Trend Micro Apex Central
Versione integrazione: 4.0
Come ottenere la chiave API
Per saperne di più su come ottenere la chiave API, consulta la sezione Aggiunta di un'applicazione.
Configura l'integrazione di Trend Micro Apex Central in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | http://x.x.x.x | Sì | Radice API dell'istanza di Trend Micro Apex Central. |
| ID applicazione | Stringa | N/D | Sì | ID applicazione dell'istanza di Trend Micro Apex Central. |
| Chiave API | Password | N/D | Sì | Chiave API dell'istanza Trend Micro Apex Central. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Trend Micro Apex Central sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a Trend Micro Apex Central con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: Non riuscito: impossibile connettersi al server Trend Micro Apex Central. Errore: {0}".format(exception.stacktrace) |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità con le informazioni di Trend Micro Apex Central. Entità supportate: indirizzo IP, indirizzo MAC, nome host, URL, hash.
Parametri
entità| Nome | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|
| Crea approfondimento sull'endpoint | Vero | No | Se abilitata, l'azione creerà un insight contenente le informazioni sugli endpoint arricchiti. |
| Crea approfondimento UDSO | Vero | No | Se attivata, l'azione creerà un insight contenente le informazioni sulle entità che corrispondono all'UDSO. |
| Mark UDSO Entities | Vero | No | Se abilitata, l'azione contrassegnerà come sospette tutte le entità visualizzate nell'elenco degli oggetti sospetti definiti dall'utente. |
| Estrai dominio | Falso | No | Se abilitata, l'azione estrae la parte del dominio dell'entità URL e la utilizza per l'arricchimento. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Indirizzo MAC
- Nome host
- URL
- Hash
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Arricchimento delle entità
Host, IP, MAC
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| ip_address | Restituisce il valore se esiste nel risultato JSON. |
| mac_address | Restituisce il valore se esiste nel risultato JSON. |
| nome host | Restituisce il valore se esiste nel risultato JSON. |
| has_endpoint_sensor | Restituisce il valore se esiste nel risultato JSON. |
| isolation_status | Restituisce il valore se esiste nel risultato JSON. |
| ad_domain | Restituisce il valore se esiste nel risultato JSON. |
URL, hash, IP
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| tipo | Restituisce il valore se esiste nel risultato JSON. |
| nota | Restituisce il valore se esiste nel risultato JSON. |
| azione | Restituisce il valore se esiste nel risultato JSON. |
| scadenza | Restituisce il valore se esiste nel risultato JSON. |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
| Tabella Bacheca casi | Nome:endpoint trovati Colonna: Indirizzo IP Indirizzo MAC Nome host Has Endpoint Sensor Stato di isolamento Dominio AD |
(Host, IP, MAC) |
| Tabella Bacheca casi | Nome: Found UDSO Colonna: Entità Nota Azione |
(URL, hash, IP) |
Crea UDSO file
Descrizione
Crea un oggetto sospetto definito dall'utente in base a un file in Trend Micro Apex Central.
Problemi noti
Quando utilizzi file .eml, l'azione non restituirà il risultato JSON.
Parametri
| Nome | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|
| Percorsi file | N/D | Sì | Specifica un elenco separato da virgole di percorsi dei file da utilizzare per creare un UDSO. |
| Azione | Blocca Valori possibili: Blocca Log Quarantena |
Sì | Specifica l'azione da applicare all'UDSO. |
| Nota | N/D | Falso | Specifica una nota aggiuntiva per l'UDSO fornito. Avviso: la nota non può contenere più di 256 caratteri. |
| Scadenza (giorni) | N/D | Falso | Specifica dopo quanti giorni deve scadere l'UDSO. Se non viene fornito nulla, UDSO non scadrà mai. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Richiesta | Operazione riuscita | Fail | Messaggio |
|---|---|---|---|
| se l'operazione ha esito positivo per 1 file | true | falso | UDSO creato correttamente in base ai seguenti file in Trend Micro Apex Central: {\n file paths} |
| se non è andato a buon fine per un'entità | true | falso | L'azione non è riuscita a creare UDSO in base ai seguenti file in Trend Micro Apex Central: {\n file paths} |
| Se esiste già | true | falso | I seguenti UDSO esistono già in Trend Micro Apex Central: {\n file paths} |
| non ha avuto successo per tutti | falso | falso | Non sono stati creati UDSO in Trend Micro Apex Central. |
| Errore irreversibile, credenziali non valide, radice API | falso | true | Errore durante l'esecuzione dell'azione "Crea UDSO file". Motivo: {error traceback} |
| Se la nota supera i 256 caratteri | falso | true | Errore durante l'esecuzione dell'azione "Crea UDSO file". Motivo: la nota non può contenere più di 256 caratteri. |
Crea UDSO entità
Descrizione
Crea un oggetto sospetto definito dall'utente in base alle entità in Trend Micro Apex Central. Entità supportate: IP, URL, hash.
Parametri
| Nome | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|
| Azione | Blocca Valori possibili: Blocca Log |
Sì | Specifica l'azione da applicare all'UDSO. |
| Nota | N/D | Falso | Specifica una nota aggiuntiva per l'UDSO fornito. Avviso: la nota non può contenere più di 256 caratteri. |
| Scadenza (giorni) | N/D | Falso | Specifica dopo quanti giorni deve scadere l'UDSO. Se non viene fornito nulla, UDSO non scadrà mai. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- URL
- Hash
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Richiesta | Operazione riuscita | Fail | Messaggio |
|---|---|---|---|
| se l'operazione ha esito positivo per un'entità | true | falso | UDSO creato correttamente in base alle seguenti entità in Trend Micro Apex Central: {\n entity.identifier} |
| se non è andato a buon fine per un'entità | true | falso | L'azione non è riuscita a creare UDSO in base alle seguenti entità in Trend Micro Apex Central: {\n entity.identifier} |
| Se esiste già | true | falso | Il seguente UDSO esiste già in Trend Micro Apex Central: {\n entity.identifier} |
| non ha avuto successo per tutti | falso | falso | Non sono stati creati UDSO in Trend Micro Apex Central. |
| Errore irreversibile, credenziali non valide, radice API | falso | true | Errore durante l'esecuzione dell'azione "Crea UDSO entità". Motivo: {error traceback} |
| Se la nota supera i 256 caratteri | falso | true | Errore durante l'esecuzione dell'azione "Crea UDSO entità". Motivo: la nota non può contenere più di 256 caratteri. |
Unisolate Endpoints
Descrizione
Rimuovi l'isolamento degli endpoint in Trend Micro Apex Central. Entità supportate: IP, Mac, Nome host.
Parametri
| Nome | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|
| N/D | N/D | N/D | N/D |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Indirizzo MAC
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Richiesta | Operazione riuscita | Fail | Messaggio |
|---|---|---|---|
| se l'operazione ha esito positivo per un'entità | true | falso | Annullamento dell'isolamento dei seguenti endpoint in Trend Micro Apex Central riuscito: {\n entity.identifier} |
| se non è andato a buon fine per un'entità | true | falso | L'azione non è riuscita a isolare gli endpoint seguenti in Trend Micro Apex Central: {\n entity.identifier} |
| non ha avuto successo per tutti | falso | falso | Nessun endpoint è stato isolato in Trend Micro Apex Central. |
| Messaggio asincrono | falso | falso | È stato avviato l'annullamento dell'isolamento dell'endpoint sui seguenti endpoint: {entity.identifier}. In attesa del completamento dell'annullamento dell'isolamento. |
| Messaggio di timeout | falso | falso | L'azione ha avviato l'isolamento, ma è ancora in attesa per i seguenti endpoint: {entity.identifier}. Valuta la possibilità di aumentare il timeout nell'IDE. |
| Errore irreversibile, credenziali non valide, radice API | falso | true | Errore durante l'esecuzione dell'azione "Unisolate Endpoints". Motivo: {error traceback} |
Isolare gli endpoint
Descrizione
Isola gli endpoint in Trend Micro Apex Central. Entità supportate: IP, Mac, Nome host.
Parametri
| Nome | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|
| N/D | N/D | N/D | N/D |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Indirizzo MAC
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Richiesta | Operazione riuscita | Fail | Messaggio |
|---|---|---|---|
| se l'operazione ha esito positivo per un'entità | true | falso | Isolamento riuscito dei seguenti endpoint in Trend Micro Apex Central: {\n entity.identifier} |
| se non è andato a buon fine per un'entità | true | falso | L'azione non è riuscita a isolare i seguenti endpoint in Trend Micro Apex Central: {\n entity.identifier} |
| non ha avuto successo per tutti | falso | falso | Nessun endpoint è stato isolato in Trend Micro Apex Central. |
| Messaggio asincrono | falso | falso | È stato avviato l'isolamento dell'endpoint sui seguenti endpoint: {entity.identifier}. In attesa del completamento dell'isolamento. |
| Messaggio di timeout | true | falso | L'isolamento avviato dall'azione è ancora in attesa per i seguenti endpoint: {entity.identifier}. Valuta la possibilità di aumentare il timeout nell'IDE. |
| Errore irreversibile, credenziali non valide, radice API | falso | true | Errore durante l'esecuzione dell'azione "Isola endpoint". Motivo: {error traceback} |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.