Mandiant Managed Defense

このドキュメントでは、Mandiant Managed Defense を Google Security Operations SOAR と構成して統合するためのガイダンスを提供します。

統合バージョン: 2.0

Mandiant Managed Defense を Google SecOps と統合する

統合には次のパラメータが必要です。

パラメータ 説明
API Root 必須

Mandiant インスタンスの API ルート。

デフォルト値は https://api.services.mandiant.com です。
Client ID 必須

Mandiant Managed Defense アカウントのクライアント ID 値。
Client Secret 必須

Mandiant Managed Defense アカウントのクライアント シークレット値。
Verify SSL 必須

選択すると、統合によって Mandiant サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトで選択されています。

必要に応じて、後の段階で変更できます。インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

操作

この統合には次のアクションが含まれます。

Ping

Ping アクションを使用して、Mandiant Managed Defense への接続をテストします。

このアクションはエンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! アクションが成功しました。
Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

コネクタ

Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。

Mandiant Managed Defense - 調査コネクタ

Mandiant Managed Defense - Investigations Connector を使用して、Mandiant Managed Defense から調査を取得します。

動的リストは name パラメータと連動して機能します。

コネクタの入力

Mandiant Managed Defense - Investigations Connector には、次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は Product Name です。
Event Field Name 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は type です。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドがない場合、その環境がデフォルトの環境です。

デフォルト値は "" です。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
Script Timeout (Seconds) 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限。

デフォルト値は 180 です。
API Root 必須

Mandiant インスタンスの API ルート。

デフォルト値は https://api.services.mandiant.com です。
Client ID 必須

Mandiant Managed Defense アカウントのクライアント ID 値。
Client Secret 必須

Mandiant Managed Defense アカウントのクライアント シークレット値。
Status Filter 省略可

調査のステータス フィルタ。

値を指定しない場合、コネクタはすべてのステータス値の調査を取り込みます。

指定できる値は次のとおりです。
  • open
  • resolved
  • disputed
  • false-positive
Max Hours Backwards 必須

最初のコネクタ イテレーションの前にインシデントを取得する時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。

デフォルト値は 24 時間です。
Max Investigations To Fetch 必須

1 回のコネクタのイテレーションで処理する調査の数。

デフォルト値は 100 です。最大値は 100 です。
Use dynamic list as a blocklist 必須

選択すると、コネクタは動的リストを拒否リストとして使用します。

デフォルトでは選択されていません。
Verify SSL 必須

選択すると、Google SecOps は Mandiant サーバーへの接続用の SSL 証明書が有効であることを確認します。

デフォルトで選択されています。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。
Disable Overflow Optional

イベントのオーバーフローを無効にするには選択します。

デフォルトでは選択されていません。

コネクタルール

Mandiant Managed Defense - Investigations Connector はプロキシをサポートしています。

コネクタ イベント

Google SecOps の Mandiant Managed Defense - Investigations Connector イベントの例を次に示します。

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。