Mandiant Digital Threat Monitoring と Google SecOps を統合する
このドキュメントでは、Mandiant Digital Threat Monitoring を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 4.0
統合のパラメータ
Mandiant Digital Threat Monitoring 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root |
必須 Mandiant インスタンスの API ルート。 デフォルト値は Google Threat Intelligence の認証情報で認証するには、値 |
Client ID |
Optional Mandiant Digital Threat Monitoring アカウントのクライアント ID。 |
Client Secret |
Optional Mandiant Digital Threat Monitoring アカウントのクライアント シークレット。 |
GTI API Key |
省略可 Google Threat Intelligence の API キー。 Google Threat Intelligence を使用して認証するには、 Google Threat Intelligence API キーを使用した認証は、他の認証方法よりも優先されます。 |
Verify SSL |
必須 選択すると、統合によって Mandiant サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
Mandiant Digital Threat Monitoring の統合には、次のアクションが含まれます。
Ping
Ping アクションを使用して、Mandiant Digital Threat Monitoring サーバーへの接続をテストします。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートを更新
[アラートを更新] アクションを使用して、Mandiant Digital Threat Monitoring のアラートを更新します。
アクション入力
[アラートを更新] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須 更新するアラートの ID。 |
Status |
Optional アラートのステータス。 指定できる値は次のとおりです。
|
アクションの出力
[アラートを更新] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[アラートを更新] アクションを使用したときに受信した JSON 結果の出力です。
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
出力メッセージ
[アラートを更新] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
アクションが成功しました。 |
Error executing action "Update Alert". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アラートの更新アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、データを取り込む(コネクタ)をご覧ください。
Mandiant DTM - アラート コネクタ
Mandiant DTM - Alerts Connector を使用して、Mandiant Digital Threat Monitoring からアラートを取得します。動的リストを操作するには、alert_type パラメータを使用します。
Mandiant DTM - Alerts Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須 商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須 イベント名(サブタイプ)を特定するために使用されるフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境はデフォルト値に設定されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
Script Timeout |
必須 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は 180 です。 |
API Root |
必須 Mandiant インスタンスの API ルート。 デフォルト値は Google Threat Intelligence の認証情報で認証するには、値 |
Client ID |
Optional Mandiant Digital Threat Monitoring アカウントのクライアント ID。 |
Client Secret |
Optional Mandiant Digital Threat Monitoring アカウントのクライアント シークレット。 |
GTI API Key |
省略可 Google Threat Intelligence の API キー。 Google Threat Intelligence を使用して認証するには、 Google Threat Intelligence API キーを使用して認証すると、他の認証方法よりも優先されます。 |
Lowest Severity To Fetch |
省略可 取得するアラートの最小重大度スコア。 このパラメータを構成しない場合、コネクタはすべての重大度のアラートを取り込みます。 このパラメータは、次の重大度の値を受け入れます。
|
Monitor ID Filter |
Optional アラートを取得するモニター ID のカンマ区切りのリスト。 |
Max Hours Backwards |
必須
アラートを取得する時点から遡る時間数。 デフォルト値は 1 時間です。 |
Max Alerts To Fetch |
必須
コネクタの反復処理ごとに処理するアラートの数。 デフォルト値は 25 です。 |
Disable Overflow |
Optional 選択すると、コネクタはオーバーフロー メカニズムを無視します。 デフォルトでは選択されていません。 |
Use dynamic list as a blocklist |
必須
選択すると、統合で動的リストが拒否リストとして使用されます。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、Mandiant サーバーへの接続用の SSL 証明書が有効であることが確認されます。 デフォルトで選択されています。 |
Proxy Server Address |
Optional 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
Optional 認証に使用するプロキシのユーザー名。 |
Proxy Password |
Optional 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
コネクタ イベント
Mandiant DTM - Alerts Connector には、メインアラートに基づくイベントとトピックに基づくイベントの 2 種類のイベントがあります。
メインアラートに基づくコネクタ イベントの例は次のとおりです。
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
トピックに基づくコネクタ イベントの例を次に示します。
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。