Halaman ini diterjemahkan oleh Cloud Translation API.

Mandiant Managed Defense

Dokumen ini memberikan panduan untuk membantu Anda mengonfigurasi dan mengintegrasikan Mandiant Managed Defense dengan Google Security Operations SOAR.

Versi integrasi: 2.0

Mengintegrasikan Mandiant Managed Defense dengan Google SecOps

Integrasi memerlukan parameter berikut:

Parameter	Deskripsi
`API Root`	Wajib Root API instance Mandiant. Nilai defaultnya adalah `https://api.services.mandiant.com`.
`Client ID`	Wajib Nilai ID klien akun Mandiant Managed Defense.
`Client Secret`	Wajib Nilai rahasia klien akun Mandiant Managed Defense.
`Verify SSL`	Wajib Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk terhubung ke server Mandiant valid. Dipilih secara default.

Anda dapat melakukan perubahan di tahap berikutnya, jika perlu. Setelah mengonfigurasi instance, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Tindakan

Integrasi ini mencakup tindakan berikut:

Ping

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Mandiant Managed Defense.

Tindakan ini tidak dijalankan di entity.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Ping memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Konektor

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Mandiant Managed Defense – Investigations Connector

Gunakan Mandiant Managed Defense – Investigations Connector untuk mengambil investigasi dari Mandiant Managed Defense.

Daftar dinamis berfungsi dengan parameter name.

Input konektor

Mandiant Managed Defense – Investigations Connector memerlukan parameter berikut:

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `Product Name`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subtipe). Nilai defaultnya adalah `type`.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. Nilai defaultnya adalah `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
`Script Timeout (Seconds)`	Wajib Batas waktu tunggu untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180.
`API Root`	Wajib Root API instance Mandiant. Nilai defaultnya adalah `https://api.services.mandiant.com`.
`Client ID`	Wajib Nilai ID klien akun Mandiant Managed Defense.
`Client Secret`	Wajib Nilai rahasia klien akun Mandiant Managed Defense.
`Status Filter`	Opsional Filter status untuk penyelidikan. Jika Anda tidak memberikan nilai, konektor akan menyerap penyelidikan dengan semua nilai status. Kemungkinan nilainya adalah sebagai berikut: `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	Wajib Jumlah jam sebelum iterasi konektor pertama untuk mengambil insiden. Parameter ini hanya berlaku satu kali untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya. Nilai defaultnya adalah 24 jam.
`Max Investigations To Fetch`	Wajib Jumlah penyelidikan yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah 100. Nilai maksimumnya adalah 100.
`Use dynamic list as a blocklist`	Wajib Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default.
`Verify SSL`	Wajib Jika dipilih, Google SecOps akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Mandiant valid. Dipilih secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.
`Disable Overflow`	Opsional Pilih untuk menonaktifkan tambahan peristiwa. Tidak dipilih secara default.

Aturan konektor

Mandiant Managed Defense – Investigations Connector mendukung proxy.

Peristiwa konektor

Berikut adalah contoh peristiwa Mandiant Managed Defense – Investigations Connector di Google SecOps:

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.