Esta página foi traduzida pela API Cloud Translation.

Defesa gerenciada da Mandiant

Este documento fornece orientações para ajudar você a configurar e integrar o Mandiant Managed Defense ao Google Security Operations SOAR.

Versão da integração: 2.0

Integrar o Mandiant Managed Defense ao Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros	Descrição
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor padrão é `https://api.services.mandiant.com`.
`Client ID`	Obrigatório O valor do ID do cliente da conta do Managed Defense da Mandiant.
`Client Secret`	Obrigatório O valor da chave secreta do cliente da conta da Defesa gerenciada da Mandiant.
`Verify SSL`	Obrigatório Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do Mandiant é válido. Essa opção é selecionada por padrão.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar instâncias, você pode usá-las em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Ações

A integração inclui as seguintes ações:

Ping

Ping

Use a ação Ping para testar a conectividade com o Mandiant Managed Defense.

Essa ação não é executada em entidades.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conectores

Para mais informações sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Conector de investigações da Mandiant Managed Defense

Use o conector de investigações da Defesa gerenciada da Mandiant para recuperar investigações da Defesa gerenciada da Mandiant.

A lista dinâmica funciona com o parâmetro name.

Entradas do conector

O conector de investigações da defesa gerenciada da Mandiant exige os seguintes parâmetros:

Parâmetros	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `Product Name`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `type`.
`Environment Field Name`	Opcional O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. O valor padrão é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo limite para o processo Python que executa o script atual. O valor padrão é 180.
`API Root`	Obrigatório A raiz da API da instância do Mandiant. O valor padrão é `https://api.services.mandiant.com`.
`Client ID`	Obrigatório O valor do ID do cliente da conta do Managed Defense da Mandiant.
`Client Secret`	Obrigatório O valor da chave secreta do cliente da conta da Defesa gerenciada da Mandiant.
`Status Filter`	Opcional O filtro de status das investigações. Se você não fornecer um valor, o conector vai ingerir as investigações com todos os valores de status. Os valores possíveis são os seguintes: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Obrigatório O número de horas antes da primeira iteração do conector para recuperar os incidentes. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez. O valor padrão é de 24 horas.
`Max Investigations To Fetch`	Obrigatório O número de investigações a serem processadas em uma iteração do conector. O valor padrão é 100. O valor máximo é 100.
`Use dynamic list as a blocklist`	Obrigatório Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão.
`Verify SSL`	Obrigatório Se selecionada, o Google SecOps verifica se o certificado SSL para a conexão com o servidor do Mandiant é válido. Essa opção é selecionada por padrão.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.
`Disable Overflow`	Opcional Selecione para desativar um estouro de evento. Não selecionada por padrão.

Regras do conector

O conector de investigações do Mandiant Managed Defense é compatível com proxies.

Eventos do conector

Confira a seguir um exemplo de evento do conector de investigações do Mandiant Managed Defense no Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.