이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Mandiant Managed Defense

이 문서에서는 Mandiant Managed Defense를 Google Security Operations SOAR와 구성하고 통합하는 방법을 안내합니다.

통합 버전: 2.0

Mandiant Managed Defense와 Google SecOps 통합

통합에는 다음 매개변수가 필요합니다.

매개변수	설명
`API Root`	필수 Mandiant 인스턴스의 API 루트입니다. 기본값은 `https://api.services.mandiant.com`입니다.
`Client ID`	필수 Mandiant Managed Defense 계정의 클라이언트 ID 값입니다.
`Client Secret`	필수 Mandiant Managed Defense 계정의 클라이언트 보안 비밀번호 값입니다.
`Verify SSL`	필수 선택하면 통합에서 Mandiant 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다.

필요한 경우 이후 단계에서 변경할 수 있습니다. 인스턴스를 구성한 후에는 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

작업

통합에는 다음 작업이 포함됩니다.

Ping

핑

Ping 작업을 사용하여 Mandiant Managed Defense와의 연결을 테스트합니다.

이 작업은 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명

Successfully connected to the Mandiant Managed Defense server with the provided connection parameters! 작업이 완료되었습니다.

출력 메시지	메시지 설명
`Successfully connected to the Mandiant Managed Defense server with the provided connection parameters!`	작업이 완료되었습니다.
`Failed to connect to the Mandiant Managed Defense server! Error is ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Failed to connect to the Mandiant Managed Defense server! Error
      is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.

Mandiant Managed Defense – Investigations Connector

Mandiant Managed Defense – Investigations Connector를 사용하여 Mandiant Managed Defense에서 조사를 가져옵니다.

동적 목록은 name 매개변수와 함께 작동합니다.

커넥터 입력

Mandiant Managed Defense – Investigations Connector에는 다음 매개변수가 필요합니다.

매개변수	설명
`Product Field Name`	필수 제품 이름이 저장된 필드의 이름입니다. 기본값은 `Product Name`입니다.
`Event Field Name`	필수 이벤트 이름 (하위 유형)을 결정하는 데 사용되는 필드 이름입니다. 기본값은 `type`입니다.
`Environment Field Name`	선택사항 환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. 기본값은 `""`입니다.
`Environment Regex Pattern`	선택사항 `Environment Field Name` 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 기본값 `.*`를 사용하여 필요한 원시 `Environment Field Name` 값을 가져옵니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
`Script Timeout (Seconds)`	필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 180입니다.
`API Root`	필수 Mandiant 인스턴스의 API 루트입니다. 기본값은 `https://api.services.mandiant.com`입니다.
`Client ID`	필수 Mandiant Managed Defense 계정의 클라이언트 ID 값입니다.
`Client Secret`	필수 Mandiant Managed Defense 계정의 클라이언트 보안 비밀번호 값입니다.
`Status Filter`	선택사항 조사의 상태 필터입니다. 값을 제공하지 않으면 커넥터가 모든 상태 값으로 조사를 수집합니다. 가능한 값은 다음과 같습니다. `open` `resolved` `disputed` `false-positive`
`Max Hours Backwards`	필수 첫 번째 커넥터 반복 전에 인시던트를 가져올 시간(단위: 시간)입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에만 한 번 적용됩니다. 기본값은 24시간입니다.
`Max Investigations To Fetch`	필수 하나의 커넥터 반복에서 처리할 조사 수입니다. 기본값은 100입니다. 최댓값은 100입니다.
`Use dynamic list as a blocklist`	필수 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다.
`Verify SSL`	필수 선택하면 Google SecOps에서 Mandiant 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다.
`Proxy Server Address`	선택사항 사용할 프록시 서버의 주소입니다.
`Proxy Username`	선택사항 인증할 프록시 사용자 이름입니다.
`Proxy Password`	선택사항 인증할 프록시 비밀번호입니다.
`Disable Overflow`	선택사항 이벤트 오버플로를 사용 중지하려면 선택합니다. 기본적으로 선택되지 않습니다.

커넥터 규칙

Mandiant Managed Defense – Investigations Connector는 프록시를 지원합니다.

커넥터 이벤트

다음은 Google SecOps의 Mandiant Managed Defense – Investigations 커넥터 이벤트의 예입니다.

{
   "id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
   "type": "TYPE-investigation",
   "name": "Privilege escalation - testing 2",
   "description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
   "investigation_status": "open",
   "investigation_form": "case",
   "start_time": "2024-02-23T23:28:10Z",
   "end_time": "",
   "created": "2024-02-23T23:28:10Z",
   "modified": "2024-02-23T23:28:10Z",
   "published": "2024-02-23T23:28:10Z",
   "x_fireeye_com_severity": "medium",
   "x_fireeye_com_priority": "3",
   "assigned_user_email": null,
   "external_references": [
       {
           "source_name": "FaaS Portal",
           "external_id": "ID",
           "url": "https://md.mandiant.com/investigations/ID"
       }
   ]
}

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.