Esta página se ha traducido con Cloud Translation API.

Mandiant Managed Defense

En este documento se proporcionan directrices para ayudarte a configurar e integrar Mandiant Managed Defense con la función SOAR de Google Security Operations.

Versión de la integración: 2.0

Integrar Mandiant Managed Defense con Google SecOps

La integración requiere los siguientes parámetros:

Parámetros	Descripción
`API Root`	Obligatorio La raíz de la API de la instancia de Mandiant. El valor predeterminado es `https://api.services.mandiant.com`.
`Client ID`	Obligatorio El valor del ID de cliente de la cuenta de Mandiant Managed Defense.
`Client Secret`	Obligatorio El valor del secreto de cliente de la cuenta de Mandiant Managed Defense.
`Verify SSL`	Obligatorio Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada.

Si es necesario, puedes hacer cambios más adelante. Después de configurar las instancias, puedes usarlas en los playbooks. Para obtener más información sobre cómo configurar y admitir varias instancias, consulte Admitir varias instancias.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.

Acciones

La integración incluye las siguientes acciones:

Ping

Ping

Usa la acción Ping para probar la conectividad con Mandiant Managed Defense.

Esta acción no se ejecuta en entidades.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Ping proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

Mandiant Managed Defense – Investigations Connector

Usa el conector de investigaciones de Mandiant Managed Defense para obtener investigaciones de Mandiant Managed Defense.

La lista dinámica funciona con el parámetro name.

Entradas de conectores

El conector de investigaciones de Mandiant Managed Defense requiere los siguientes parámetros:

Parámetros	Descripción
`Product Field Name`	Obligatorio Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es `Product Name`.
`Event Field Name`	Obligatorio Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es `type`.
`Environment Field Name`	Optional Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. El valor predeterminado es `""`.
`Environment Regex Pattern`	Optional Un patrón de expresión regular que se aplica al valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`Script Timeout (Seconds)`	Obligatorio El límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180.
`API Root`	Obligatorio La raíz de la API de la instancia de Mandiant. El valor predeterminado es `https://api.services.mandiant.com`.
`Client ID`	Obligatorio El valor del ID de cliente de la cuenta de Mandiant Managed Defense.
`Client Secret`	Obligatorio El valor del secreto de cliente de la cuenta de Mandiant Managed Defense.
`Status Filter`	Optional Filtro de estado de las investigaciones. Si no proporciona ningún valor, el conector ingiere las investigaciones con todos los valores de estado. Estos son los valores posibles: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Obligatorio Número de horas antes de la primera iteración del conector para recuperar los incidentes. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez. El valor predeterminado es de 24 horas.
`Max Investigations To Fetch`	Obligatorio Número de investigaciones que se deben procesar en una iteración del conector. El valor predeterminado es 100. El valor máximo es 100.
`Use dynamic list as a blocklist`	Obligatorio Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada.
`Verify SSL`	Obligatorio Si se selecciona esta opción, Google SecOps verifica que el certificado SSL de la conexión al servidor de Mandiant sea válido. Esta opción está seleccionada de forma predeterminada.
`Proxy Server Address`	Optional Dirección del servidor proxy que se va a usar.
`Proxy Username`	Optional Nombre de usuario del proxy para autenticarse.
`Proxy Password`	Optional La contraseña del proxy para autenticarte.
`Disable Overflow`	Optional Selecciona esta opción para inhabilitar el desbordamiento de eventos. No está seleccionada de forma predeterminada.

Reglas de conectores

El conector Investigaciones de Mandiant Managed Defense admite proxies.

Eventos del conector

A continuación, se muestra un ejemplo de un evento de Mandiant Managed Defense – Investigations Connector en Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.