Mandiant Attack Surface Management を Google SecOps と統合する

このドキュメントでは、Mandiant Attack Surface Management を Google Security Operations(Google SecOps)と統合する方法について説明します。

統合バージョン: 9.0

Google SecOps プラットフォームでは、Mandiant Attack Surface Management の統合は Mandiant ASM と呼ばれます。

統合のパラメータ

Mandiant Attack Surface Management 統合には、次のパラメータが必要です。

パラメータ 説明
API Root

必須。

Mandiant インスタンスの API ルート。

デフォルト値は https://asm-api.advantage.mandiant.com です。

Google Threat Intelligence の認証情報で認証するには、値 https://www.virustotal.com を入力します。
Access Key

省略可。

Mandiant Attack Surface Management アカウントの API アクセスキー。

Mandiant Attack Surface Management でアクセスキーを生成するには、[アカウント設定] > [API キー] > [新しいキーを生成] に移動します。
Secret Key

省略可。

Mandiant Attack Surface Management アカウントの API シークレット キー。

Mandiant Attack Surface Management でシークレット キーを生成するには、[アカウント設定] > [API キー] > [新しいキーを生成] に移動します。
Project Name

省略可。

統合で使用するプロジェクト名。

Access Key パラメータと Secret Key パラメータを使用して認証を行う場合、このパラメータは Search ASM Entities アクションと Search Issues アクションを実行するために必要です。
GTI API Key

省略可。

Google Threat Intelligence の API キー。

Google Threat Intelligence を使用して認証するには、API Root パラメータの値を https://www.virustotal.com に設定します。

Google Threat Intelligence API キーを使用して認証すると、他の認証方法よりも優先されます。
Verify SSL

必須。

選択すると、統合によって Mandiant サーバーへの接続用の SSL 証明書の有効性が検証されます。

デフォルトで選択されています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、Your Workdesk から保留中のアクションに対応する手動アクションを実行するをご覧ください。

ASM エンティティの詳細を取得する

ASM エンティティの詳細を取得アクションを使用して、Mandiant Attack Surface Management エンティティに関する情報を返します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Get ASM Entity Details] アクションには、次のパラメータが必要です。

パラメータ 説明
Entity ID

必須。

詳細を取得するエンティティ ID のカンマ区切りのリスト。

アクションの出力

[Get ASM Entity Details] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、Get ASM Entity Details アクションを使用した場合に受信する JSON 結果の出力を示しています。

{
 "uuid": "UUID",
 "dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
 "collection_name": "cpndemorange_oum28bu",
 "alias_group": 8515,
 "aliases": [
   "http://192.0.2.73:80"
 ],
 "allow_list": false,
 "ancestors": [
   {
     "type": "Intrigue::Entity::NetBlock",
     "name": "192.0.2.0/24"
   }
 ],
 "category": null,
 "collection_naics": null,
 "confidence": null,
 "deleted": false,
 "deny_list": false,
 "details": {
   "asn": null,
   "ssl": false,
   "uri": "http://192.0.2.73:80",
   "code": "404",
   "port": 80,
   "forms": false,
   "title": "404 Not Found",
   "verbs": null,
   "cookies": null,
   "headers": [
     "Date: Fri, 30 Sep 2022 06:51:11 GMT",
     "Content-Type: text/html",
     "Content-Length: 548",
     "Connection: keep-alive"
   ],
   "host_id": 8615,
   "net_geo": "US",
   "scripts": [],
   "service": "http",
   "auth.2fa": false,
   "auth.any": false,
   "dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
   "net_name": "",
   "protocol": "tcp",
   "alt_names": null,
   "auth.ntlm": false,
   "generator": null,
   "auth.basic": false,
   "auth.forms": false,
   "ip_address": "192.0.2.73",
   "favicon_md5": null,
   "fingerprint": [
     {
       "cpe": "cpe:2.3:a:example:example::",
       "hide": false,
       "tags": [
         "Web Server"
       ],
       "type": "fingerprint",
       "tasks": null,
       "issues": null,
       "method": "ident",
       "update": null,
       "vendor": "Example",
       "product": "Example",
       "version": null,
       "inference": false,
       "description": "example (default page)",
       "match_logic": "all",
       "positive_matches": [
         {
           "match_type": "content_body",
           "match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
         }
       ]
     },
     {
       "cpe": "cpe:2.3:a:example:example::",
       "hide": false,
       "tags": [
         "Web Server"
       ],
       "type": "fingerprint",
       "tasks": null,
       "issues": null,
       "method": "ident",
       "update": null,
       "vendor": "example",
       "product": "example",
       "version": null,
       "inference": false,
       "description": "example (default page - could be redirect)",
       "match_logic": "all",
       "positive_matches": [
         {
           "match_type": "content_body",
           "match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
         }
       ]
     }
   ],
   "geolocation": {
     "asn": {
       "asn": 16509,
       "isp": "Example Inc.",
       "name": "example.com, Inc.",
       "organization": "Example Services",
       "connection_type": "Corporate"
     },
     "city": "Singapore",
     "country": "Singapore",
     "latitude": 1.35208,
     "continent": "Asia",
     "longitude": 103.82,
     "time_zone": "Asia/Singapore",
     "country_code": "SG",
     "continent_code": "AS"
   },
   "vuln_checks": [
     "log4shell_cve_2021_44228"
   ],
   "api_endpoint": false,
   "cloud_hosted": true,
   "favicon_sha1": null,
   "domain_cookies": null,
   "log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
   "redirect_chain": [],
   "redirect_count": 0,
   "cloud_providers": [
     "Cloud Provider Name"
   ],
   "hidden_original": "http://192.0.2.73:80",
   "net_country_code": null,
   "screenshot_exists": true,
   "cloud_fingerprints": [],
   "response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
   "extended_favicon_data": null,
   "extended_path_to_seed": [
     {
       "id": 8620,
       "_id": 8605,
       "name": "http://192.0.2.73:80",
       "seed": false,
       "type": "Intrigue::Entity::Uri",
       "_type": "Entity",
       "creates": [
         {
           "id": 6158,
           "_id": 6152,
           "name": "192.0.2.0/24",
           "seed": true,
           "type": "Intrigue::Entity::NetBlock",
           "_type": "Entity",
           "creates.verb": "queried",
           "creates.source_name": "search_shodan",
           "creates.source_type": "internet_scan_database"
         }
       ]
     }
   ],
   "extended_configuration": [
     {
       "hide": false,
       "name": "Example Page Content",
       "task": null,
       "type": "content",
       "issue": null,
       "result": 566218143
     },
     {
       "hide": false,
       "name": "Example",
       "task": null,
       "type": "content",
       "issue": null,
       "result": 566218143
     },
     {
       "cpe": "cpe:2.3:a:example:example::",
       "hide": false,
       "tags": [
         "Web Server"
       ],
       "type": "fingerprint",
       "tasks": null,
       "issues": null,
       "method": "ident",
       "update": null,
       "vendor": "Example",
       "product": "Example",
       "version": null,
       "inference": false,
       "description": "example (default page)",
       "match_logic": "all",
       "positive_matches": [
         {
           "match_type": "content_body",
           "match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
         }
       ]
     },
     {
       "cpe": "cpe:2.3:a:example:example::",
       "hide": false,
       "tags": [
         "Web Server"
       ],
       "type": "fingerprint",
       "tasks": null,
       "issues": null,
       "method": "ident",
       "update": null,
       "vendor": "Example",
       "product": "Example",
       "version": null,
       "inference": false,
       "description": "example (default page - could be redirect)",
       "match_logic": "all",
       "positive_matches": [
         {
           "match_type": "content_body",
           "match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
         }
       ]
     }
   ],
   "extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
   "exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
   "extended_shodan_details": {
     "ip": 50387017,
     "os": null,
     "asn": "ASN",
     "isp": "Example.com, Inc.",
     "org": "Example Services",
     "data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
     "hash": -744989972,
     "http": {
       "host": "192.0.2.73",
       "html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
       "title": "404 Not Found",
       "robots": null,
       "server": null,
       "status": 404,
       "sitemap": null,
       "location": "/",
       "html_hash": -2090962452,
       "redirects": [],
       "components": {},
       "robots_hash": null,
       "securitytxt": null,
       "headers_hash": -873436690,
       "sitemap_hash": null,
       "securitytxt_hash": null
     },
     "tags": [
       "cloud"
     ],
     "cloud": {
       "region": "ap-southeast-1",
       "service": "Example",
       "provider": "Example"
     },
     "ip_str": "192.0.2.73",
     "_shodan": {
       "id": "ID",
       "ptr": true,
       "module": "http",
       "region": "eu",
       "crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
       "options": {}
     },
     "domains": [
       "example.com"
     ],
     "location": {
       "city": "Singapore",
       "latitude": 1.28967,
       "area_code": null,
       "longitude": 103.85007,
       "region_code": "01",
       "country_code": "SG",
       "country_name": "Singapore"
     },
     "hostnames": [
       "ec2-192-0-2-73.ap-southeast-1.compute.example.com"
     ],
     "timestamp": "2022-09-30T05:16:33.068993"
   },
   "hidden_port_open_confirmed": true,
   "extended_screenshot_contents": "iVBORw0KGgoAAA"
 },
 "details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
 "description": null,
 "first_seen": "2022-09-30T21:20:19.000Z",
 "hidden": false,
 "last_seen": "2022-09-30T21:20:19.000Z",
 "name": "http://192.0.2.73:80",
 "scoped": true,
 "scoped_reason": "entity_scoping_rules: fallback value",
 "seed": false,
 "source": null,
 "status": null,
 "task_results": [],
 "type": "Intrigue::Entity::Uri",
 "uid": "UID",
 "created_at": "2022-09-30T21:25:05.232Z",
 "updated_at": "2022-09-30T21:25:05.239Z",
 "collection_id": 117139,
 "elasticsearch_mappings_hash": null,
 "collection": "cpndemorange_oum28bu",
 "collection_uuid": "UUID",
 "organization_uuid": "UUID",
 "collection_type": "user_collection",
 "fingerprint": [
   {
     "cpe": "cpe:2.3:a:example:example::",
     "hide": false,
     "tags": [
       "Web Server"
     ],
     "type": "fingerprint",
     "tasks": null,
     "issues": null,
     "method": "ident",
     "update": null,
     "vendor": "Example",
     "product": "Example",
     "version": null,
     "inference": false,
     "description": "example (default page)",
     "match_logic": "all",
     "positive_matches": [
       {
         "match_type": "content_body",
         "match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
       }
     ],
     "local_icon_path": "/assets/fingerprints/example.png"
   },
   {
     "cpe": "cpe:2.3:a:example:example::",
     "hide": false,
     "tags": [
       "Web Server"
     ],
     "type": "fingerprint",
     "tasks": null,
     "issues": null,
     "method": "ident",
     "update": null,
     "vendor": "Example",
     "product": "Example",
     "version": null,
     "inference": false,
     "description": "example (default page - could be redirect)",
     "match_logic": "all",
     "positive_matches": [
       {
         "match_type": "content_body",
         "match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
       }
     ],
     "local_icon_path": "/assets/fingerprints/example.png"
   }
 ],
 "summary": {
   "scoped": true,
   "issues": {
     "current_with_cve": 0,
     "current_by_severity": {
       "1": 1
     },
     "all_time_by_severity": {
       "1": 1
     },
     "current_count": 1,
     "all_time_count": 1,
     "critical_or_high": true
   },
   "task_results": [
     "search_shodan",
     "port_scan",
     "port_scan_lambda",
     "search_shodan"
   ],
   "screenshot_exists": true,
   "geolocation": {
     "city": "Singapore",
     "country_code": "SG",
     "country_name": null,
     "latitude": 1.35208,
     "longitude": 103.82,
     "asn": null
   },
   "http": {
     "code": 404,
     "title": "404 Not Found",
     "content": {
       "favicon_hash": null,
       "hash": null,
       "forms": false
     },
     "auth": {
       "any": false,
       "basic": false,
       "ntlm": false,
       "forms": false,
       "2fa": false
     }
   },
   "ports": {
     "tcp": [
       80
     ],
     "udp": [],
     "count": 1
   },
   "network": {
     "name": "example.com, Inc.",
     "asn": 16509,
     "route": null,
     "type": null
   },
   "technology": {
     "cloud": true,
     "cloud_providers": [
       "Cloud Provider Name"
     ],
     "cpes": [],
     "technologies": [],
     "technology_labels": []
   },
   "vulns": {
     "current_count": 0,
     "vulns": []
   }
 },
 "tags": [],
 "id": "ID",
 "scoped_at": "2022-09-30 06:51:57 +0000",
 "detail_string": "Fingerprint: Example |  Title: 404 Not Found",
 "enrichment_tasks": [
   "enrich/uri",
   "sslcan"
 ],
 "generated_at": "2022-09-30T21:21:18Z"
}
出力メッセージ

[Get ASM Entity Details] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully return details for the following entities using information from Mandiant ASM: ENTITY_ID

Action wasn't able to return details for the following entities using information from Mandiant ASM: ENTITY_ID

 アクションが成功しました。
Error executing action "Get ASM Entity Details". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get ASM Entity Details アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ASM エンティティを検索する

[ASM エンティティを検索] アクションを使用して、Mandiant Attack Surface Management でエンティティを検索します。

Access Key パラメータと Secret Key パラメータを使用して認証する場合は、統合パラメータProject Name パラメータも構成します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Search ASM Entities] アクションには、次のパラメータが必要です。

パラメータ 説明
Entity Name

省略可。

エンティティを検索するエンティティ名のカンマ区切りのリスト。

アクションの失敗を防ぐため、このパラメータの値を構成するときに / スラッシュ文字を使用しないでください。
Minimum Vulnerabilities Count

省略可。

返されたエンティティに関連する脆弱性の数。
Minimum Issues Count

省略可。

返されたエンティティに関連する問題の数。
Tags

省略可。

エンティティの検索時に使用するタグ名のカンマ区切りリスト。
Max Entities To Return

省略可。

返すエンティティの数。

デフォルト値は 50 です。最大値は 200 です。
Critical or High Issue

省略可。

選択すると、アクションは High または Critical の問題があるエンティティのみを返します。

デフォルトでは選択されていません。

アクションの出力

[Search ASM Entities] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Search ASM Entities] アクションを使用したときに受信した JSON 結果の出力です。

{
 "id": "ID",
 "dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
 "alias_group": "1935953",
 "name": "192.0.2.92",
 "type": "Intrigue::Entity::IpAddress",
 "first_seen": "2022-02-02T01:44:46Z",
 "last_seen": "2022-02-02T01:44:46Z",
 "collection": "cpndemorange_oum28bu",
 "collection_type": "Intrigue::Collections::UserCollection",
 "collection_naics": [],
 "collection_uuid": "COLLECTION_UUID",
 "organization_uuid": "ORGANIZATION_UUID",
 "tags": [],
 "issues": [],
 "exfil_lookup_identifier": null,
 "summary": {
     "scoped": true,
     "issues": {
         "current_by_severity": {},
         "current_with_cve": 0,
         "all_time_by_severity": {},
         "current_count": 0,
         "all_time_count": 0,
         "critical_or_high": false
     },
     "task_results": [
         "search_shodan"
     ],
     "geolocation": {
         "city": "San Jose",
         "country_code": "US",
         "country_name": null,
         "latitude": "-121.8896",
         "asn": null
     },
     "ports": {
         "count": 0,
         "tcp": null,
         "udp": null
     },
     "resolutions": [
         "ec2-192-0-2-92.us-west-1.compute.example.com"
     ],
     "network": {
         "name": "EXAMPLE-02",
         "asn": "16509.0",
         "route": "2001:db8::/32",
         "type": null
     },
     "technology": {
         "cloud": true,
         "cloud_providers": [
             "Cloud Provider Name"
         ]
     }
 }
}
出力メッセージ

ASM エンティティを検索アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully returned entities based on the provided criteria in Mandiant ASM.

No entities were found based on the provided criteria in Mandiant ASM.

 アクションが成功しました。
Error executing action "Search ASM Entities". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Search ASM Entities アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

検索に関する問題

Search Issues アクションを使用して、Mandiant Attack Surface Management で問題を検索します。

Access Key パラメータと Secret Key パラメータを使用して認証する場合は、統合パラメータProject Name パラメータも構成します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Search Issues] アクションには、次のパラメータが必要です。

パラメータ 説明
Issue ID

省略可。

詳細を返す問題 ID のカンマ区切りのリスト。
Entity ID

省略可。

関連する問題を検索するエンティティ ID のカンマ区切りのリスト。
Entity Name

省略可。

関連する問題を検索するエンティティ名のカンマ区切りのリスト。

アクションの失敗を防ぐため、このパラメータの値を構成するときに / スラッシュ文字を使用しないでください。
Time Parameter

省略可。

問題の時間を設定するフィルタ オプション。

指定できる値は First SeenLast Seen です。

デフォルト値は First Seen です。
Time Frame

省略可。

問題をフィルタする期間。Custom を選択した場合は、Start Time パラメータを構成します。

値は次のいずれかになります。

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

デフォルト値は Last Hour です。
Start Time

省略可。

結果の開始時刻。

Time Frame パラメータに Custom を選択した場合、このパラメータは必須です。ISO 8601 形式で値を構成します。
End Time

省略可。

結果の終了時刻。

Time Frame パラメータに Custom を選択し、終了時刻を設定しなかった場合、このパラメータは現在の時刻を終了時刻として使用します。ISO 8601 形式で値を構成します。
Lowest Severity To Return

省略可。

返す問題の最も低い重大度。

値は次のいずれかになります。

  • Select One
  • Critical
  • High
  • Medium
  • Low
  • Informational

デフォルト値は Select One です。

Select One を選択すると、このフィルタは検索に適用されません。
Status

省略可。

検索のステータス フィルタ。

有効な値は OpenClosedSelect One です。

デフォルト値は Select One です。

Select One を選択すると、このフィルタは検索に適用されません。
Tags

省略可。

問題の検索時に使用するタグ名のカンマ区切りリスト。
Max Issues To Return

省略可。

返す問題の数。

デフォルト値は 50 です。最大値は 200 です。

アクションの出力

[Search Issues] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、Search Issues アクションを使用した場合に受信する JSON 結果の出力例を示しています。

{
 "id": "ID",
 "uuid": "UUID",
 "dynamic_id": 20073997,
 "name": "exposed_ftp_service",
 "upstream": "intrigue",
 "last_seen": "2022-02-02T01:44:46.000Z",
 "first_seen": "2022-02-02T01:44:46.000Z",
 "entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
 "entity_type": "Intrigue::Entity::NetworkService",
 "entity_name": "192.0.2.204:24/tcp",
 "alias_group": "1937534",
 "collection": "cpndemorange_oum28bu",
 "collection_uuid": "COLLECTION_UUID",
 "collection_type": "user_collection",
 "organization_uuid": "ORGANIZATION_UUID",
 "summary": {
     "pretty_name": "Exposed FTP Service",
     "severity": 3,
     "scoped": true,
     "confidence": "confirmed",
     "status": "open_new",
     "category": "misconfiguration",
     "identifiers": null,
     "status_new": "open",
     "status_new_detailed": "new",
     "ticket_list": null
 },
 "tags": []
}
出力メッセージ

[Search Issues] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully returned issues based on the provided criteria in Mandiant ASM.

No issues were found based on the provided criteria in Mandiant ASM.

 アクションが成功しました。
Error executing action "Search Issues". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Search Issues アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

問題を更新する

Mandiant Attack Surface Management の問題を更新するには、[Update Issue] アクションを使用します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Update Issue] アクションには、次のパラメータが必要です。

パラメータ 説明
Issue ID

必須。

更新する問題の ID。
Status

必須。

問題に設定するステータス。

値は次のいずれかになります。

  • Select One
  • New
  • Triaged
  • In Progress
  • Resolved
  • Duplicate
  • Out Of Scope
  • Not A Security Issue (Benign)
  • Risk Accepted
  • False Positive
  • Unable To Reproduce
  • Tracked Externally
  • Mitigated

デフォルト値は Select One です。

アクションの出力

[Update Issue] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Update Issue] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明
Successfully updated issue with ID "ISSUE_ID" in Mandiant ASM. アクションが成功しました。
Error executing action "Update Issue". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Update Issue アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

コネクタ

Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。

Mandiant ASM - 問題コネクタ

Mandiant ASM - 問題コネクタを使用して、Mandiant Attack Surface Management から問題に関する情報を取得します。

動的リストフィルタは、category パラメータと連動して機能します。

Mandiant ASM - 問題コネクタには、次のパラメータが必要です。

パラメータ 説明
Product Field Name

必須。

商品名が保存されるフィールドの名前。

デフォルト値は Product Name です。

商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値 Product Name は、コードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。
Event Field Name

必須。

イベント名が保存されるフィールドの名前。

デフォルト値は entity_type です。
Environment Field Name

省略可。

環境名が保存されるフィールドの名前。

環境フィールドがない場合、その環境がデフォルトの環境です。
Environment Regex Pattern

省略可。

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。
Script Timeout (Seconds)

必須。

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 180 です。
API Root

必須。

Mandiant インスタンスの API ルート。

デフォルト値は https://asm-api.advantage.mandiant.com です。

Google Threat Intelligence の認証情報で認証するには、値 https://www.virustotal.com を入力します。
Access Key

省略可。

Mandiant Attack Surface Management アカウントの API アクセスキー。

Mandiant Attack Surface Management でアクセスキーを生成するには、[アカウント設定] > [API キー] > [新しいキーを生成] に移動します。
Secret Key

省略可。

Mandiant Attack Surface Management アカウントの API シークレット キー。

Mandiant Attack Surface Management でシークレット キーを生成するには、[アカウント設定] > [API キー] > [新しいキーを生成] に移動します。
Project Name

省略可。

統合で使用するプロジェクト名。

Access Key パラメータと Secret Key パラメータを使用して認証する場合は必須です。
GTI API Key

省略可。

Google Threat Intelligence の API キー。

Google Threat Intelligence を使用して認証するには、API Root パラメータの値を https://www.virustotal.com に設定します。

Google Threat Intelligence API キーを使用した認証は、他の認証方法よりも優先されます。
Lowest Severity To Fetch

省略可。

取得する問題の最も低い重大度。

値は次のいずれかになります。

  • Critical
  • High
  • Medium
  • Low
  • Informational

値を設定しない場合、コネクタはすべての重大度タイプの問題を取り込みます。
Max Hours Backwards

省略可。

最初のコネクタのイテレーションでインシデントを取得するまでの時間(時間単位)。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。

デフォルト値は 1 です。
Max Issues To Fetch

省略可。

1 回のコネクタの反復処理で処理する問題の数。

デフォルト値は 10 です。
Use dynamic list as a blocklist

必須。

選択すると、コネクタは動的リストを拒否リストとして使用します。

デフォルトでは選択されていません。
Verify SSL

必須。

選択すると、Mandiant サーバーへの接続用の SSL 証明書が有効であることが確認されます。

デフォルトで選択されています。
Proxy Server Address

省略可。

使用するプロキシ サーバーのアドレス。
Proxy Username

省略可。

認証に使用するプロキシのユーザー名。
Proxy Password

省略可。

認証に使用するプロキシ パスワード。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。