Integra Mandiant Digital Threat Monitoring con Google SecOps
En este documento, se proporciona orientación para integrar Mandiant Digital Threat Monitoring con Google Security Operations (Google SecOps).
Versión de integración: 4.0
Parámetros de integración
La integración de Mandiant Digital Threat Monitoring requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio Es la raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Client ID |
Optional Es el ID de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
Client Secret |
Optional Es el secreto del cliente de la cuenta de Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
Es la clave de API de Google Threat Intelligence. Para autenticarte con la Inteligencia sobre amenazas de Google, establece el valor del parámetro La autenticación con la clave de la API de Google Threat Intelligence tiene prioridad sobre otros métodos de autenticación. |
Verify SSL |
Obligatorio Si se selecciona esta opción, la integración verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido. Esta opción se selecciona de forma predeterminada. |
Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
La integración de Mandiant Digital Threat Monitoring incluye las siguientes acciones:
Ping
Usa la acción Ping para probar la conectividad con el servidor de Mandiant Digital Threat Monitoring.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Update Alert para actualizar una alerta en Mandiant Digital Threat Monitoring.
Entradas de acción
La acción Update Alert requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Alert ID |
Obligatorio Es el ID de la alerta que se actualizará. |
Status |
Optional Es el estado de la alerta. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Update Alert proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Update Alert:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Mensajes de salida
La acción Update Alert puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
La acción se completó correctamente. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).
Mandiant DTM: conector de alertas
Usa el conector de alertas de Mandiant DTM para extraer alertas de la supervisión de amenazas digitales de Mandiant. Para trabajar con una lista dinámica, usa el parámetro alert_type.
El conector de alertas de DTM de Mandiant requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se establece el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es |
Script Timeout |
Obligatorio Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180. |
API Root |
Obligatorio Es la raíz de la API de la instancia de Mandiant. El valor predeterminado es Para autenticarte con las credenciales de Google Threat Intelligence, ingresa el siguiente valor: |
Client ID |
Optional Es el ID de cliente de la cuenta de Mandiant Digital Threat Monitoring. |
Client Secret |
Optional Es el secreto del cliente de la cuenta de Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
Es la clave de API de Google Threat Intelligence. Para autenticarte con la Inteligencia sobre amenazas de Google, establece el valor del parámetro Cuando te autenticas con la clave de la API de Google Threat Intelligence, esta tiene prioridad sobre otros métodos de autenticación. |
Lowest Severity To Fetch |
Optional
Es la puntuación de gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector ingerirá alertas con todos los niveles de gravedad. El parámetro acepta los siguientes valores de gravedad:
|
Monitor ID Filter |
Optional Es una lista separada por comas de los IDs de supervisores de los que se recuperarán las alertas. |
Max Hours Backwards |
Obligatorio
Cantidad de horas anteriores a partir de las cuales se recuperan las alertas. El valor predeterminado es 1 hora. |
Max Alerts To Fetch |
Obligatorio
Es la cantidad de alertas que se procesarán en cada iteración del conector. El valor predeterminado es 25. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona esta opción, la integración usa la lista dinámica como una lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Optional Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Optional Contraseña del proxy para la autenticación. |
Reglas del conector
El conector admite proxies.
Eventos del conector
Existen dos tipos de eventos para el conector de alertas de DTM de Mandiant: un evento basado en la alerta principal y un evento basado en un tema.
A continuación, se muestra un ejemplo del evento del conector basado en la alerta principal:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
A continuación, se muestra un ejemplo del evento del conector basado en un tema:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.