Trend Micro Apex Central
Versión de integración: 4.0
Cómo obtener una clave de API
Para obtener más información sobre cómo obtener una clave de API, consulta Añadir una aplicación.
Configurar la integración de Trend Micro Apex Central en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | http://x.x.x.x | Sí | Raíz de la API de la instancia de Trend Micro Apex Central. |
| ID de la aplicación | Cadena | N/A | Sí | ID de aplicación de la instancia de Trend Micro Apex Central. |
| Clave de API | Contraseña | N/A | Sí | Clave de API de la instancia de Trend Micro Apex Central. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Trend Micro Apex Central sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trend Micro Apex Central con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si el proceso se completa correctamente: No se ha podido conectar: no se ha podido conectar al servidor de Trend Micro Apex Central. Error: {0}".format(exception.stacktrace) |
General |
Enriquecer entidades
Descripción
Enriquece las entidades con información de Trend Micro Apex Central. Entidades admitidas: dirección IP, dirección MAC, nombre de host, URL y hash.
Parámetros
entidad| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Crear estadísticas de endpoint | Verdadero | No | Si se habilita, la acción creará una estadística que incluirá la información sobre los endpoints que se han enriquecido. |
| Crear una estadística de UDSO | Verdadero | No | Si se habilita, la acción creará una estadística que incluirá la información sobre las entidades que coincidan con la fuente de datos estructurados no publicada. |
| Marcar entidades de UDSO | Verdadero | No | Si se habilita, la acción marcará como sospechosas todas las entidades que se hayan visto en la lista de objetos sospechosos definidos por el usuario. |
| Extraer dominio | Falso | No | Si se habilita, la acción extraerá la parte del dominio de la entidad de URL y la usará para el enriquecimiento. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Enriquecimiento de entidades
Host, IP y MAC
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| ip_address | Devuelve si existe en el resultado JSON. |
| mac_address | Devuelve si existe en el resultado JSON. |
| nombre de host | Devuelve si existe en el resultado JSON. |
| has_endpoint_sensor | Devuelve si existe en el resultado JSON. |
| isolation_status | Devuelve si existe en el resultado JSON. |
| ad_domain | Devuelve si existe en el resultado JSON. |
URL, hash e IP
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| tipo | Devuelve si existe en el resultado JSON. |
| note | Devuelve si existe en el resultado JSON. |
| acción | Devuelve si existe en el resultado JSON. |
| vencimiento | Devuelve si existe en el resultado JSON. |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla del panel de casos | Nombre: Endpoints encontrados Columna: Dirección IP Dirección MAC Nombre de host Tiene sensor de endpoint Estado de aislamiento Dominio de AD |
(Host, IP, MAC) |
| Tabla del panel de casos | Nombre: Found UDSO Columna: Entidad Nota Acción |
(URL, hash, IP) |
Crear UDSO de archivo
Descripción
Crea un objeto sospechoso definido por el usuario a partir de un archivo de Trend Micro Apex Central.
Problemas conocidos
Cuando trabajes con archivos .eml, la acción no devolverá el resultado JSON.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Rutas de archivo | N/A | Sí | Especifica una lista separada por comas de las rutas de archivo que se deben usar para crear un UDSO. |
| Acción | Bloquear Valores posibles: Bloquear Registro Cuarentena |
Sí | Especifica qué acción se debe aplicar al UDSO. |
| Nota | N/A | Falso | Especifica una nota adicional para el UDSO proporcionado. Advertencia: La nota no puede contener más de 256 caracteres. |
| Caducidad (en días) | N/A | Falso | Especifica en cuántos días debe caducar el UDSO. Si no se proporciona nada, el UDSO nunca caducará. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Caso | Correcto | No superada | Mensaje |
|---|---|---|---|
| si se ha completado correctamente para un archivo | true | falso | Se ha creado correctamente un UDSO basado en los siguientes archivos de Trend Micro Apex Central: {\n file paths} |
| si no se ha completado correctamente para una entidad | true | falso | No se ha podido crear un UDSO a partir de los siguientes archivos de Trend Micro Apex Central: {\n file paths} |
| Si ya existe | true | falso | El siguiente UDSO ya existe en Trend Micro Apex Central: {\n file paths} |
| no se ha completado para todos | falso | falso | No se ha creado ningún objeto de datos de origen desconocido en Trend Micro Apex Central. |
| Error grave, credenciales no válidas, raíz de la API | falso | true | Error al ejecutar la acción "Crear UDSO de archivo". Motivo: {error traceback} |
| Si la nota tiene más de 256 caracteres | falso | true | Error al ejecutar la acción "Crear UDSO de archivo". Motivo: la nota no puede contener más de 256 caracteres. |
Crear UDSO de entidad
Descripción
Crea un objeto sospechoso definido por el usuario a partir de las entidades de Trend Micro Apex Central. Entidades admitidas: IP, URL y hash.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Acción | Bloquear Valores posibles: Bloquear Registro |
Sí | Especifica qué acción se debe aplicar al UDSO. |
| Nota | N/A | Falso | Especifica una nota adicional para el UDSO proporcionado. Advertencia: La nota no puede contener más de 256 caracteres. |
| Caducidad (en días) | N/A | Falso | Especifica en cuántos días debe caducar el UDSO. Si no se proporciona nada, el UDSO nunca caducará. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Caso | Correcto | No superada | Mensaje |
|---|---|---|---|
| si se ha completado correctamente para una entidad | true | falso | Se ha creado correctamente un UDSO basado en las siguientes entidades de Trend Micro Apex Central: {\n entity.identifier} |
| si no se ha completado correctamente para una entidad | true | falso | No se ha podido crear un UDSO basado en las siguientes entidades de Trend Micro Apex Central: {\n entity.identifier} |
| Si ya existe | true | falso | El siguiente UDSO ya existe en Trend Micro Apex Central: {\n entity.identifier} |
| no se ha completado para todos | falso | falso | No se ha creado ningún objeto de datos de origen desconocido en Trend Micro Apex Central. |
| Error grave, credenciales no válidas, raíz de la API | falso | true | Error al ejecutar la acción "Create Entity UDSO". Motivo: {error traceback} |
| Si la nota tiene más de 256 caracteres | falso | true | Error al ejecutar la acción "Create Entity UDSO". Motivo: la nota no puede contener más de 256 caracteres. |
Unisolate Endpoints
Descripción
Aísla los endpoints en Trend Micro Apex Central. Entidades admitidas: IP, Mac y nombre de host.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Caso | Correcto | No superada | Mensaje |
|---|---|---|---|
| si se ha completado correctamente para una entidad | true | falso | Se han desaislado correctamente los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| si no se ha completado correctamente para una entidad | true | falso | No se ha podido aislar los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| no se ha completado para todos | falso | falso | No se ha aislado ningún endpoint en Trend Micro Apex Central. |
| Mensaje asíncrono | falso | falso | Se ha iniciado el aislamiento de los siguientes endpoints: {entity.identifier}. Esperando a que finalice el aislamiento. |
| Mensaje de tiempo de espera | falso | falso | Se ha iniciado la acción para quitar el aislamiento, pero aún está pendiente para los siguientes endpoints: {entity.identifier}. Te recomendamos que aumentes el tiempo de espera en el IDE. |
| Error grave, credenciales no válidas, raíz de la API | falso | true | Error al ejecutar la acción "Unisolate Endpoints". Motivo: {error traceback} |
Aislamiento de endpoints
Descripción
Aísla los endpoints en Trend Micro Apex Central. Entidades admitidas: IP, Mac y nombre de host.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Caso | Correcto | No superada | Mensaje |
|---|---|---|---|
| si se ha completado correctamente para una entidad | true | falso | Se han aislado correctamente los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| si no se ha completado correctamente para una entidad | true | falso | No se ha podido aislar los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| no se ha completado para todos | falso | falso | No se ha aislado ningún endpoint en Trend Micro Apex Central. |
| Mensaje asíncrono | falso | falso | Se ha iniciado el aislamiento de endpoints en los siguientes endpoints: {entity.identifier}. Esperando a que finalice el aislamiento. |
| Mensaje de tiempo de espera | true | falso | Se ha iniciado el aislamiento de la acción, pero aún está pendiente en los siguientes endpoints: {entity.identifier}. Te recomendamos que aumentes el tiempo de espera en el IDE. |
| Error grave, credenciales no válidas, raíz de la API | falso | true | Error al ejecutar la acción "Aislar endpoints". Motivo: {error traceback} |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.