Mandiant Managed Defense
本文提供相關指引,協助您設定 Mandiant Managed Defense,並與 Google Security Operations SOAR 整合。
整合版本:2.0
將 Mandiant Managed Defense 與 Google SecOps 整合
整合作業需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必要 Mandiant 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要 Mandiant Managed Defense 帳戶的用戶端 ID 值。 |
Client Secret |
必要 Mandiant Managed Defense 帳戶的用戶端密鑰值。 |
Verify SSL |
必要 如果選取這個選項,整合服務會驗證連線至 Mandiant 伺服器的 SSL 憑證是否有效。 (此為預設選項)。 |
如有需要,您可以在稍後階段進行變更。設定執行個體後,您就可以在劇本中使用這些執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
動作
整合包括下列動作:
乒乓
使用「Ping」動作測試與 Mandiant Managed Defense 的連線。
這項操作不會對實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Mandiant Managed Defense server
with the provided connection parameters! |
動作成功。 |
Failed to connect to the Mandiant Managed Defense server! Error
is ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Mandiant Managed Defense - Investigations 連接器
使用 Mandiant Managed Defense - Investigations Connector,從 Mandiant Managed Defense 擷取調查結果。
動態清單適用於 name 參數。
連接器輸入內容
Mandiant Managed Defense - Investigations Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必要
儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要
用於判斷事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要
執行目前指令碼的 Python 程序逾時限制。 預設值為 180。 |
API Root |
必要
Mandiant 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要 Mandiant Managed Defense 帳戶的用戶端 ID 值。 |
Client Secret |
必要 Mandiant Managed Defense 帳戶的用戶端密鑰值。 |
Status Filter |
選填
調查的狀態篩選器。 如果未提供任何值,連接器會擷取所有狀態值的調查。 可能的值如下:
|
Max Hours Backwards |
必要 第一個連接器疊代作業開始前的小時數,系統會從這個時間點開始擷取事件。啟用連接器後,這個參數只會套用至初始連接器疊代一次。 預設值為 24 小時。 |
Max Investigations To Fetch |
必要
單一連接器疊代中要處理的調查數量。 預設值為 100。最大值為 100。 |
Use dynamic list as a blocklist |
必要
如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Verify SSL |
必要
如果選取這個選項,Google SecOps 會驗證連至 Mandiant 伺服器的連線是否使用有效 SSL 憑證。 (此為預設選項)。 |
Proxy Server Address |
選用 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選用 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選用 用於驗證的 Proxy 密碼。 |
Disable Overflow |
選用 選取即可停用事件溢位。 預設為未選取。 |
連接器規則
Mandiant Managed Defense - Investigations Connector 支援 Proxy。
連接器事件
以下是 Google SecOps 中的 Mandiant Managed Defense - Investigations Connector 事件範例:
{
"id": "TYPE-investigation--257e976c-2a2e-5b29-9203-387615b8b670",
"type": "TYPE-investigation",
"name": "Privilege escalation - testing 2",
"description": "\n\n\nMandiant alerted on endpoint activity related to a suspicious `PrivilegeEscalation` event. This event matched the signature **Privilege escalation using token duplication** on the host HOST.\n\nMicrosoft Defender for Endpoint provided the following description for the detection:\n\n```\nA new process was suspiciously created with a duplicated access token for the SYSTEM account. This activity, often referred to as token impersonation, is used to elevate privileges for existing processes or start processes with elevated privileges.\n\n\n```\n\nFor alert details, see the following link in Microsoft Defender for Endpoint:\n\n* https://security.microsoft.com/alerts/ALERT_ID",
"investigation_status": "open",
"investigation_form": "case",
"start_time": "2024-02-23T23:28:10Z",
"end_time": "",
"created": "2024-02-23T23:28:10Z",
"modified": "2024-02-23T23:28:10Z",
"published": "2024-02-23T23:28:10Z",
"x_fireeye_com_severity": "medium",
"x_fireeye_com_priority": "3",
"assigned_user_email": null,
"external_references": [
{
"source_name": "FaaS Portal",
"external_id": "ID",
"url": "https://md.mandiant.com/investigations/ID"
}
]
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。