Mengintegrasikan Mandiant Digital Threat Monitoring dengan Google SecOps
Dokumen ini memberikan panduan tentang cara mengintegrasikan Mandiant Digital Threat Monitoring dengan Google Security Operations (Google SecOps).
Versi integrasi: 4.0
Parameter integrasi
Integrasi Mandiant Digital Threat Monitoring memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Root |
Wajib Root API instance Mandiant. Nilai defaultnya adalah Untuk mengautentikasi dengan kredensial Google Threat Intelligence, masukkan
nilai berikut: |
Client ID |
Opsional ID klien akun Mandiant Digital Threat Monitoring. |
Client Secret |
Opsional Secret klien akun Mandiant Digital Threat Monitoring. |
GTI API Key |
Opsional
Kunci API Google Threat Intelligence. Untuk mengautentikasi
menggunakan Google Threat Intelligence, tetapkan nilai parameter Autentikasi menggunakan kunci API Google Threat Intelligence memiliki prioritas dibandingkan metode autentikasi lainnya. |
Verify SSL |
Wajib Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Mandiant valid. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Integrasi Mandiant Digital Threat Monitoring mencakup tindakan berikut:
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke server Mandiant Digital Threat Monitoring.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perbarui Notifikasi
Gunakan tindakan Perbarui Pemberitahuan untuk memperbarui pemberitahuan di Mandiant Digital Threat Monitoring.
Input tindakan
Tindakan Update Alert memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Alert ID |
Wajib ID pemberitahuan yang akan diperbarui. |
Status |
Opsional Status pemberitahuan. Nilai yang mungkin adalah sebagai berikut:
|
Output tindakan
Tindakan Update Alert memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Perbarui Pemberitahuan:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Pesan output
Tindakan Update Alert dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
Tindakan berhasil. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Pemberitahuan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Mandiant DTM – Alerts Connector
Gunakan Mandiant DTM – Alerts Connector untuk menarik pemberitahuan dari Mandiant Digital Threat Monitoring. Untuk menggunakan daftar dinamis, gunakan parameter alert_type.
Mandiant DTM – Alerts Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah |
Event Field Name |
Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subtipe). Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ditemukan, lingkungan akan disetel ke nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai
lingkungan adalah null, hasil lingkungan akhir adalah |
Script Timeout |
Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180. |
API Root |
Wajib Root API instance Mandiant. Nilai defaultnya adalah Untuk mengautentikasi dengan kredensial Google Threat Intelligence, masukkan
nilai berikut: |
Client ID |
Opsional ID klien akun Mandiant Digital Threat Monitoring. |
Client Secret |
Opsional Secret klien akun Mandiant Digital Threat Monitoring. |
GTI API Key |
Opsional
Kunci API Google Threat Intelligence. Untuk mengautentikasi
menggunakan Google Threat Intelligence, tetapkan nilai parameter Saat Anda melakukan autentikasi menggunakan kunci API Google Threat Intelligence, kunci API tersebut akan diprioritaskan daripada metode autentikasi lainnya. |
Lowest Severity To Fetch |
Opsional
Skor tingkat keparahan terendah dari pemberitahuan yang akan diambil. Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. Parameter ini menerima nilai tingkat keparahan berikut:
|
Monitor ID Filter |
Opsional Daftar ID monitor yang dipisahkan koma untuk mengambil notifikasi dari. |
Max Hours Backwards |
Wajib
Jumlah jam sebelumnya dari waktu untuk mengambil pemberitahuan. Nilai defaultnya adalah 1 jam. |
Max Alerts To Fetch |
Wajib
Jumlah pemberitahuan yang akan diproses untuk setiap iterasi konektor. Nilai defaultnya adalah 25. |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Use dynamic list as a blocklist |
Wajib
Jika dipilih, integrasi akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Mandiant valid. Dipilih secara default. |
Proxy Server Address |
Opsional Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional Sandi proxy untuk mengautentikasi. |
Aturan konektor
Konektor mendukung proxy.
Peristiwa konektor
Ada dua jenis peristiwa untuk Mandiant DTM – Alerts Connector: peristiwa yang didasarkan pada pemberitahuan utama dan peristiwa yang didasarkan pada topik.
Contoh peristiwa konektor berdasarkan pemberitahuan utama adalah sebagai berikut:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Contoh peristiwa konektor berdasarkan topik adalah sebagai berikut:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.