Esta página foi traduzida pela API Cloud Translation.

Integre o Mandiant Digital Threat Monitoring com o Google SecOps

Este documento fornece orientações sobre como integrar a monitorização de ameaças digitais da Mandiant com o Google Security Operations (Google SecOps).

Versão da integração: 4.0

Parâmetros de integração

A integração do Mandiant Digital Threat Monitoring requer os seguintes parâmetros:

Parâmetros	Descrição
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor predefinido é `https://api.intelligence.mandiant.com`. Para autenticar com credenciais do Google Threat Intelligence, introduza o seguinte valor: `https://www.virustotal.com`.
`Client ID`	Opcional O ID de cliente da conta do Mandiant Digital Threat Monitoring.
`Client Secret`	Opcional O segredo do cliente da conta do Mandiant Digital Threat Monitoring.
`GTI API Key`	Opcional A chave da API do Google Threat Intelligence. Para fazer a autenticação com a Google Threat Intelligence, defina o valor do parâmetro `API Root` como `https://www.virustotal.com`. A autenticação através da chave da API Google Threat Intelligence tem uma prioridade superior a outros métodos de autenticação.
`Verify SSL`	Obrigatório Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor Mandiant é válido. Selecionado por predefinição.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

A integração do Mandiant Digital Threat Monitoring inclui as seguintes ações:

Ping
Atualizar alerta

Tchim-tchim

Use a ação Ping para testar a conetividade ao servidor de monitorização de ameaças digitais da Mandiant.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully connected to the Mandiant DTM server with the provided connection parameters! Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully connected to the Mandiant DTM server with the provided connection parameters!`	Ação efetuada com êxito.
`Failed to connect to the Mandiant DTM server! Error is: ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Mandiant DTM server! Error is:
      ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar alerta

Use a ação Atualizar alerta para atualizar um alerta no Mandiant Digital Threat Monitoring.

Dados de ações

A ação Update Alert requer os seguintes parâmetros:

Parâmetros Descrição

Parâmetros	Descrição
`Alert ID`	Obrigatório O ID do alerta a atualizar.
`Status`	Opcional O estado do alerta. Os valores possíveis são os seguintes: `New` `Read` `Resolved` `Escalated` `In Progress` `No Action Required` `Duplicate` `Not Relevant` `Tracked Externally`

Alert ID

Obrigatório

O ID do alerta a atualizar.

Status

Opcional

O estado do alerta.

Os valores possíveis são os seguintes:

New
Read
Resolved
Escalated
In Progress
No Action Required
Duplicate
Not Relevant
Tracked Externally

Resultados da ação

A ação Atualizar alerta fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Update Alert:

{
   "id": "ID",
   "monitor_id": "MONITOR_ID",
   "topic_matches": [
       {
           "topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
           "value": "ap-southeast-1.example.com",
           "term": "lwd",
           "offsets": [
               26,
               29
           ]
       },
       {
           "topic_id": "doc_type:domain_discovery",
           "value": "domain_discovery"
       }
   ],
   "label_matches": [],
   "doc_matches": [],
   "tags": [],
   "created_at": "2024-05-31T12:27:43.475Z",
   "updated_at": "2024-05-31T12:43:20.399Z",
   "labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
   "topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
   "doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
   "status": "closed",
   "alert_type": "Domain Discovery",
   "alert_summary": "See alert content for details",
   "title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
   "email_sent_at": "",
   "severity": "medium",
   "confidence": 0.5,
   "has_analysis": false,
   "monitor_version": 2
}

Mensagens de saída

A ação Update Alert pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully updated alert with ID INCIDENT_ID in Mandiant DTM. Ação efetuada com êxito.

Mensagem de saída	Descrição da mensagem
`Successfully updated alert with ID INCIDENT_ID in Mandiant DTM.`	Ação efetuada com êxito.
`Error executing action "Update Alert". Reason: ERROR_REASON`	Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Update Alert". Reason:
      ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Atualizar alerta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conetores

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

Mandiant DTM – Conetor de alertas

Use o Mandiant DTM – Alerts Connector para extrair alertas do Mandiant Digital Threat Monitoring. Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.

O Mandiant DTM – Alerts Connector requer os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo onde o nome do produto está armazenado. O valor predefinido é `Product Name`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor predefinido é `event_type`.
`Environment Field Name`	Opcional O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é definido como o valor predefinido. O valor predefinido é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é `""`.
`Script Timeout`	Obrigatório O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é 180.
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor predefinido é `https://api.intelligence.mandiant.com`. Para autenticar com credenciais do Google Threat Intelligence, introduza o seguinte valor: `https://www.virustotal.com`.
`Client ID`	Opcional O ID de cliente da conta do Mandiant Digital Threat Monitoring.
`Client Secret`	Opcional O segredo do cliente da conta do Mandiant Digital Threat Monitoring.
`GTI API Key`	Opcional A chave da API do Google Threat Intelligence. Para fazer a autenticação com a Google Threat Intelligence, defina o valor do parâmetro `API Root` como `https://www.virustotal.com`. Quando faz a autenticação através da chave da API Google Threat Intelligence, esta tem prioridade sobre outros métodos de autenticação.
`Lowest Severity To Fetch`	Opcional A pontuação de gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todas as gravidades. O parâmetro aceita os seguintes valores de gravidade: `Low` `Medium` `High`
`Monitor ID Filter`	Opcional Uma lista de IDs de monitores separados por vírgulas para obter os alertas.
`Max Hours Backwards`	Obrigatório O número de horas anteriores a partir do qual obter alertas. O valor predefinido é 1 hora.
`Max Alerts To Fetch`	Obrigatório O número de alertas a processar para cada iteração do conetor. O valor predefinido é 25.
`Disable Overflow`	Opcional Se selecionado, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição.
`Use dynamic list as a blocklist`	Obrigatório Se estiver selecionada, a integração usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição.
`Verify SSL`	Obrigatório Se selecionada, verifica se o certificado SSL para a ligação ao servidor Mandiant é válido. Selecionado por predefinição.
`Proxy Server Address`	Opcional O endereço do servidor proxy a usar.
`Proxy Username`	Opcional O nome de utilizador do proxy para autenticação.
`Proxy Password`	Opcional A palavra-passe do proxy para autenticação.

Regras de conector

O conetor suporta proxies.

Eventos de conetores

Existem dois tipos de eventos para o Mandiant DTM – Alerts Connector: um evento baseado no alerta principal e um evento baseado num tópico.

Segue-se um exemplo do evento do conector com base no alerta principal:

{
   "id": "ID",
   "event_type": "Main Alert",
   "monitor_id": "MONITOR_ID",
   "doc": {
       "__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
       "__type": "account_discovery",
       "ingested": "2024-05-20T16:15:53Z",
       "service_account": {
           "login": "user@example.com",
           "password": {
               "plain_text": "********"
           },
           "profile": {
               "contact": {
                   "email": "user@example.com",
                   "email_domain": "example.com"
               }
           },
           "service": {
               "inet_location": {
                   "domain": "www.example-service.com",
                   "path": "/signin/app",
                   "protocol": "https",
                   "url": "https://www.example-service.com/signin/app"
               },
               "name": "www.example-service.com"
           }
       },
       "source": "ccmp",
       "source_file": {
           "filename": "[1.145.094.680] urlloginpass ap.txt",
           "hashes": {
               "md5": "c401baa01fbe311753b26334b559d945",
               "sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
               "sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
           },
           "size": 84161521407
       },
       "source_url": "https://cymbalgroup.com",
       "timestamp": "2023-11-14T20:09:04Z"
   },
   "labels": "Label",
   "topic_matches": [
       {
           "topic_id": "doc_type:account_discovery",
           "value": "account_discovery"
       }
   ],
   "label_matches": [],
   "doc_matches": [
       {
           "match_path": "service_account.profile.contact.email_domain",
           "locations": [
               {
                   "offsets": [
                       0,
                       9
                   ],
                   "value": "example.com"
               }
           ]
       }
   ],
   "tags": [],
   "created_at": "2024-05-20T16:16:52.439Z",
   "updated_at": "2024-05-30T12:10:56.691Z",
   "labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
   "topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
   "doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
   "status": "read",
   "alert_type": "Compromised Credentials",
   "alert_summary": "ccmp",
   "title": "Leaked Credentials found for domain \"example.com\"",
   "email_sent_at": "",
   "indicator_mscore": 60,
   "severity": "high",
   "confidence": 0.9999995147741939,
   "aggregated_under_id": "ID",
   "monitor_name": "Compromised Credentials - Example",
   "has_analysis": false,
   "meets_password_policy": "policy_unset",
   "monitor_version": 1
}

Segue-se um exemplo do evento do conector com base num tópico:

{
   "id": "ID",
   "event_type": "location_name",
   "location_name": "LOCATION_NAME",
   "timestamp": "2024-05-25T10:56:17.201Z",
   "type": "location_name",
   "value": "LOCATION_NAME",
   "extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
   "extractor_version": "4-0-2",
   "confidence": 100,
   "entity_locations": [
       {
           "element_path": "body",
           "offsets": [
               227,
               229
           ]
       }
   ]
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.