Integra Mandiant Digital Threat Monitoring con Google SecOps
Questo documento fornisce indicazioni su come integrare Mandiant Digital Threat Monitoring con Google Security Operations (Google SecOps).
Versione integrazione: 4.0
Parametri di integrazione
L'integrazione di Mandiant Digital Threat Monitoring richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
API Root |
Obbligatorio La radice API dell'istanza Mandiant. Il valore predefinito è Per l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Client ID |
Optional L'ID client dell'account Mandiant Digital Threat Monitoring. |
Client Secret |
Optional Il client secret dell'account Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
La chiave API di Google Threat Intelligence. Per l'autenticazione
utilizzando Google Threat Intelligence, imposta ilvalore parametroo L'autenticazione tramite la chiave API Google Threat Intelligence ha la priorità rispetto ad altri metodi di autenticazione. |
Verify SSL |
Obbligatorio Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
L'integrazione di Mandiant Digital Threat Monitoring include le seguenti azioni:
Dindin
Utilizza l'azione Ping per testare la connettività al server di monitoraggio delle minacce digitali di Mandiant.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
Azione riuscita. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna avviso
Utilizza l'azione Aggiorna avviso per aggiornare un avviso in Mandiant Digital Threat Monitoring.
Input azione
L'azione Aggiorna avviso richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Alert ID |
Obbligatorio L'ID dell'avviso da aggiornare. |
Status |
Optional Lo stato dell'avviso. I valori possibili sono i seguenti:
|
Output dell'azione
L'azione Aggiorna avviso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiorna avviso:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
Messaggi di output
L'azione Aggiorna avviso può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
Azione riuscita. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna avviso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).
Connettore avvisi Mandiant DTM
Utilizza il connettore Avvisi di Mandiant DTM per estrarre gli avvisi da Mandiant
Digital Threat Monitoring. Per lavorare con un elenco dinamico, utilizza il parametro alert_type.
Il connettore Mandiant DTM - Alerts richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è |
Event Field Name |
Obbligatorio Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non viene trovato, l'ambiente viene impostato sul valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è |
Script Timeout |
Obbligatorio Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è 180. |
API Root |
Obbligatorio La radice API dell'istanza Mandiant. Il valore predefinito è Per l'autenticazione con le credenziali di Google Threat Intelligence, inserisci
il seguente valore: |
Client ID |
Optional L'ID client dell'account Mandiant Digital Threat Monitoring. |
Client Secret |
Optional Il client secret dell'account Mandiant Digital Threat Monitoring. |
GTI API Key |
Optional
La chiave API di Google Threat Intelligence. Per l'autenticazione
utilizzando Google Threat Intelligence, imposta ilvalore parametroo Quando esegui l'autenticazione utilizzando la chiave API Google Threat Intelligence, questa ha la priorità rispetto ad altri metodi di autenticazione. |
Lowest Severity To Fetch |
Optional
Il punteggio di gravità più basso degli avvisi da recuperare. Se non configuri questo parametro, il connettore acquisisce avvisi con tutte le gravità. Il parametro accetta i seguenti valori di gravità:
|
Monitor ID Filter |
Optional Un elenco separato da virgole di ID monitor da cui recuperare gli avvisi. |
Max Hours Backwards |
Obbligatorio
Il numero di ore precedenti a partire da cui recuperare gli avvisi. Il valore predefinito è 1 ora. |
Max Alerts To Fetch |
Obbligatorio
Il numero di avvisi da elaborare per ogni iterazione del connettore. Il valore predefinito è 25. |
Disable Overflow |
Optional Se selezionato, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Use dynamic list as a blocklist |
Obbligatorio
Se selezionata, l'integrazione utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, verifica che il certificato SSL per la connessione al server Mandiant sia valido. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Optional L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Optional La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore supporta i proxy.
Eventi del connettore
Esistono due tipi di eventi per Mandiant DTM - Alerts Connector: un evento basato sull'avviso principale e un evento basato su un argomento.
Di seguito è riportato un esempio dell'evento del connettore basato sull'avviso principale:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
Di seguito è riportato un esempio dell'evento del connettore basato su un argomento:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.