将 Mandiant Digital Threat Monitoring 与 Google SecOps 集成
本文档提供了有关如何将 Mandiant Digital Threat Monitoring 与 Google Security Operations (Google SecOps) 集成的指南。
集成版本:4.0
集成参数
Mandiant Digital Threat Monitoring 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必需 Mandiant 实例的 API 根。 默认值为 如需使用 Google Threat Intelligence 凭据进行身份验证,请输入以下值: |
Client ID |
可选 Mandiant Digital Threat Monitoring 账号的客户端 ID。 |
Client Secret |
可选 Mandiant Digital Threat Monitoring 账号的客户端密钥。 |
GTI API Key |
可选
Google Threat Intelligence 的 API 密钥。 如需使用 Google 威胁情报进行身份验证,请将 使用 Google Threat Intelligence API 密钥进行身份验证的优先级高于其他身份验证方法。 |
Verify SSL |
必需 如果选择此项,集成会验证与 Mandiant 服务器的连接所用的 SSL 证书是否有效。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
Mandiant Digital Threat Monitoring 集成包含以下操作:
Ping
使用 Ping 操作测试与 Mandiant Digital Threat Monitoring 服务器的连接。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Mandiant DTM server with the
provided connection parameters! |
操作成功。 |
Failed to connect to the Mandiant DTM server! Error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新提醒
使用 Update Alert 操作更新 Mandiant Digital Threat Monitoring 中的提醒。
操作输入
更新提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必需 要更新的提醒的 ID。 |
Status |
可选 提醒状态。 可能的值如下:
|
操作输出
更新提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用更新提醒操作时收到的 JSON 结果输出:
{
"id": "ID",
"monitor_id": "MONITOR_ID",
"topic_matches": [
{
"topic_id": "4a6ffb0f-e90d-46ce-b10a-3a1e24fbe70d",
"value": "ap-southeast-1.example.com",
"term": "lwd",
"offsets": [
26,
29
]
},
{
"topic_id": "doc_type:domain_discovery",
"value": "domain_discovery"
}
],
"label_matches": [],
"doc_matches": [],
"tags": [],
"created_at": "2024-05-31T12:27:43.475Z",
"updated_at": "2024-05-31T12:43:20.399Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/domain_discovery/ID",
"status": "closed",
"alert_type": "Domain Discovery",
"alert_summary": "See alert content for details",
"title": "Suspicious domain \"ap-southeast-1.example.com\" similar to \"lwd\"",
"email_sent_at": "",
"severity": "medium",
"confidence": 0.5,
"has_analysis": false,
"monitor_version": 2
}
输出消息
更新提醒操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated alert with ID
INCIDENT_ID in Mandiant DTM. |
操作成功。 |
Error executing action "Update Alert". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用更新提醒操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)。
Mandiant DTM - 提醒连接器
使用 Mandiant DTM - 提醒连接器从 Mandiant Digital Threat Monitoring 中提取提醒。如需使用动态列表,请使用 alert_type 参数。
Mandiant DTM - 提醒连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需 存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则将环境设置为默认值。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
Script Timeout |
必需 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 180。 |
API Root |
必需 Mandiant 实例的 API 根。 默认值为 如需使用 Google Threat Intelligence 凭据进行身份验证,请输入以下值: |
Client ID |
可选 Mandiant Digital Threat Monitoring 账号的客户端 ID。 |
Client Secret |
可选 Mandiant Digital Threat Monitoring 账号的客户端密钥。 |
GTI API Key |
可选
Google Threat Intelligence 的 API 密钥。 如需使用 Google 威胁情报进行身份验证,请将 如果您使用 Google Threat Intelligence API 密钥进行身份验证,则该方法优先于其他身份验证方法。 |
Lowest Severity To Fetch |
可选
要检索的提醒的最低严重程度得分。 如果您未配置此参数,连接器会提取所有严重程度的提醒。 该参数接受以下严重程度值:
|
Monitor ID Filter |
可选 以英文逗号分隔的监控 ID 列表,用于检索相应监控的提醒。 |
Max Hours Backwards |
必需
之前的小时数,用于确定提取提醒的时间范围。 默认值为 1 小时。 |
Max Alerts To Fetch |
必需
每次连接器迭代要处理的提醒数量。 默认值为 25。 |
Disable Overflow |
可选 如果选中,连接器会忽略溢出机制。 默认情况下未选中。 |
Use dynamic list as a blocklist |
必需
如果选中此选项,集成会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必需
如果选中,则验证与 Mandiant 服务器的连接的 SSL 证书是否有效。 此选项将会默认选中。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
连接器事件
Mandiant DTM - 提醒连接器有两种类型的事件:基于主要提醒的事件和基于主题的事件。
基于主要提醒的连接器事件示例如下:
{
"id": "ID",
"event_type": "Main Alert",
"monitor_id": "MONITOR_ID",
"doc": {
"__id": "6ed37932-b74e-4253-aa69-3eb4b00d0ea2",
"__type": "account_discovery",
"ingested": "2024-05-20T16:15:53Z",
"service_account": {
"login": "user@example.com",
"password": {
"plain_text": "********"
},
"profile": {
"contact": {
"email": "user@example.com",
"email_domain": "example.com"
}
},
"service": {
"inet_location": {
"domain": "www.example-service.com",
"path": "/signin/app",
"protocol": "https",
"url": "https://www.example-service.com/signin/app"
},
"name": "www.example-service.com"
}
},
"source": "ccmp",
"source_file": {
"filename": "[1.145.094.680] urlloginpass ap.txt",
"hashes": {
"md5": "c401baa01fbe311753b26334b559d945",
"sha1": "bf700f18b6ab562afb6128b42a34ae088f9c7434",
"sha256": "5e6302d95a7e7edb28d68926cede0c44babded720ad1cc9a72c12d8c6d66153f"
},
"size": 84161521407
},
"source_url": "https://cymbalgroup.com",
"timestamp": "2023-11-14T20:09:04Z"
},
"labels": "Label",
"topic_matches": [
{
"topic_id": "doc_type:account_discovery",
"value": "account_discovery"
}
],
"label_matches": [],
"doc_matches": [
{
"match_path": "service_account.profile.contact.email_domain",
"locations": [
{
"offsets": [
0,
9
],
"value": "example.com"
}
]
}
],
"tags": [],
"created_at": "2024-05-20T16:16:52.439Z",
"updated_at": "2024-05-30T12:10:56.691Z",
"labels_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/labels",
"topics_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID/topics",
"doc_url": "https://api.intelligence.mandiant.com/v4/dtm/docs/account_discovery/ID",
"status": "read",
"alert_type": "Compromised Credentials",
"alert_summary": "ccmp",
"title": "Leaked Credentials found for domain \"example.com\"",
"email_sent_at": "",
"indicator_mscore": 60,
"severity": "high",
"confidence": 0.9999995147741939,
"aggregated_under_id": "ID",
"monitor_name": "Compromised Credentials - Example",
"has_analysis": false,
"meets_password_policy": "policy_unset",
"monitor_version": 1
}
以下是基于主题的连接器事件示例:
{
"id": "ID",
"event_type": "location_name",
"location_name": "LOCATION_NAME",
"timestamp": "2024-05-25T10:56:17.201Z",
"type": "location_name",
"value": "LOCATION_NAME",
"extractor": "analysis-pipeline.nerprocessor-nerenglish-gpu",
"extractor_version": "4-0-2",
"confidence": 100,
"entity_locations": [
{
"element_path": "body",
"offsets": [
227,
229
]
}
]
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。