Trend Micro Apex Central
Version de l'intégration : 4.0
Obtenir une clé API
Pour savoir comment obtenir une clé API, consultez Ajouter une application.
Configurer l'intégration de Trend Micro Apex Central dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | http://x.x.x.x | Oui | Racine de l'API de l'instance Trend Micro Apex Central. |
| ID de l'application | Chaîne | N/A | Oui | ID d'application de l'instance Trend Micro Apex Central. |
| Clé API | Mot de passe | N/A | Oui | Clé API de l'instance Trend Micro Apex Central. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trend Micro Apex Central est valide. |
Actions
Ping
Description
Testez la connectivité à Trend Micro Apex Central avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit : Échec : impossible de se connecter au serveur Trend Micro Apex Central. Error: {0}".format(exception.stacktrace) |
Général |
Enrichir les entités
Description
Enrichissez les entités avec des informations provenant de Trend Micro Apex Central. Entités acceptées : adresse IP, adresse MAC, nom d'hôte, URL, hachage.
Paramètres
entité| Nom | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|
| Créer un insight de point de terminaison | Vrai | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les points de terminaison enrichis. |
| Créer un insight UDSO | Vrai | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les entités correspondant à l'UDSO. |
| Marquer les entités UDSO | Vrai | Non | Si cette option est activée, l'action marquera comme suspectes toutes les entités figurant dans la liste des objets suspects définis par l'utilisateur. |
| Extraire le domaine | Faux | Non | Si cette option est activée, l'action extrait la partie domaine de l'entité URL et l'utilise pour l'enrichissement. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Adresse MAC
- Nom d'hôte
- URL
- Hash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Enrichissement d'entités
Hôte, adresse IP, adresse MAC
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| ip_address | Renvoie la valeur si elle existe dans le résultat JSON. |
| mac_address | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom d'hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
| has_endpoint_sensor | Renvoie la valeur si elle existe dans le résultat JSON. |
| isolation_status | Renvoie la valeur si elle existe dans le résultat JSON. |
| ad_domain | Renvoie la valeur si elle existe dans le résultat JSON. |
URL, hachage, adresse IP
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| type | Renvoie la valeur si elle existe dans le résultat JSON. |
| note | Renvoie la valeur si elle existe dans le résultat JSON. |
| action | Renvoie la valeur si elle existe dans le résultat JSON. |
| expiration | Renvoie la valeur si elle existe dans le résultat JSON. |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
| Tableau du mur des cas | Nom : points de terminaison trouvés Colonne : Adresse IP Adresse MAC Nom d'hôte Has Endpoint Sensor État de l'isolation Domaine AD |
(Hôte, adresse IP, adresse MAC) |
| Tableau du mur des cas | Name: Found UDSO Colonne : Entité Remarque Action |
(URL, hachage, adresse IP) |
Créer un UDSO de fichier
Description
Créez un objet suspect défini par l'utilisateur à partir d'un fichier dans Trend Micro Apex Central.
Problèmes connus
Lorsque vous travaillez avec des fichiers .eml, l'action ne renvoie pas le résultat JSON.
Paramètres
| Nom | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|
| Chemins des fichiers | N/A | Oui | Spécifiez une liste de chemins d'accès aux fichiers séparés par une virgule qui doivent être utilisés pour créer une source de données utilisateur. |
| Action | Bloquer Valeurs possibles : Bloquer Journal Mettre l'e-mail en quarantaine |
Oui | Indiquez l'action à appliquer à l'UDSO. |
| Remarque | N/A | Faux | Spécifiez une note supplémentaire pour l'UDSO fourni. Avertissement : La note ne peut pas contenir plus de 256 caractères. |
| Expire dans (jours) | N/A | Faux | Indiquez le nombre de jours avant l'expiration de l'UDSO. Si aucune valeur n'est fournie, l'UDSO n'expirera jamais. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| si l'opération a réussi pour un fichier. | vrai | faux | L'UDSO a bien été créé à partir des fichiers suivants dans Trend Micro Apex Central : {\n file paths} |
| si l'opération échoue pour une entité ; | vrai | faux | L'action n'a pas pu créer d'UDSO à partir des fichiers suivants dans Trend Micro Apex Central : {\n file paths} |
| Si elle existe déjà | vrai | faux | Les UDSO suivants existent déjà dans Trend Micro Apex Central : {\n file paths} |
| ne fonctionne pas pour tous | faux | faux | Aucun UDSO n'a été créé dans Trend Micro Apex Central. |
| Erreur fatale, identifiants non valides, racine de l'API | faux | vrai | Erreur lors de l'exécution de l'action "Créer un fichier UDSO". Motif : {error traceback} |
| Si la note comporte plus de 256 caractères | faux | vrai | Erreur lors de l'exécution de l'action "Créer un fichier UDSO". Motif : la note ne peut pas contenir plus de 256 caractères. |
Créer une UDSO d'entité
Description
Créez un objet suspect défini par l'utilisateur en fonction des entités dans Trend Micro Apex Central. Entités acceptées : adresse IP, URL, hachage.
Paramètres
| Nom | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|
| Action | Bloquer Valeurs possibles : Bloquer Journal |
Oui | Indiquez l'action à appliquer à l'UDSO. |
| Remarque | N/A | Faux | Spécifiez une note supplémentaire pour l'UDSO fourni. Avertissement : La note ne peut pas contenir plus de 256 caractères. |
| Expire dans (jours) | N/A | Faux | Indiquez le nombre de jours avant l'expiration de l'UDSO. Si aucune valeur n'est fournie, l'UDSO n'expirera jamais. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- URL
- Hash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| si l'opération réussit pour une entité | vrai | faux | L'UDSO a bien été créé en fonction des entités suivantes dans Trend Micro Apex Central : {\n entity.identifier} |
| si l'opération échoue pour une entité ; | vrai | faux | L'action n'a pas pu créer de UDSO en fonction des entités suivantes dans Trend Micro Apex Central : {\n entity.identifier} |
| Si elle existe déjà | vrai | faux | Les UDSO suivants existent déjà dans Trend Micro Apex Central : {\n entity.identifier} |
| ne fonctionne pas pour tous | faux | faux | Aucun UDSO n'a été créé dans Trend Micro Apex Central. |
| Erreur fatale, identifiants non valides, racine de l'API | faux | vrai | Erreur lors de l'exécution de l'action "Create Entity UDSO". Motif : {error traceback} |
| Si la note comporte plus de 256 caractères | faux | vrai | Erreur lors de l'exécution de l'action "Create Entity UDSO". Motif : la note ne peut pas contenir plus de 256 caractères. |
Points de terminaison Unisolate
Description
Désisolez les points de terminaison dans Trend Micro Apex Central. Entités acceptées : adresse IP, adresse MAC, nom d'hôte.
Paramètres
| Nom | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Adresse MAC
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| si l'opération réussit pour une entité | vrai | faux | Les points de terminaison suivants ont été désisolés dans Trend Micro Apex Central : {\n entity.identifier} |
| si l'opération échoue pour une entité ; | vrai | faux | L'action n'a pas pu désisoler les points de terminaison suivants dans Trend Micro Apex Central : {\n entity.identifier} |
| ne fonctionne pas pour tous | faux | faux | Aucun point de terminaison n'a été désisolé dans Trend Micro Apex Central. |
| Message asynchrone | faux | faux | L'annulation de l'isolation des points de terminaison suivants a été lancée : {entity.identifier}. En attente de la fin de l'annulation de l'isolation. |
| Message d'expiration du délai | faux | faux | L'action de désisolation a été lancée, mais elle est toujours en attente pour les points de terminaison suivants : {entity.identifier}. Veuillez envisager d'augmenter le délai d'expiration dans l'IDE. |
| Erreur fatale, identifiants non valides, racine de l'API | faux | vrai | Erreur lors de l'exécution de l'action "Unisolate Endpoints". Motif : {error traceback} |
Isoler les points de terminaison
Description
Isoler les points de terminaison dans Trend Micro Apex Central Entités acceptées : adresse IP, adresse MAC, nom d'hôte.
Paramètres
| Nom | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Adresse MAC
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| si l'opération réussit pour une entité | vrai | faux | Les points de terminaison suivants ont bien été isolés dans Trend Micro Apex Central : {\n entity.identifier} |
| si l'opération échoue pour une entité ; | vrai | faux | L'action n'a pas pu isoler les points de terminaison suivants dans Trend Micro Apex Central : {\n entity.identifier} |
| ne fonctionne pas pour tous | faux | faux | Aucun point de terminaison n'a été isolé dans Trend Micro Apex Central. |
| Message asynchrone | faux | faux | L'isolation des points de terminaison suivants a été lancée : {entity.identifier}. En attente de la fin de l'isolement. |
| Message d'expiration du délai | vrai | faux | L'isolation a été lancée, mais elle est toujours en attente pour les points de terminaison suivants : {entity.identifier}. Veuillez envisager d'augmenter le délai d'expiration dans l'IDE. |
| Erreur fatale, identifiants non valides, racine de l'API | faux | vrai | Erreur lors de l'exécution de l'action "Isoler les points de terminaison". Motif : {error traceback} |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.