Trend Micro Apex Central
Integrationsversion: 4.0
API-Schlüssel erhalten
Weitere Informationen zum Abrufen eines API-Schlüssels finden Sie unter Anwendung hinzufügen.
Trend Micro Apex Central-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | http://x.x.x.x | Ja | API-Stammverzeichnis der Trend Micro Apex Central-Instanz. |
| Anwendungs-ID | String | – | Ja | Anwendungs-ID der Trend Micro Apex Central-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel der Trend Micro Apex Central-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Trend Micro Apex Central-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trend Micro Apex Central mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: Nicht erfolgreich:Verbindung zum Trend Micro Apex Central-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen aus Trend Micro Apex Central anreichern. Unterstützte Einheiten: IP-Adresse, MAC-Adresse, Hostname, URL, Hash.
Parameter
Entität| Name | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| Endpoint Insight erstellen | Wahr | Nein | Wenn diese Option aktiviert ist, wird eine Erkenntnis mit Informationen zu den angereicherten Endpunkten erstellt. |
| UDSO-Informationen erstellen | Wahr | Nein | Wenn diese Option aktiviert ist, wird eine Analyse erstellt, die Informationen zu den Entitäten enthält, die mit dem benutzerdefinierten Segment für den Abgleich von Nutzerdaten übereinstimmen. |
| UDSO-Entitäten markieren | Wahr | Nein | Wenn diese Option aktiviert ist, werden alle Entitäten, die in der Liste der benutzerdefinierten verdächtigen Objekte enthalten sind, als verdächtig markiert. |
| Domain extrahieren | Falsch | Nein | Wenn diese Option aktiviert ist, wird der Domainteil der URL-Entität extrahiert und für die Anreicherung verwendet. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- MAC‑Adresse
- Hostname
- URL
- Hash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Entitätsanreicherung
Host, IP, MAC
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| ip_address | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| mac_address | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| has_endpoint_sensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| isolation_status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ad_domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
URL, Hash, IP
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Typ | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Hinweis | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Aktion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| expiration | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
| Tabelle „Fall-Repository“ | Name:Gefundene Endpunkte Spalte: IP-Adresse MAC-Adresse Hostname Has Endpoint Sensor Isolierungsstatus AD-Domain |
(Host, IP, MAC) |
| Tabelle „Fall-Repository“ | Name:Found UDSO Spalte: Entität Hinweis Aktion |
(URL, Hash, IP) |
UDSO für Datei erstellen
Beschreibung
Erstellen Sie ein benutzerdefiniertes verdächtiges Objekt basierend auf einer Datei in Trend Micro Apex Central.
Bekannte Probleme
Wenn Sie mit .eml-Dateien arbeiten, gibt die Aktion das JSON-Ergebnis nicht zurück.
Parameter
| Name | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| Dateipfade | – | Ja | Geben Sie eine durch Kommas getrennte Liste von Dateipfaden an, die zum Erstellen eines UDSO verwendet werden müssen. |
| Aktion | Blockieren Mögliche Werte: Blockieren Log Quarantäne |
Ja | Geben Sie an, welche Aktion auf das UDSO angewendet werden soll. |
| Hinweis | – | Falsch | Geben Sie eine zusätzliche Notiz für das bereitgestellte UDSO an. Warnung: Die Notiz darf maximal 256 Zeichen enthalten. |
| Ablauf in (Tagen) | – | Falsch | Geben Sie an, nach wie vielen Tagen das UDSO ablaufen soll. Wenn nichts angegeben wird, läuft das UDSO nie ab. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Fall | Erfolg | Nicht bestanden | Nachricht |
|---|---|---|---|
| wenn die Übertragung für eine Datei erfolgreich war | wahr | falsch | Das UDSO wurde auf Grundlage der folgenden Dateien in Trend Micro Apex Central erstellt: {\n file paths} |
| wenn sie für eine Entität nicht erfolgreich ist | wahr | falsch | Die Aktion konnte auf Grundlage der folgenden Dateien in Trend Micro Apex Central kein UDSO erstellen: {\n file paths} |
| Wenn bereits vorhanden | wahr | falsch | Die folgenden benutzerdefinierten Gerätequellen sind bereits in Trend Micro Apex Central vorhanden: {\n file paths} |
| nicht für alle erfolgreich | falsch | falsch | In Trend Micro Apex Central wurden keine UDSO erstellt. |
| Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis | falsch | wahr | Fehler beim Ausführen der Aktion „UDSO-Datei erstellen“. Grund: {error traceback} |
| Wenn die Notiz länger als 256 Zeichen ist | falsch | wahr | Fehler beim Ausführen der Aktion „UDSO-Datei erstellen“. Grund: Der Hinweis darf maximal 256 Zeichen enthalten. |
UDSO für Entität erstellen
Beschreibung
Erstellen Sie ein benutzerdefiniertes verdächtiges Objekt basierend auf den Entitäten in Trend Micro Apex Central. Unterstützte Entitäten: IP-Adresse, URL, Hash.
Parameter
| Name | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| Aktion | Blockieren Mögliche Werte: Blockieren Log |
Ja | Geben Sie an, welche Aktion auf das UDSO angewendet werden soll. |
| Hinweis | – | Falsch | Geben Sie eine zusätzliche Notiz für das bereitgestellte UDSO an. Warnung: Die Notiz darf maximal 256 Zeichen enthalten. |
| Ablauf in (Tagen) | – | Falsch | Geben Sie an, nach wie vielen Tagen das UDSO ablaufen soll. Wenn nichts angegeben wird, läuft das UDSO nie ab. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- URL
- Hash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Fall | Erfolg | Nicht bestanden | Nachricht |
|---|---|---|---|
| bei Erfolg für 1 Entität | wahr | falsch | UDSO wurde basierend auf den folgenden Einheiten in Trend Micro Apex Central erstellt: {\n entity.identifier} |
| wenn sie für eine Entität nicht erfolgreich ist | wahr | falsch | Die Aktion konnte kein UDSO auf Grundlage der folgenden Entitäten in Trend Micro Apex Central erstellen: {\n entity.identifier} |
| Wenn bereits vorhanden | wahr | falsch | Die folgenden UDSOs sind bereits in Trend Micro Apex Central vorhanden: {\n entity.identifier} |
| nicht für alle erfolgreich | falsch | falsch | In Trend Micro Apex Central wurden keine UDSO erstellt. |
| Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis | falsch | wahr | Fehler beim Ausführen der Aktion „UDSO-Entität erstellen“. Grund: {error traceback} |
| Wenn die Notiz länger als 256 Zeichen ist | falsch | wahr | Fehler beim Ausführen der Aktion „UDSO-Entität erstellen“. Grund: Der Hinweis darf maximal 256 Zeichen enthalten. |
Endpunkte isolieren
Beschreibung
Heben Sie die Isolierung von Endpunkten in Trend Micro Apex Central auf. Unterstützte Einheiten: IP, Mac, Hostname.
Parameter
| Name | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| – | – | – | – |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- MAC‑Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Fall | Erfolg | Nicht bestanden | Nachricht |
|---|---|---|---|
| bei Erfolg für 1 Entität | wahr | falsch | Die folgenden Endpunkte wurden in Trend Micro Apex Central erfolgreich aus der Isolation entfernt: {\n entity.identifier} |
| wenn sie für eine Entität nicht erfolgreich ist | wahr | falsch | Die folgenden Endpunkte in Trend Micro Apex Central konnten durch die Aktion nicht isoliert werden: {\n entity.identifier} |
| nicht für alle erfolgreich | falsch | falsch | In Trend Micro Apex Central wurden keine Endpunkte aus der Isolation entfernt. |
| Asynchrone Nachricht | falsch | falsch | Die Entisolierung des Endpunkts wurde für die folgenden Endpunkte initiiert: {entity.identifier}. Warten Sie, bis die Isolation aufgehoben wurde. |
| Zeitüberschreitungsnachricht | falsch | falsch | Durch die Aktion wurde die Isolation aufgehoben, aber sie steht für die folgenden Endpunkte noch aus: {entity.identifier}. Erhöhen Sie das Zeitlimit in der IDE. |
| Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis | falsch | wahr | Fehler beim Ausführen der Aktion „Endpunkte entisolieren“. Grund: {error traceback} |
Endpunkte isolieren
Beschreibung
Endpunkte in Trend Micro Apex Central isolieren Unterstützte Einheiten: IP, Mac, Hostname.
Parameter
| Name | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| – | – | – | – |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- MAC‑Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Fall | Erfolg | Nicht bestanden | Nachricht |
|---|---|---|---|
| bei Erfolg für 1 Entität | wahr | falsch | Die folgenden Endpunkte wurden in Trend Micro Apex Central isoliert: {\n entity.identifier} |
| wenn sie für eine Entität nicht erfolgreich ist | wahr | falsch | Die Aktion konnte die folgenden Endpunkte in Trend Micro Apex Central nicht isolieren: {\n entity.identifier} |
| nicht für alle erfolgreich | falsch | falsch | In Trend Micro Apex Central wurden keine Endpunkte isoliert. |
| Asynchrone Nachricht | falsch | falsch | Die Isolierung von Endpunkten wurde für die folgenden Endpunkte initiiert: {entity.identifier}. Warten Sie, bis die Isolation abgeschlossen ist. |
| Zeitüberschreitungsnachricht | wahr | falsch | Die Isolierung wurde durch eine Aktion initiiert, steht aber für die folgenden Endpunkte noch aus: {entity.identifier}. Erhöhen Sie das Zeitlimit in der IDE. |
| Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis | falsch | wahr | Fehler beim Ausführen der Aktion „Endpunkte isolieren“. Grund: {error traceback} |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten