Mandiant Digital Threat Monitoring in Google SecOps einbinden
In diesem Dokument finden Sie eine Anleitung zur Integration von Mandiant Digital Threat Monitoring in Google Security Operations (Google SecOps).
Integrationsversion: 4.0
Integrationsparameter
Für die Mandiant Digital Threat Monitoring-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich Das API-Stammverzeichnis der Mandiant-Instanz. Der Standardwert ist Geben Sie zum Authentifizieren mit Google Threat Intelligence-Anmeldedaten den folgenden Wert ein: |
Client ID |
Optional Die Client-ID des Mandiant Digital Threat Monitoring-Kontos. |
Client Secret |
Optional Das Client-Secret des Mandiant Digital Threat Monitoring-Kontos. |
GTI API Key |
Optional
Der API-Schlüssel von Google Threat Intelligence. Wenn Sie sich mit Google Threat Intelligence authentifizieren möchten, legen Sie den Parameterwert Die Authentifizierung mit dem Google Threat Intelligence API-Schlüssel hat Vorrang vor anderen Authentifizierungsmethoden. |
Verify SSL |
Erforderlich Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Die Mandiant Digital Threat Monitoring-Integration umfasst die folgenden Aktionen:
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zum Mandiant Digital Threat Monitoring-Server zu testen.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
Aktion erfolgreich. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benachrichtigung ändern
Mit der Aktion Benachrichtigung aktualisieren können Sie eine Benachrichtigung in Mandiant Digital Threat Monitoring aktualisieren.
Aktionseingaben
Für die Aktion Update Alert sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Alert ID |
Erforderlich Die ID der zu aktualisierenden Benachrichtigung. |
Status |
Optional Der Benachrichtigungsstatus. Folgende Werte sind möglich:
|
Aktionsausgaben
Die Aktion Update Alert (Benachrichtigung über Update) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benachrichtigung aktualisieren empfangen wird:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Ausgabemeldungen
Die Aktion Update Alert kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
Aktion erfolgreich. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Alert verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Mandiant DTM – Alerts Connector
Mit dem Mandiant DTM – Alerts Connector können Sie Benachrichtigungen aus Mandiant Digital Threat Monitoring abrufen. Verwenden Sie den Parameter alert_type, um mit einer dynamischen Liste zu arbeiten.
Für den Mandiant DTM – Alerts Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich Der Name des Felds, das zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf den Standardwert gesetzt. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis |
Script Timeout |
Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist 180. |
API Root |
Erforderlich Das API-Stammverzeichnis der Mandiant-Instanz. Der Standardwert ist Geben Sie zum Authentifizieren mit Google Threat Intelligence-Anmeldedaten den folgenden Wert ein: |
Client ID |
Optional Die Client-ID des Mandiant Digital Threat Monitoring-Kontos. |
Client Secret |
Optional Das Client-Secret des Mandiant Digital Threat Monitoring-Kontos. |
GTI API Key |
Optional
Der API-Schlüssel von Google Threat Intelligence. Wenn Sie sich mit Google Threat Intelligence authentifizieren möchten, legen Sie den Parameterwert Wenn Sie sich mit dem Google Threat Intelligence API-Schlüssel authentifizieren, hat dies Vorrang vor anderen Authentifizierungsmethoden. |
Lowest Severity To Fetch |
Optional
Der niedrigste Schweregrad der abzurufenden Benachrichtigungen. Wenn Sie diesen Parameter nicht konfigurieren, werden Warnungen mit allen Schweregraden aufgenommen. Der Parameter akzeptiert die folgenden Schweregradwerte:
|
Monitor ID Filter |
Optional Eine durch Kommas getrennte Liste von Monitor-IDs, aus denen die Benachrichtigungen abgerufen werden sollen. |
Max Hours Backwards |
Erforderlich
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Benachrichtigungen abgerufen werden sollen. Der Standardwert ist 1 Stunde. |
Max Alerts To Fetch |
Erforderlich
Die Anzahl der Benachrichtigungen, die für jede Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 25. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, wird der Überlaufmechanismus vom Connector ignoriert. Diese Option ist standardmäßig nicht ausgewählt. |
Use dynamic list as a blocklist |
Erforderlich
Wenn diese Option ausgewählt ist, wird die dynamische Liste als Sperrliste verwendet. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. Standardmäßig ausgewählt. |
Proxy Server Address |
Optional Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Connector-Ereignisse
Es gibt zwei Arten von Ereignissen für den Mandiant DTM – Alerts Connector: ein Ereignis, das auf der Hauptbenachrichtigung basiert, und ein Ereignis, das auf einem Thema basiert.
Hier ist ein Beispiel für das Connector-Ereignis basierend auf der Hauptbenachrichtigung:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Ein Beispiel für das Connector-Ereignis basierend auf einem Thema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten