Integrar o gerenciamento de superfície de ataque da Mandiant ao Google SecOps
Este documento explica como integrar o Mandiant Attack Surface Management ao Google Security Operations (Google SecOps).
Versão da integração: 9.0
Na plataforma Google SecOps, a integração do Mandiant Attack Surface Management é chamada de Mandiant ASM.
Parâmetros de integração
A integração do Mandiant Attack Surface Management exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Mandiant. O valor padrão é Para autenticar com as credenciais da Inteligência do Google contra ameaças, insira o seguinte valor: |
Access Key |
Opcional. A chave de acesso à API da conta do Mandiant Attack Surface Management. Para gerar a chave de acesso no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Secret Key |
Opcional. A chave secreta da API da conta do Mandiant Attack Surface Management. Para gerar a chave secreta no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Project Name |
Opcional. O nome do projeto a ser usado na integração. Se você usar os parâmetros |
GTI API Key |
Opcional. A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro Quando você se autentica usando a chave da API Google Threat Intelligence, ela tem prioridade sobre outros métodos de autenticação. |
Verify SSL |
Obrigatório. Se selecionada, a integração verifica a validade do certificado SSL para a conexão com o servidor do Mandiant. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.
Receber detalhes da entidade do ASM
Use a ação Receber detalhes da entidade do ASM para retornar informações sobre uma entidade do Mandiant Attack Surface Management.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes da entidade do ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity ID |
Obrigatório. Uma lista separada por vírgulas de IDs de entidades para recuperar detalhes. |
Saídas de ação
A ação Receber detalhes da entidade do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Receber detalhes da entidade do ASM:
{
"uuid": "UUID",
"dynamic_id": "Intrigue::Entity::Uri#http://192.0.2.73:80",
"collection_name": "cpndemorange_oum28bu",
"alias_group": 8515,
"aliases": [
"http://192.0.2.73:80"
],
"allow_list": false,
"ancestors": [
{
"type": "Intrigue::Entity::NetBlock",
"name": "192.0.2.0/24"
}
],
"category": null,
"collection_naics": null,
"confidence": null,
"deleted": false,
"deny_list": false,
"details": {
"asn": null,
"ssl": false,
"uri": "http://192.0.2.73:80",
"code": "404",
"port": 80,
"forms": false,
"title": "404 Not Found",
"verbs": null,
"cookies": null,
"headers": [
"Date: Fri, 30 Sep 2022 06:51:11 GMT",
"Content-Type: text/html",
"Content-Length: 548",
"Connection: keep-alive"
],
"host_id": 8615,
"net_geo": "US",
"scripts": [],
"service": "http",
"auth.2fa": false,
"auth.any": false,
"dom_sha1": "540707399c1b58afd2463ec43da3b41444fbde32",
"net_name": "",
"protocol": "tcp",
"alt_names": null,
"auth.ntlm": false,
"generator": null,
"auth.basic": false,
"auth.forms": false,
"ip_address": "192.0.2.73",
"favicon_md5": null,
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "example",
"product": "example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"geolocation": {
"asn": {
"asn": 16509,
"isp": "Example Inc.",
"name": "example.com, Inc.",
"organization": "Example Services",
"connection_type": "Corporate"
},
"city": "Singapore",
"country": "Singapore",
"latitude": 1.35208,
"continent": "Asia",
"longitude": 103.82,
"time_zone": "Asia/Singapore",
"country_code": "SG",
"continent_code": "AS"
},
"vuln_checks": [
"log4shell_cve_2021_44228"
],
"api_endpoint": false,
"cloud_hosted": true,
"favicon_sha1": null,
"domain_cookies": null,
"log4shell_uuid": "55be320622c4937c01738e092579edaa338fd90e2a",
"redirect_chain": [],
"redirect_count": 0,
"cloud_providers": [
"Cloud Provider Name"
],
"hidden_original": "http://192.0.2.73:80",
"net_country_code": null,
"screenshot_exists": true,
"cloud_fingerprints": [],
"response_data_hash": "1GUXIXXTXUk/sWM+I3cAAivYSfoSMWR5CxaLgxissJA=",
"extended_favicon_data": null,
"extended_path_to_seed": [
{
"id": 8620,
"_id": 8605,
"name": "http://192.0.2.73:80",
"seed": false,
"type": "Intrigue::Entity::Uri",
"_type": "Entity",
"creates": [
{
"id": 6158,
"_id": 6152,
"name": "192.0.2.0/24",
"seed": true,
"type": "Intrigue::Entity::NetBlock",
"_type": "Entity",
"creates.verb": "queried",
"creates.source_name": "search_shodan",
"creates.source_type": "internet_scan_database"
}
]
}
],
"extended_configuration": [
{
"hide": false,
"name": "Example Page Content",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"hide": false,
"name": "Example",
"task": null,
"type": "content",
"issue": null,
"result": 566218143
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
]
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
]
}
],
"extended_response_body": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"exfil_lookup_identifier": "55be320622c4937c01738e092579edaa",
"extended_shodan_details": {
"ip": 50387017,
"os": null,
"asn": "ASN",
"isp": "Example.com, Inc.",
"org": "Example Services",
"data": "HTTP/1.1 404 Not Found\r\nDate: Fri, 30 Sep 2022 05:16:32 GMT\r\nContent-Type: text/html\r\nContent-Length: 548\r\nConnection: keep-alive\r\n\r\n",
"hash": -744989972,
"http": {
"host": "192.0.2.73",
"html": "<html>\r\n<head><title>404 Not Found</title></head>\r\n<body>\r\n<center><h1>404 Not Found</h1></center>\r\n<hr><center>example</center>\r\n</body>\r\n</html>\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n<!-- a padding to disable MSIE and Chrome friendly error page -->\r\n",
"title": "404 Not Found",
"robots": null,
"server": null,
"status": 404,
"sitemap": null,
"location": "/",
"html_hash": -2090962452,
"redirects": [],
"components": {},
"robots_hash": null,
"securitytxt": null,
"headers_hash": -873436690,
"sitemap_hash": null,
"securitytxt_hash": null
},
"tags": [
"cloud"
],
"cloud": {
"region": "ap-southeast-1",
"service": "Example",
"provider": "Example"
},
"ip_str": "192.0.2.73",
"_shodan": {
"id": "ID",
"ptr": true,
"module": "http",
"region": "eu",
"crawler": "f4bb88763d8ed3a0f3f91439c2c62b77fb9e06f3",
"options": {}
},
"domains": [
"example.com"
],
"location": {
"city": "Singapore",
"latitude": 1.28967,
"area_code": null,
"longitude": 103.85007,
"region_code": "01",
"country_code": "SG",
"country_name": "Singapore"
},
"hostnames": [
"ec2-192-0-2-73.ap-southeast-1.compute.example.com"
],
"timestamp": "2022-09-30T05:16:33.068993"
},
"hidden_port_open_confirmed": true,
"extended_screenshot_contents": "iVBORw0KGgoAAA"
},
"details_file": "data/v4/cpndemorange_oum28bu/2022_09_30/cpndemorange_oum28bu/entities/ID.json",
"description": null,
"first_seen": "2022-09-30T21:20:19.000Z",
"hidden": false,
"last_seen": "2022-09-30T21:20:19.000Z",
"name": "http://192.0.2.73:80",
"scoped": true,
"scoped_reason": "entity_scoping_rules: fallback value",
"seed": false,
"source": null,
"status": null,
"task_results": [],
"type": "Intrigue::Entity::Uri",
"uid": "UID",
"created_at": "2022-09-30T21:25:05.232Z",
"updated_at": "2022-09-30T21:25:05.239Z",
"collection_id": 117139,
"elasticsearch_mappings_hash": null,
"collection": "cpndemorange_oum28bu",
"collection_uuid": "UUID",
"organization_uuid": "UUID",
"collection_type": "user_collection",
"fingerprint": [
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?([\\d.]*)<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
},
{
"cpe": "cpe:2.3:a:example:example::",
"hide": false,
"tags": [
"Web Server"
],
"type": "fingerprint",
"tasks": null,
"issues": null,
"method": "ident",
"update": null,
"vendor": "Example",
"product": "Example",
"version": null,
"inference": false,
"description": "example (default page - could be redirect)",
"match_logic": "all",
"positive_matches": [
{
"match_type": "content_body",
"match_content": "(?i-mx:<hr><center>example\/?[\\d.]*<\/center>)"
}
],
"local_icon_path": "/assets/fingerprints/example.png"
}
],
"summary": {
"scoped": true,
"issues": {
"current_with_cve": 0,
"current_by_severity": {
"1": 1
},
"all_time_by_severity": {
"1": 1
},
"current_count": 1,
"all_time_count": 1,
"critical_or_high": true
},
"task_results": [
"search_shodan",
"port_scan",
"port_scan_lambda",
"search_shodan"
],
"screenshot_exists": true,
"geolocation": {
"city": "Singapore",
"country_code": "SG",
"country_name": null,
"latitude": 1.35208,
"longitude": 103.82,
"asn": null
},
"http": {
"code": 404,
"title": "404 Not Found",
"content": {
"favicon_hash": null,
"hash": null,
"forms": false
},
"auth": {
"any": false,
"basic": false,
"ntlm": false,
"forms": false,
"2fa": false
}
},
"ports": {
"tcp": [
80
],
"udp": [],
"count": 1
},
"network": {
"name": "example.com, Inc.",
"asn": 16509,
"route": null,
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
],
"cpes": [],
"technologies": [],
"technology_labels": []
},
"vulns": {
"current_count": 0,
"vulns": []
}
},
"tags": [],
"id": "ID",
"scoped_at": "2022-09-30 06:51:57 +0000",
"detail_string": "Fingerprint: Example | Title: 404 Not Found",
"enrichment_tasks": [
"enrich/uri",
"sslcan"
],
"generated_at": "2022-09-30T21:21:18Z"
}
Mensagens de saída
A ação Get ASM Entity Details pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get ASM Entity Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes da entidade do ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar entidades do ASM
Use a ação Pesquisar entidades da ASM para pesquisar entidades no Mandiant Attack Surface Management.
Se você usar os parâmetros Access Key e Secret Key para autenticar, também
configure o parâmetro Project Name nos parâmetros de
integração.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar entidades da ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar entidades. Para evitar falhas na ação, não use a barra
inclinada |
Minimum Vulnerabilities Count |
Opcional. O número de vulnerabilidades relacionadas à entidade retornada. |
Minimum Issues Count |
Opcional. O número de problemas relacionados à entidade retornada. |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar entidades. |
Max Entities To Return |
Opcional. O número de entidades a serem retornadas. O valor padrão é |
Critical or High Issue |
Opcional. Se selecionada, a ação vai retornar apenas entidades com problemas de
Não selecionada por padrão. |
Saídas de ação
A ação Pesquisar entidades do ASM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar entidades do ASM:
{
"id": "ID",
"dynamic_id": "Intrigue::Entity::IpAddress#192.0.2.92",
"alias_group": "1935953",
"name": "192.0.2.92",
"type": "Intrigue::Entity::IpAddress",
"first_seen": "2022-02-02T01:44:46Z",
"last_seen": "2022-02-02T01:44:46Z",
"collection": "cpndemorange_oum28bu",
"collection_type": "Intrigue::Collections::UserCollection",
"collection_naics": [],
"collection_uuid": "COLLECTION_UUID",
"organization_uuid": "ORGANIZATION_UUID",
"tags": [],
"issues": [],
"exfil_lookup_identifier": null,
"summary": {
"scoped": true,
"issues": {
"current_by_severity": {},
"current_with_cve": 0,
"all_time_by_severity": {},
"current_count": 0,
"all_time_count": 0,
"critical_or_high": false
},
"task_results": [
"search_shodan"
],
"geolocation": {
"city": "San Jose",
"country_code": "US",
"country_name": null,
"latitude": "-121.8896",
"asn": null
},
"ports": {
"count": 0,
"tcp": null,
"udp": null
},
"resolutions": [
"ec2-192-0-2-92.us-west-1.compute.example.com"
],
"network": {
"name": "EXAMPLE-02",
"asn": "16509.0",
"route": "2001:db8::/32",
"type": null
},
"technology": {
"cloud": true,
"cloud_providers": [
"Cloud Provider Name"
]
}
}
}
Mensagens de saída
A ação Pesquisar entidades da ASM pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search ASM Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar entidades da ASM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Problemas de pesquisa
Use a ação Pesquisar problemas para pesquisar problemas no Mandiant Attack Surface Management.
Se você usar os parâmetros Access Key e Secret Key para autenticar, também
configure o parâmetro Project Name nos parâmetros de
integração.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar problemas exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Opcional. Uma lista separada por vírgulas de IDs de problemas para retornar os detalhes. |
Entity ID |
Opcional. Uma lista separada por vírgulas de IDs de entidades para encontrar problemas relacionados. |
Entity Name |
Opcional. Uma lista separada por vírgulas de nomes de entidades para encontrar problemas relacionados. Para evitar falhas na ação, não use o caractere
barra |
Time Parameter |
Opcional. Uma opção de filtro para definir o horário do problema. Os valores possíveis são O valor padrão é |
Time Frame |
Opcional. Um período para filtrar problemas. Se você selecionar Os valores possíveis são:
O valor padrão é |
Start Time |
Opcional. O horário de início dos resultados. Se você selecionou |
End Time |
Opcional. O horário de término dos resultados. Se você selecionou |
Lowest Severity To Return |
Opcional. A gravidade mínima dos problemas a serem retornados. Os valores possíveis são:
O valor padrão é Se você selecionar |
Status |
Opcional. O filtro de status da pesquisa. Os valores possíveis são O valor padrão é Se você selecionar |
Tags |
Opcional. Uma lista separada por vírgulas de nomes de tags a serem usadas ao pesquisar problemas. |
Max Issues To Return |
Opcional. O número de problemas a serem retornados. O valor padrão é |
Saídas de ação
A ação Pesquisar problemas fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar problemas:
{
"id": "ID",
"uuid": "UUID",
"dynamic_id": 20073997,
"name": "exposed_ftp_service",
"upstream": "intrigue",
"last_seen": "2022-02-02T01:44:46.000Z",
"first_seen": "2022-02-02T01:44:46.000Z",
"entity_uid": "3443a638f951bdc23d3a089bff738cd961a387958c7f5e4975a26f12e544241f",
"entity_type": "Intrigue::Entity::NetworkService",
"entity_name": "192.0.2.204:24/tcp",
"alias_group": "1937534",
"collection": "cpndemorange_oum28bu",
"collection_uuid": "COLLECTION_UUID",
"collection_type": "user_collection",
"organization_uuid": "ORGANIZATION_UUID",
"summary": {
"pretty_name": "Exposed FTP Service",
"severity": 3,
"scoped": true,
"confidence": "confirmed",
"status": "open_new",
"category": "misconfiguration",
"identifiers": null,
"status_new": "open",
"status_new_detailed": "new",
"ticket_list": null
},
"tags": []
}
Mensagens de saída
A ação Pesquisar problemas pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Issues". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar problemas:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar problema
Use a ação Atualizar problema para atualizar um problema no Mandiant Attack Surface Management.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar problema exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Issue ID |
Obrigatório. O ID do problema a ser atualizado. |
Status |
Obrigatório. O status a ser definido para o problema. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Atualizar problema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar problema pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated issue with ID
"ISSUE_ID" in Mandiant ASM.
|
A ação foi concluída. |
Error executing action "Update Issue". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar problema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).
Mandiant ASM – conector de problemas
Use o Conector de problemas do Mandiant ASM para extrair informações sobre problemas do Mandiant Attack Surface Management.
O filtro de lista dinâmica funciona com o parâmetro category.
O Conector de problemas do Mandiant ASM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O valor padrão é O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão |
Event Field Name |
Obrigatório. O nome do campo em que o nome do evento é armazenado. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Mandiant. O valor padrão é Para autenticar com as credenciais da Inteligência do Google contra ameaças, insira o seguinte valor: |
Access Key |
Opcional. A chave de acesso à API da conta do Mandiant Attack Surface Management. Para gerar a chave de acesso no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Secret Key |
Opcional. A chave secreta da API da conta do Mandiant Attack Surface Management. Para gerar a chave secreta no Mandiant Attack Surface Management, acesse Configurações da conta > Chaves de API > Gerar nova chave. |
Project Name |
Opcional. O nome do projeto a ser usado na integração. Obrigatório se você usar os parâmetros |
GTI API Key |
Opcional. A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro A autenticação usando a chave de API do Google Threat Intelligence tem prioridade sobre outros métodos de autenticação. |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos problemas a serem recuperados. Os valores possíveis são:
Se você não definir um valor, o conector vai ingerir problemas com todos os tipos de gravidade. |
Max Hours Backwards |
Opcional. Um número de horas antes da primeira iteração do conector para recuperar incidentes. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Issues To Fetch |
Opcional. O número de problemas a serem processados em uma única iteração do conector. O valor padrão é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, verifica se o certificado SSL da conexão com o servidor da Mandiant é válido. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.