Diese Seite wurde von der Cloud Translation API übersetzt.

Mandiant Managed Defense

Dieses Dokument enthält eine Anleitung zum Konfigurieren und Integrieren von Mandiant Managed Defense in Google Security Operations SOAR.

Integrationsversion: 2.0

Mandiant Managed Defense in Google SecOps einbinden

Für die Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`API Root`	Erforderlich Das API-Stammverzeichnis der Mandiant-Instanz. Der Standardwert ist `https://api.services.mandiant.com`.
`Client ID`	Erforderlich Der Client-ID-Wert des Mandiant Managed Defense-Kontos.
`Client Secret`	Erforderlich Der Clientschlüsselwert des Mandiant Managed Defense-Kontos.
`Verify SSL`	Erforderlich Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. Standardmäßig ausgewählt.

Sie können bei Bedarf später Änderungen vornehmen. Nachdem Sie Instanzen konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Die Integration umfasst die folgenden Aktionen:

Ping

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Mandiant Managed Defense zu testen.

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! Aktion erfolgreich.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	Aktion erfolgreich.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Mandiant Managed Defense – Investigations Connector

Mit dem Mandiant Managed Defense – Investigations Connector können Sie Untersuchungen aus Mandiant Managed Defense abrufen.

Die dynamische Liste funktioniert mit dem Parameter name.

Connector-Eingaben

Für den Mandiant Managed Defense – Investigations Connector sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Product Field Name`	Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist `Product Name`.
`Event Field Name`	Erforderlich Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist `type`.
`Environment Field Name`	Optional Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. Der Standardwert ist `""`.
`Environment Regex Pattern`	Optional Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
`Script Timeout (Seconds)`	Erforderlich Das Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist 180.
`API Root`	Erforderlich Das API-Stammverzeichnis der Mandiant-Instanz. Der Standardwert ist `https://api.services.mandiant.com`.
`Client ID`	Erforderlich Der Client-ID-Wert des Mandiant Managed Defense-Kontos.
`Client Secret`	Erforderlich Der Clientschlüsselwert des Mandiant Managed Defense-Kontos.
`Status Filter`	Optional Der Statusfilter für die Untersuchungen. Wenn Sie keinen Wert angeben, werden die Untersuchungen mit allen Statuswerten aufgenommen. Folgende Werte sind möglich: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Erforderlich Die Anzahl der Stunden vor der ersten Connector-Iteration, ab der die Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal auf die erste Connector-Iteration angewendet, nachdem Sie den Connector zum ersten Mal aktiviert haben. Der Standardwert ist 24 Stunden.
`Max Investigations To Fetch`	Erforderlich Die Anzahl der Untersuchungen, die in einer Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 100. Der Höchstwert ist 100.
`Use dynamic list as a blocklist`	Erforderlich Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt.
`Verify SSL`	Erforderlich Wenn diese Option ausgewählt ist, prüft Google SecOps, ob das SSL-Zertifikat für die Verbindung zum Mandiant-Server gültig ist. Standardmäßig ausgewählt.
`Proxy Server Address`	Optional Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional Das Proxy-Passwort für die Authentifizierung.
`Disable Overflow`	Optional Wählen Sie diese Option aus, um einen Ereignisüberlauf zu deaktivieren. Diese Option ist standardmäßig nicht ausgewählt.

Connector-Regeln

Der Mandiant Managed Defense – Investigations Connector unterstützt Proxys.

Connector-Ereignisse

Das folgende Beispiel zeigt ein Ereignis des Mandiant Managed Defense – Investigations Connector in Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten