Esta página foi traduzida pela API Cloud Translation.

Integrar o monitoramento de ameaças digitais da Mandiant ao Google SecOps

Este documento fornece orientações sobre como integrar o Mandiant Digital Threat Monitoring ao Google Security Operations (Google SecOps).

Versão da integração: 4.0

Parâmetros de integração

A integração do Mandiant Digital Threat Monitoring exige os seguintes parâmetros:

Parâmetros	Descrição
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor padrão é `https://api.intelligence.mandiant.com`. Para autenticar com as credenciais da Inteligência do Google contra ameaças, insira o seguinte valor: `https://www.virustotal.com`.
`Client ID`	Opcional O ID do cliente da conta do Mandiant Digital Threat Monitoring.
`Client Secret`	Opcional O chave secreta do cliente da conta do Monitoramento de ameaças digitais da Mandiant.
`GTI API Key`	Opcional A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro `API Root` como `https://www.virustotal.com`. A autenticação usando a chave de API do Google Threat Intelligence tem prioridade sobre outros métodos de autenticação.
`Verify SSL`	Obrigatório Se selecionada, a integração verifica se o certificado SSL para a conexão com o servidor do Mandiant é válido. Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

A integração do monitoramento de ameaças digitais da Mandiant inclui as seguintes ações:

Ping
Alerta de atualização

Ping

Use a ação Ping para testar a conectividade com o servidor do Mandiant Digital Threat Monitoring.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the Mandiant DTM server with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Mandiant DTM server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Mandiant DTM server! Error is: ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Mandiant DTM server! Error is:
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar alerta

Use a ação Atualizar alerta para atualizar um alerta no monitoramento de ameaças digitais da Mandiant.

Entradas de ação

A ação Atualizar alerta exige os seguintes parâmetros:

Parâmetros Descrição

Parâmetros	Descrição
`Alert ID`	Obrigatório O ID do alerta a ser atualizado.
`Status`	Opcional O status do alerta. Os valores possíveis são os seguintes: `New` `Read` `Resolved` `Escalated` `In Progress` `No Action Required` `Duplicate` `Not Relevant` `Tracked Externally`

Alert ID

Obrigatório

O ID do alerta a ser atualizado.

Status

Opcional

O status do alerta.

Os valores possíveis são os seguintes:

New
Read
Resolved
Escalated
In Progress
No Action Required
Duplicate
Not Relevant
Tracked Externally

Saídas de ação

A ação Alerta de atualização fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Atualizar alerta:

{
   "id": "ID",
   "monitor_id": "MONITOR_ID",
   "topic_matches": [
       {
           "topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
           "value": "ap-southeast-1.example.com",
           "term": "lwd",
           "offsets": [
               26,
               29
           ]
       },
       {
           "topic_id": "doc_type:domain_discovery",
           "value": "domain_discovery"
       }
   ],
   "label_matches": [],
   "doc_matches": [],
   "tags": [],
   "created_at": "2024-05-31T12:27:43.475Z",
   "updated_at": "2024-05-31T12:43:20.399Z",
   "labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
   "topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
   "doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
   "status": "closed",
   "alert_type": "Domain Discovery",
   "alert_summary": "See alert content for details",
   "title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
   "email_sent_at": "",
   "severity": "medium",
   "confidence": 0.5,
   "has_analysis": false,
   "monitor_version": 2
}

Mensagens de saída

A ação Atualizar alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully updated alert with ID INCIDENT_ID in Mandiant DTM. A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully updated alert with ID INCIDENT_ID in Mandiant DTM.`	A ação foi concluída.
`Error executing action "Update Alert". Reason: ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Error executing action "Update Alert". Reason:
      ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar alerta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Conector de alertas da Mandiant DTM

Use o Conector de alertas da Mandiant DTM para extrair alertas do monitoramento de ameaças digitais da Mandiant. Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.

O conector de alertas do Mandiant DTM exige os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `Product Name`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `event_type`.
`Environment Field Name`	Opcional O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, ele será definido como o valor padrão. O valor padrão é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será `""`.
`Script Timeout`	Obrigatório O limite de tempo limite em segundos para o processo do Python que executa o script atual. O valor padrão é 180.
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor padrão é `https://api.intelligence.mandiant.com`. Para autenticar com as credenciais da Inteligência do Google contra ameaças, insira o seguinte valor: `https://www.virustotal.com`.
`Client ID`	Opcional O ID do cliente da conta do Mandiant Digital Threat Monitoring.
`Client Secret`	Opcional O chave secreta do cliente da conta do Monitoramento de ameaças digitais da Mandiant.
`GTI API Key`	Opcional A chave de API do Google Threat Intelligence. Para autenticar usando o Google Threat Intelligence, defina o valor do parâmetro `API Root` como `https://www.virustotal.com`. Quando você se autentica usando a chave de API do Google Threat Intelligence, ela tem prioridade sobre outros métodos de autenticação.
`Lowest Severity To Fetch`	Opcional A menor pontuação de gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas de todas as gravidades. O parâmetro aceita os seguintes valores de gravidade: `Low` `Medium` `High`
`Monitor ID Filter`	Opcional Uma lista separada por vírgulas de IDs de monitor para recuperar os alertas.
`Max Hours Backwards`	Obrigatório O número de horas anteriores ao momento em que os alertas serão buscados. O valor padrão é 1 hora.
`Max Alerts To Fetch`	Obrigatório O número de alertas a serem processados em cada iteração do conector. O valor padrão é 25.
`Disable Overflow`	Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão.
`Use dynamic list as a blocklist`	Obrigatório Se selecionada, a integração usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão.
`Verify SSL`	Obrigatório Se selecionada, verifica se o certificado SSL da conexão com o servidor da Mandiant é válido. Essa opção é selecionada por padrão.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxies.

Eventos do conector

Há dois tipos de eventos para o conector de alertas do Mandiant DTM: um evento baseado no alerta principal e outro baseado em um tópico.

Confira um exemplo do evento do conector com base no alerta principal:

{
   "id": "ID",
   "event_type": "Main Alert",
   "monitor_id": "MONITOR_ID",
   "doc": {
       "__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
       "__type": "account_discovery",
       "ingested": "2024-05-20T16:15:53Z",
       "service_account": {
           "login": "user@example.com",
           "password": {
               "plain_text": "********"
           },
           "profile": {
               "contact": {
                   "email": "user@example.com",
                   "email_domain": "example.com"
               }
           },
           "service": {
               "inet_location": {
                   "domain": "www.example-service.com",
                   "path": "/signin/app",
                   "protocol": "https",
                   "url": "https://www.example-service.com/signin/app"
               },
               "name": "www.example-service.com"
           }
       },
       "source": "ccmp",
       "source_file": {
           "filename": "[1.145.094.680] urlloginpass ap.txt",
           "hashes": {
               "md5": "c401baa01fbe311753b26334b559d945",
               "sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
               "sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
           },
           "size": 84161521407
       },
       "source_url": "https://cymbalgroup.com",
       "timestamp": "2023-11-14T20:09:04Z"
   },
   "labels": "Label",
   "topic_matches": [
       {
           "topic_id": "doc_type:account_discovery",
           "value": "account_discovery"
       }
   ],
   "label_matches": [],
   "doc_matches": [
       {
           "match_path": "service_account.profile.contact.email_domain",
           "locations": [
               {
                   "offsets": [
                       0,
                       9
                   ],
                   "value": "example.com"
               }
           ]
       }
   ],
   "tags": [],
   "created_at": "2024-05-20T16:16:52.439Z",
   "updated_at": "2024-05-30T12:10:56.691Z",
   "labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
   "topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
   "doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
   "status": "read",
   "alert_type": "Compromised Credentials",
   "alert_summary": "ccmp",
   "title": "Leaked Credentials found for domain \"example.com\"",
   "email_sent_at": "",
   "indicator_mscore": 60,
   "severity": "high",
   "confidence": 0.9999995147741939,
   "aggregated_under_id": "ID",
   "monitor_name": "Compromised Credentials - Example",
   "has_analysis": false,
   "meets_password_policy": "policy_unset",
   "monitor_version": 1
}

Confira um exemplo de evento do conector com base em um tema:

{
   "id": "ID",
   "event_type": "location_name",
   "location_name": "LOCATION_NAME",
   "timestamp": "2024-05-25T10:56:17.201Z",
   "type": "location_name",
   "value": "LOCATION_NAME",
   "extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
   "extractor_version": "4-0-2",
   "confidence": 100,
   "entity_locations": [
       {
           "element_path": "body",
           "offsets": [
               227,
               229
           ]
       }
   ]
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.