Mandiant Managed Defense

En este documento, se proporciona orientación para ayudarte a configurar e integrar Mandiant Managed Defense con Google Security Operations SOAR.

Versión de la integración: 2.0

Integra Mandiant Managed Defense con Google SecOps

La integración requiere los siguientes parámetros:

Parámetros Descripción
API Root Obligatorio

Es la raíz de la API de la instancia de Mandiant.

El valor predeterminado es https://api.services.mandiant.com.
Client ID Obligatorio

Es el valor del ID de cliente de la cuenta de Mandiant Managed Defense.
Client Secret Obligatorio

Es el valor del secreto del cliente de la cuenta de Mandiant Managed Defense.
Verify SSL Obligatorio

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Mandiant sea válido.

Esta opción se selecciona de forma predeterminada.

Si es necesario, puedes realizar cambios más adelante. Después de configurar las instancias, puedes usarlas en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Acciones

La integración incluye las siguientes acciones:

Ping

Usa la acción Ping para probar la conectividad con Mandiant Managed Defense.

Esta acción no se ejecuta en entidades.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Ping proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! La acción se completó correctamente.
Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Mandiant Managed Defense: Investigations Connector

Usa el conector de investigaciones de Mandiant Managed Defense para recuperar investigaciones de Mandiant Managed Defense.

La lista dinámica funciona con el parámetro name.

Entradas del conector

El conector de investigaciones de Mandiant Managed Defense requiere los siguientes parámetros:

Parámetros Descripción
Product Field Name Obligatorio

Es el nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es Product Name.
Event Field Name Obligatorio

Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es type.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, el entorno es el predeterminado.

El valor predeterminado es "".
Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Script Timeout (Seconds) Obligatorio

Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es 180.
API Root Obligatorio

Es la raíz de la API de la instancia de Mandiant.

El valor predeterminado es https://api.services.mandiant.com.
Client ID Obligatorio

Es el valor del ID de cliente de la cuenta de Mandiant Managed Defense.
Client Secret Obligatorio

Es el valor del secreto del cliente de la cuenta de Mandiant Managed Defense.
Status Filter Optional

Es el filtro de estado para las investigaciones.

Si no proporcionas ningún valor, el conector ingerirá las investigaciones con todos los valores de estado.

Los valores posibles son los siguientes:
  • open
  • resolved
  • disputed
  • false-positive
Max Hours Backwards Obligatorio

Cantidad de horas previas a la primera iteración del conector para recuperar los incidentes. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez.

El valor predeterminado es de 24 horas.
Max Investigations To Fetch Obligatorio

Es la cantidad de investigaciones que se procesarán en una iteración del conector.

El valor predeterminado es 100. El valor máximo es 100.
Use dynamic list as a blocklist Obligatorio

Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo.

No está seleccionada de forma predeterminada.
Verify SSL Obligatorio

Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para la conexión al servidor de Mandiant sea válido.

Esta opción se selecciona de forma predeterminada.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy con el que se realizará la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.
Disable Overflow Optional

Selecciona esta opción para inhabilitar el desbordamiento de eventos.

No está seleccionada de forma predeterminada.

Reglas del conector

El conector de investigaciones de Mandiant Managed Defense admite proxies.

Eventos del conector

A continuación, se muestra un ejemplo de un evento de Mandiant Managed Defense – Investigations Connector en Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.