Trend Micro Apex Central
Versión de integración: 4.0
Cómo obtener una clave de API
Para obtener más información sobre cómo obtener una clave de API, consulta Cómo agregar una aplicación.
Configura la integración de Trend Micro Apex Central en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | http://x.x.x.x | Sí | Es la raíz de la API de la instancia de Trend Micro Apex Central. |
| ID de aplicación | String | N/A | Sí | ID de la aplicación de la instancia de Trend Micro Apex Central. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la instancia de Trend Micro Apex Central. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Trend Micro Apex Central sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trend Micro Apex Central con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la conexión se realiza correctamente: No se pudo establecer la conexión con el servidor de Trend Micro Apex Central. Error: {0}".format(exception.stacktrace) |
General |
Enriquece entidades
Descripción
Enriquece las entidades con información de Trend Micro Apex Central. Entidades admitidas: Dirección IP, dirección MAC, nombre de host, URL y hash.
Parámetros
socio principal| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Crea una estadística de extremo | Verdadero | No | Si está habilitada, la acción creará una estadística que contendrá la información sobre los extremos que se enriquecieron. |
| Crea una estadística de UDSO | Verdadero | No | Si está habilitada, la acción creará una estadística que contendrá la información sobre las entidades que coincidieron con el UDSO. |
| Cómo marcar entidades de UDSO | Verdadero | No | Si se habilita, la acción marcará como sospechosas todas las entidades que se vieron en la lista de objetos sospechosos definidos por el usuario. |
| Extraer dominio | Falso | No | Si se habilita, la acción extraerá la parte del dominio de la entidad de URL y la usará para el enriquecimiento. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Enriquecimiento de entidades
Host, IP, MAC
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| ip_address | Devuelve si existe en el resultado JSON. |
| mac_address | Devuelve si existe en el resultado JSON. |
| Nombre de host | Devuelve si existe en el resultado JSON. |
| has_endpoint_sensor | Devuelve si existe en el resultado JSON. |
| isolation_status | Devuelve si existe en el resultado JSON. |
| ad_domain | Devuelve si existe en el resultado JSON. |
URL, hash, IP
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| tipo | Devuelve si existe en el resultado JSON. |
| nota | Devuelve si existe en el resultado JSON. |
| acción | Devuelve si existe en el resultado JSON. |
| vencimiento | Devuelve si existe en el resultado JSON. |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla del muro de casos | Nombre: Endpoints encontrados Columna: Dirección IP Dirección MAC Nombre de host Tiene sensor de extremo Estado de aislamiento Dominio de AD |
(Host, IP, MAC) |
| Tabla del muro de casos | Nombre: UDSO encontrado Columna: Entidad Nota Acción |
(URL, hash, IP) |
Crea un UDSO de archivo
Descripción
Crea un objeto sospechoso definido por el usuario basado en un archivo de Trend Micro Apex Central.
Problemas conocidos
Cuando trabajes con archivos .eml, la acción no devolverá el resultado JSON.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Rutas de acceso de los archivos | N/A | Sí | Especifica una lista separada por comas de las rutas de acceso a los archivos que se deben usar para crear un UDSO. |
| Acción | Bloquear Valores posibles: Bloquear Registro Poner los correos electrónicos en cuarentena |
Sí | Especifica qué acción se debe aplicar al UDSO. |
| Nota | N/A | Falso | Especifica una nota adicional para el UDSO proporcionado. Advertencia: La nota no puede contener más de 256 caracteres. |
| Vence en (días) | N/A | Falso | Especifica en cuántos días debe vencer el UDSO. Si no se proporciona nada, el UDSO nunca vencerá. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Caso | Listo | Reprobada | Mensaje |
|---|---|---|---|
| Si la operación se realizó correctamente para 1 archivo | verdadero | falso | Se creó correctamente el UDSO basado en los siguientes archivos de Trend Micro Apex Central: {\n rutas de acceso a archivos} |
| Si no se realiza correctamente para 1 entidad | verdadero | falso | No se pudo crear el UDSO en función de los siguientes archivos en Trend Micro Apex Central: {\n rutas de acceso a archivos} |
| Si ya existe | verdadero | falso | Los siguientes UDSO ya existen en Trend Micro Apex Central: {\n rutas de acceso a archivos} |
| no es exitoso para todos | falso | falso | No se creó ningún UDSO en Trend Micro Apex Central. |
| Error fatal, credenciales no válidas, raíz de la API | falso | verdadero | Se produjo un error al ejecutar la acción "Create File UDSO". Motivo: {error traceback} |
| Si la nota tiene más de 256 caracteres | falso | verdadero | Se produjo un error al ejecutar la acción "Create File UDSO". Motivo: La nota no puede contener más de 256 caracteres. |
Crea un UDSO de entidad
Descripción
Crea un objeto sospechoso definido por el usuario en función de las entidades de Trend Micro Apex Central. Entidades admitidas: IP, URL y hash.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|
| Acción | Bloquear Valores posibles: Bloquear Registro |
Sí | Especifica qué acción se debe aplicar al UDSO. |
| Nota | N/A | Falso | Especifica una nota adicional para el UDSO proporcionado. Advertencia: La nota no puede contener más de 256 caracteres. |
| Vence en (días) | N/A | Falso | Especifica en cuántos días debe vencer el UDSO. Si no se proporciona nada, el UDSO nunca vencerá. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Caso | Listo | Reprobada | Mensaje |
|---|---|---|---|
| si la operación se realizó correctamente para 1 entidad | verdadero | falso | Se creó correctamente el UDSO basado en las siguientes entidades en Trend Micro Apex Central: {\n entity.identifier} |
| Si no se realiza correctamente para 1 entidad | verdadero | falso | No se pudo crear el UDSO en función de las siguientes entidades en Trend Micro Apex Central: {\n entity.identifier} |
| Si ya existe | verdadero | falso | El siguiente UDSO ya existe en Trend Micro Apex Central: {\n entity.identifier} |
| no es exitoso para todos | falso | falso | No se creó ningún UDSO en Trend Micro Apex Central. |
| Error fatal, credenciales no válidas, raíz de la API | falso | verdadero | Se produjo un error al ejecutar la acción "Create Entity UDSO". Motivo: {error traceback} |
| Si la nota tiene más de 256 caracteres | falso | verdadero | Se produjo un error al ejecutar la acción "Create Entity UDSO". Motivo: La nota no puede contener más de 256 caracteres. |
Aísla los extremos
Descripción
Aísla los endpoints en Trend Micro Apex Central. Entidades admitidas: IP, Mac y nombre de host.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Caso | Listo | Reprobada | Mensaje |
|---|---|---|---|
| si la operación se realizó correctamente para 1 entidad | verdadero | falso | Se aislaron correctamente los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| Si no se realiza correctamente para 1 entidad | verdadero | falso | No se pudo aislar los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| no es exitoso para todos | falso | falso | No se desaislaron extremos en Trend Micro Apex Central. |
| Mensaje asíncrono | falso | falso | Se inició el proceso para quitar el aislamiento de los siguientes extremos: {entity.identifier}. Se espera a que finalice el proceso de aislamiento. |
| Mensaje de tiempo de espera | falso | falso | Se inició la anulación del aislamiento, pero aún está pendiente para los siguientes extremos: {entity.identifier}. Considera aumentar el tiempo de espera en el IDE. |
| Error fatal, credenciales no válidas, raíz de la API | falso | verdadero | Se produjo un error al ejecutar la acción "Unisolate Endpoints". Motivo: {error traceback} |
Aislamiento de extremos
Descripción
Aísla los endpoints en Trend Micro Apex Central. Entidades admitidas: IP, Mac y nombre de host.
Parámetros
| Nombre | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Dirección MAC
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Caso | Listo | Reprobada | Mensaje |
|---|---|---|---|
| si la operación se realizó correctamente para 1 entidad | verdadero | falso | Se aislaron correctamente los siguientes endpoints en Trend Micro Apex Central: {\n entity.identifier} |
| Si no se realiza correctamente para 1 entidad | verdadero | falso | No se pudo aislar los siguientes extremos en Trend Micro Apex Central: {\n entity.identifier} |
| no es exitoso para todos | falso | falso | No se aislaron extremos en Trend Micro Apex Central. |
| Mensaje asíncrono | falso | falso | Se inició el aislamiento del extremo en los siguientes extremos: {entity.identifier}. Espera a que finalice el aislamiento. |
| Mensaje de tiempo de espera | verdadero | falso | Se inició el aislamiento de la acción, pero aún está pendiente para los siguientes extremos: {entity.identifier}. Considera aumentar el tiempo de espera en el IDE. |
| Error fatal, credenciales no válidas, raíz de la API | falso | verdadero | Se produjo un error al ejecutar la acción "Isolate Endpoints". Motivo: {error traceback} |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.