Integrar o Mandiant Attack Surface Management ao Google SecOps
Este documento explica como integrar o Mandiant Attack Surface Management ao Google Security Operations (Google SecOps).
Na plataforma Google SecOps, a integração do Mandiant Attack Surface Management é chamada de Mandiant ASM.
Casos de uso
A integração do Mandiant ASM usa recursos do Google SecOps para oferecer suporte aos seguintes casos de uso:
Descoberta de recursos: monitore e descubra ativos externos em busca de possíveis falhas de segurança.
Problemas de ingestão: ingira problemas do Mandiant Attack Surface Management como alertas no Google SecOps.
Enriquecer incidentes: enriqueça incidentes de segurança com informações detalhadas sobre a entidade da superfície de ataque.
Priorizar a correção: priorize as estratégias de correção com base na gravidade da vulnerabilidade e do problema do Mandiant Attack Surface Management.
Atualizar status de problemas: atualize os status de problemas do Gerenciamento de Superfície de Ataque da Mandiant diretamente na plataforma do Google SecOps.
Antes de começar
Essa integração oferece recursos nativos da plataforma e não exige chaves de API ou credenciais externas de terceiros para autenticação. Antes de começar, verifique se a integração foi instalada no Hub de conteúdo da sua instância do Google SecOps.
Parâmetros de integração
A integração do Mandiant Attack Surface Management exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Mandiant. O valor padrão é Para autenticar com as credenciais do Google Threat Intelligence, insira o seguinte valor: |
Access Key |
Opcional. A chave de acesso à API da conta do Mandiant Attack Surface Management. Para gerar a chave de acesso no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Secret Key |
Opcional. A chave secreta da API da conta do Mandiant Attack Surface Management. Para gerar a chave secreta no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Project Name |
Opcional. O nome do projeto a ser usado na integração. Se você usar os parâmetros |
GTI API Key |
Opcional. A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro Quando você se autentica usando a chave da API Google Threat Intelligence, ela tem prioridade sobre outros métodos de autenticação. |
Verify SSL |
Obrigatório. Se selecionada, a integração verifica a validade do certificado SSL para a conexão com o servidor do Mandiant. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Receber detalhes da entidade do ASM
Use a ação Receber detalhes da entidade do ASM para retornar informações sobre uma entidade do Mandiant Attack Surface Management.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes da entidade do ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity ID |
Obrigatório. Uma lista separada por vírgulas de IDs de entidades para recuperar detalhes. |
Saídas de ação
A ação Receber detalhes da entidade do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Bloqueio de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Receber detalhes da entidade do ASM:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensagens de saída
A ação Get ASM Entity Details pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get ASM Entity Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar entidades do ASM
Use a ação Pesquisar entidades da ASM para pesquisar entidades no Mandiant Attack Surface Management.
Se você usar os parâmetros Access Key e Secret Key para autenticar, também
configure o parâmetro Project Name nos parâmetros de
integração.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar entidades da ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar entidades. Para evitar falhas na ação, não use a barra
diagonal |
Minimum Vulnerabilities Count |
Opcional. O número de vulnerabilidades relacionadas à entidade retornada. |
Minimum Issues Count |
Opcional. O número de problemas relacionados à entidade retornada. |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar entidades. |
Max Entities To Return |
Opcional. O número de entidades a serem retornadas. O valor padrão é |
Critical or High Issue |
Opcional. Se selecionada, a ação vai retornar apenas entidades com problemas de
Não selecionada por padrão. |
Saídas de ação
A ação Pesquisar entidades do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Bloqueio de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar entidades do ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensagens de saída
A ação Pesquisar entidades da ASM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar entidades da ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Problemas de pesquisa
Use a ação Pesquisar problemas para pesquisar problemas no Mandiant Attack Surface Management.
Se você usar os parâmetros Access Key e Secret Key para autenticar, também
configure o parâmetro Project Name nos parâmetros de
integração.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar problemas exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Opcional. Uma lista separada por vírgulas de IDs de problemas para retornar os detalhes. |
Entity ID |
Opcional. Uma lista separada por vírgulas de IDs de entidades para encontrar problemas relacionados. |
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar problemas relacionados. Para evitar falhas na ação, não use o caractere
barra |
Time Parameter |
Opcional. Uma opção de filtro para definir o horário do problema. Os valores possíveis são O valor padrão é |
Time Frame |
Opcional. Um período para filtrar problemas. Se você selecionar
Os valores possíveis são:
O valor padrão é |
Start Time |
Opcional. O horário de início dos resultados. Se você selecionou |
End Time |
Opcional. O horário de término dos resultados. Se você selecionou |
Lowest Severity To Return |
Opcional. A gravidade mínima dos problemas a serem retornados. Os valores possíveis são:
O valor padrão é Se você selecionar |
Status |
Opcional. O filtro de status da pesquisa. Os valores possíveis são O valor padrão é Se você selecionar |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar problemas. |
Max Issues To Return |
Opcional. O número de problemas a serem retornados. O valor padrão é |
Saídas de ação
A ação Pesquisar problemas fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Bloqueio de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar problemas:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensagens de saída
A ação Pesquisar problemas pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar problemas:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar problema
Use a ação Atualizar problema para atualizar um problema no Mandiant Attack Surface Management.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar problema exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Obrigatório. O ID do problema a ser atualizado. |
Status |
Obrigatório. O status a ser definido para o problema. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Atualizar problema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Bloqueio de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar problema pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
A ação foi concluída. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar problema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).
Mandiant ASM – conector de problemas
Use o Conector de problemas do Mandiant ASM para extrair informações sobre problemas do Mandiant Attack Surface Management.
O filtro de lista dinâmica funciona com o parâmetro category.
O Conector de problemas do Mandiant ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O valor padrão é O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão |
Event Field Name |
Obrigatório. O nome do campo em que o nome do evento é armazenado. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Mandiant. O valor padrão é Para autenticar com as credenciais do Google Threat Intelligence, insira o seguinte valor: |
Access Key |
Opcional. A chave de acesso à API da conta do Mandiant Attack Surface Management. Para gerar a chave de acesso no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Secret Key |
Opcional. A chave secreta da API da conta do Mandiant Attack Surface Management. Para gerar a chave secreta no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Project Name |
Opcional. O nome do projeto a ser usado na integração. Obrigatório se você usar os parâmetros |
GTI API Key |
Opcional. A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro A autenticação usando a chave de API do Google Threat Intelligence tem prioridade sobre outros métodos de autenticação. |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos problemas a serem recuperados. Os valores possíveis são:
Se você não definir um valor, o conector vai ingerir problemas com todos os tipos de gravidade. |
Max Hours Backwards |
Opcional. Um número de horas antes da primeira iteração do conector para recuperar incidentes. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Issues To Fetch |
Opcional. O número de problemas a serem processados em uma única iteração do conector. O valor padrão é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, verifica se o certificado SSL da conexão com o servidor da Mandiant é válido. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.