Mandiant Digital Threat Monitoring을 Google SecOps와 통합
이 문서에서는 Mandiant Digital Threat Monitoring을 Google Security Operations (Google SecOps)와 통합하는 방법을 안내합니다.
통합 버전: 4.0
통합 매개변수
Mandiant Digital Threat Monitoring 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Root |
필수 Mandiant 인스턴스의 API 루트입니다. 기본값은 Google Threat Intelligence 사용자 인증 정보로 인증하려면 |
Client ID |
선택사항 Mandiant Digital Threat Monitoring 계정의 클라이언트 ID입니다. |
Client Secret |
선택사항 Mandiant Digital Threat Monitoring 계정의 클라이언트 보안 비밀번호입니다. |
GTI API Key |
선택사항
Google Threat Intelligence의 API 키입니다. Google 위협 인텔리전스를 사용하여 인증하려면 Google 위협 인텔리전스 API 키를 사용한 인증은 다른 인증 방법보다 우선순위가 높습니다. |
Verify SSL |
필수 선택하면 통합에서 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.
작업
Mandiant Digital Threat Monitoring 통합에는 다음 작업이 포함됩니다.
핑
Ping 작업을 사용하여 Mandiant Digital Threat Monitoring 서버에 대한 연결을 테스트합니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 업데이트
알림 업데이트 작업을 사용하여 Mandiant Digital Threat Monitoring에서 알림을 업데이트합니다.
작업 입력
알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 업데이트할 알림의 ID입니다. |
Status |
선택사항 알림 상태입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
업데이트 알림 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 알림 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
출력 메시지
알림 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
작업이 완료되었습니다. |
Error executing action "Update Alert". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Mandiant DTM – Alerts Connector
Mandiant DTM – Alerts Connector를 사용하여 Mandiant Digital Threat Monitoring에서 알림을 가져옵니다. 동적 목록으로 작업하려면 alert_type 매개변수를 사용하세요.
Mandiant DTM – Alerts Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 환경이 기본값으로 설정됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
Script Timeout |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 180입니다. |
API Root |
필수 Mandiant 인스턴스의 API 루트입니다. 기본값은 Google Threat Intelligence 사용자 인증 정보로 인증하려면 |
Client ID |
선택사항 Mandiant Digital Threat Monitoring 계정의 클라이언트 ID입니다. |
Client Secret |
선택사항 Mandiant Digital Threat Monitoring 계정의 클라이언트 보안 비밀번호입니다. |
GTI API Key |
선택사항
Google Threat Intelligence의 API 키입니다. Google 위협 인텔리전스를 사용하여 인증하려면 Google 위협 인텔리전스 API 키를 사용하여 인증하면 다른 인증 방법보다 우선합니다. |
Lowest Severity To Fetch |
선택사항
가져올 알림의 가장 낮은 심각도 점수입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도의 알림을 수집합니다. 이 매개변수는 다음 심각도 값을 허용합니다.
|
Monitor ID Filter |
선택사항 알림을 가져올 모니터 ID의 쉼표로 구분된 목록입니다. |
Max Hours Backwards |
필수
알림을 가져올 이전 시간입니다. 기본값은 1시간입니다. |
Max Alerts To Fetch |
필수
커넥터 반복마다 처리할 알림 수입니다. 기본값은 25입니다. |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Use dynamic list as a blocklist |
필수
선택하면 통합에서 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Proxy Server Address |
선택사항 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터 이벤트
Mandiant DTM – Alerts Connector에는 두 가지 유형의 이벤트가 있습니다. 기본 알림을 기반으로 하는 이벤트와 주제를 기반으로 하는 이벤트입니다.
기본 알림을 기반으로 하는 커넥터 이벤트의 예는 다음과 같습니다.
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
주제를 기반으로 하는 커넥터 이벤트의 예는 다음과 같습니다.
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.