Mandiant Managed Defense
本文档提供了一些指导,可帮助您将 Mandiant Managed Defense 与 Google Security Operations SOAR 集成。
集成版本:2.0
将 Mandiant Managed Defense 与 Google SecOps 集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必需 Mandiant 实例的 API 根。 默认值为 |
Client ID |
必需 Mandiant Managed Defense 账号的客户端 ID 值。 |
Client Secret |
必需 Mandiant Managed Defense 账号的客户端密钥值。 |
Verify SSL |
必需 如果选择此项,集成会验证用于连接到 Mandiant 服务器的 SSL 证书是否有效。 此选项将会默认选中。 |
如有必要,您可以在稍后阶段进行更改。配置实例后,您可以在 playbook 中使用它们。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
操作
该集成包括以下操作:
Ping
使用 Ping 操作测试与 Mandiant Managed Defense 的连接。
此操作不会在实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Mandiant Managed Defense server
with the provided connection parameters! |
操作成功。 |
Failed to connect to the Mandiant Managed Defense server! Error
is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Mandiant Managed Defense - Investigations Connector
使用 Mandiant Managed Defense - Investigations 连接器从 Mandiant Managed Defense 中检索调查。
动态列表可与 name 参数搭配使用。
连接器输入
Mandiant Managed Defense - Investigations 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需
存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需
用于确定事件名称(子类型)的字段名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需
运行当前脚本的 Python 进程的超时时限。 默认值为 180。 |
API Root |
必需
Mandiant 实例的 API 根。 默认值为 |
Client ID |
必需 Mandiant Managed Defense 账号的客户端 ID 值。 |
Client Secret |
必需 Mandiant Managed Defense 账号的客户端密钥值。 |
Status Filter |
可选
调查的状态过滤条件。 如果您未提供任何值,连接器会注入具有所有状态值的调查。 可能的值如下所示:
|
Max Hours Backwards |
必需 首次连接器迭代之前的小时数,用于检索事件。此参数仅在您首次启用连接器后,应用于初始连接器迭代一次。 默认值为 24 小时。 |
Max Investigations To Fetch |
必需
一次连接器迭代中要处理的调查数量。 默认值为 100。最大值为 100。 |
Use dynamic list as a blocklist |
必需
如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必需
如果选中此选项,Google SecOps 会验证与 Mandiant 服务器的连接所用的 SSL 证书是否有效。 此选项将会默认选中。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
Disable Overflow |
可选 选择停用事件溢出。 默认情况下未选中。 |
连接器规则
Mandiant Managed Defense - Investigations 连接器支持代理。
连接器事件
以下是 Google SecOps 中的 Mandiant Managed Defense - Investigations Connector 事件示例:
{
"id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
"type": "TYPE-investigation",
"name": "Privilege escalation - testing 2",
"description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
"investigation_status": "open",
"investigation_form": "case",
"start_time": "2024-02-23T23:28:10Z",
"end_time": "",
"created": "2024-02-23T23:28:10Z",
"modified": "2024-02-23T23:28:10Z",
"published": "2024-02-23T23:28:10Z",
"x_fireeye_com_severity": "medium",
"x_fireeye_com_priority": "3",
"assigned_user_email": null,
"external_references": [
{
"source_name": "FaaS Portal",
"external_id": "ID",
"url": "https://md.mandiant.com/investigations/ID"
}
]
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。