID entità per trovare problemi correlati. |
Entity Name |
Facoltativo. Un elenco separato da virgole di nomi di entità per trovare problemi correlati. Per evitare errori di azione, evita di utilizzare il carattere
|
Time Parameter |
Facoltativo. Un'opzione di filtro per impostare l'ora del problema. I valori possibili sono Il valore predefinito è |
Time Frame |
Facoltativo. Un periodo per filtrare i problemi. Se selezioni
I valori possibili sono:
Il valore predefinito è |
Start Time |
Facoltativo. L'ora di inizio dei risultati. Se hai selezionato
|
End Time |
Facoltativo. L'ora di fine dei risultati. Se hai selezionato
|
Lowest Severity To Return |
Facoltativo. La gravità minima dei problemi da restituire. I valori possibili sono:
Il valore predefinito è Se selezioni |
Status |
Facoltativo. Il filtro di stato per la ricerca. I valori possibili sono Il valore predefinito è Se selezioni |
Tags |
Facoltativo. Un elenco separato da virgole di nomi dei tag da utilizzare quando cerchi i problemi. |
Max Issues To Return |
Facoltativo. Il numero di problemi da restituire. Il valore
predefinito è |
Output dell'azione
L'azione Cerca problemi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca problemi:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Messaggi di output
L'azione Cerca problemi può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca problemi:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna problema
Utilizza l'azione Aggiorna problema per aggiornare un problema in Mandiant Attack Surface Management.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna problema richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Issue ID |
Obbligatorio. L'ID del problema da aggiornare. |
Status |
Obbligatorio. Lo stato da impostare per il problema. I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Aggiorna problema fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiorna problema può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
L'azione è riuscita. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna problema:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).
Mandiant ASM - Issues Connector
Utilizza Mandiant ASM - Issues Connector per estrarre informazioni sui problemi da Mandiant Attack Surface Management.
Il filtro dell'elenco dinamico funziona con il parametro category.
Il connettore Mandiant ASM - Issues richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare il processo di mappatura per il connettore, il valore predefinito |
Event Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome dell'evento. Il valore predefinito è |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è |
Script Timeout (Seconds) |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è
|
API Root |
Obbligatorio. La radice API dell'istanza Mandiant. Il valore predefinito è Per l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Access Key |
Facoltativo. La chiave di accesso API dell'account Mandiant Attack Surface Management. Per generare la chiave di accesso in Mandiant Attack Surface Management, vai a Impostazioni account > Chiavi API > Genera nuova chiave. |
Secret Key |
Facoltativo. La chiave segreta API dell'account Mandiant Attack Surface Management. Per generare la chiave segreta in Mandiant Attack Surface Management, vai a Impostazioni account > Chiavi API > Genera nuova chiave. |
Project Name |
Facoltativo. Il nome del progetto da utilizzare nell'integrazione. Obbligatorio se utilizzi i parametri |
GTI API Key |
Facoltativo. La chiave API di Google Threat Intelligence. Per l'autenticazione
utilizzando Google Threat Intelligence, imposta ilvalore parametroo L'autenticazione tramite la chiave API Google Threat Intelligence ha la priorità rispetto ad altri metodi di autenticazione. |
Lowest Severity To Fetch |
Facoltativo. La gravità minima dei problemi da recuperare. I valori possibili sono:
Se non imposti un valore, il connettore acquisisce i problemi con tutti i tipi di gravità. |
Max Hours Backwards |
Facoltativo. Numero di ore prima della prima iterazione del connettore per recuperare gli incidenti. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Issues To Fetch |
Facoltativo. Il numero di problemi da elaborare in una singola iterazione del connettore. Il valore predefinito
è |
Use dynamic list as a blocklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.