Trend Micro Apex Central
統合バージョン: 4.0
API キーを取得する方法
API キーの取得方法については、アプリケーションの追加をご覧ください。
Google Security Operations で Trend Micro Apex Central の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | http://x.x.x.x | はい | Trend Micro Apex Central インスタンスの API ルート。 |
| アプリケーション ID | 文字列 | なし | はい | Trend Micro Apex Central インスタンスのアプリケーション ID。 |
| API キー | パスワード | なし | はい | Trend Micro Apex Central インスタンスの API キー。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Trend Micro Apex Central サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trend Micro Apex Central への接続性をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功した場合: 成功しなかった場合: Trend Micro Apex Central サーバーへの接続に失敗しました。エラー: {0}」format(exception.stacktrace) |
全般 |
エンティティの拡充
説明
Trend Micro Apex Central の情報を使用してエンティティを拡充します。サポートされるエンティティ: IP アドレス、MAC アドレス、ホスト名、URL、ハッシュ。
パラメータ
エンティティ| 名前 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|
| エンドポイント インサイトを作成する | 正しい | いいえ | 有効にすると、アクションによって、拡充されたエンドポイントに関する情報で構成される分析情報が作成されます。 |
| UDSO インサイトを作成する | 正しい | いいえ | 有効にすると、アクションによって UDSO と一致したエンティティに関する情報で構成される分析情報が作成されます。 |
| UDSO エンティティをマークする | 正しい | いいえ | 有効にすると、アクションによって、ユーザー定義の不審なオブジェクトのリストに表示されたすべてのエンティティが不審としてマークされます。 |
| ドメインを抽出 | 誤り | いいえ | 有効にすると、アクションは URL エンティティのドメイン部分を抽出し、拡充に使用します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- MAC アドレス
- ホスト名
- URL
- ハッシュ
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
エンティティ拡充
ホスト、IP、MAC
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ip_address | JSON の結果に存在する場合に返します。 |
| mac_address | JSON の結果に存在する場合に返します。 |
| hostname | JSON の結果に存在する場合に返します。 |
| has_endpoint_sensor | JSON の結果に存在する場合に返します。 |
| isolation_status | JSON の結果に存在する場合に返します。 |
| ad_domain | JSON の結果に存在する場合に返します。 |
URL、ハッシュ、IP
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| type | JSON の結果に存在する場合に返します。 |
| 注意事項 | JSON の結果に存在する場合に返します。 |
| アクション | JSON の結果に存在する場合に返します。 |
| expiration | JSON の結果に存在する場合に返します。 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、Playbook の実行を停止します
|
全般 |
| Case Wall テーブル | 名前: 検出されたエンドポイント 列: IP アドレス MAC アドレス ホスト名 Endpoint Sensor がある 隔離ステータス AD ドメイン |
(ホスト、IP、MAC) |
| Case Wall テーブル | 名前: Found UDSO 列: エンティティ 注 アクション |
(URL、ハッシュ、IP) |
Create File UDSO
説明
Trend Micro Apex Central のファイルに基づいて、ユーザー定義の不審なオブジェクトを作成します。
既知の問題
.eml ファイルを操作する場合、アクションは JSON の結果を返しません。
パラメータ
| Name | デフォルト値 | 必須 | 説明 |
|---|---|---|---|
| File Paths | なし | はい | UDSO の作成に使用する必要があるファイルパスのカンマ区切りのリストを指定します。 |
| アクション | ブロック 有効な値: ブロック ログ 検疫 |
はい | UDSO に適用するアクションを指定します。 |
| 注 | なし | 誤り | 提供された UDSO の追加メモを指定します。警告: メモは 256 文字以下にする必要があります。 |
| 有効期限(日数) | なし | 誤り | UDSO の有効期限が切れるまでの日数を指定します。何も指定しない場合、UDSO は期限切れになりません。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| ケース | 完了 | 不合格 | メッセージ |
|---|---|---|---|
| 1 つのファイルで成功した場合 | true | false | Trend Micro Apex Central の次のファイルに基づいて UDSO が正常に作成されました: {\n file paths} |
| 1 つのエンティティで成功しなかった場合 | true | false | Trend Micro Apex Central の次のファイルに基づいて UDSO を作成できませんでした: {\n file paths} |
| すでに存在する場合 | true | false | 次の UDSO は Trend Micro Apex Central にすでに存在します: {\n ファイルパス} |
| すべてのユーザーに成功するとは限りません。 | false | false | Trend Micro Apex Central で UDSO が作成されていません。 |
| 致命的なエラー、無効な認証情報、API ルート | false | true | アクション「ファイル UDSO の作成」の実行エラー。理由: {エラー トレースバック} |
| メモが 256 文字を超える場合 | false | true | アクション「ファイル UDSO の作成」の実行エラー。理由: メモは 256 文字以内にする必要があります。 |
エンティティ UDSO を作成する
説明
Trend Micro Apex Central のエンティティに基づいて、ユーザー定義の不審なオブジェクトを作成します。サポートされるエンティティ: IP、URL、ハッシュ。
パラメータ
| Name | デフォルト値 | 必須 | 説明 |
|---|---|---|---|
| アクション | ブロック 有効な値: ブロック ログ |
はい | UDSO に適用するアクションを指定します。 |
| 注 | なし | 誤り | 提供された UDSO の追加メモを指定します。警告: メモは 256 文字以下にする必要があります。 |
| 有効期限(日数) | なし | 誤り | UDSO の有効期限が切れるまでの日数を指定します。何も指定しない場合、UDSO は期限切れになりません。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- URL
- ハッシュ
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| ケース | 完了 | 不合格 | メッセージ |
|---|---|---|---|
| 1 つのエンティティで成功した場合 | true | false | Trend Micro Apex Central の次のエンティティに基づいて UDSO が正常に作成されました: {\n entity.identifier} |
| 1 つのエンティティで成功しなかった場合 | true | false | アクションによって、Trend Micro Apex Central の次のエンティティに基づいて UDSO を作成できませんでした: {\n entity.identifier} |
| すでに存在する場合 | true | false | 次の UDSO は Trend Micro Apex Central にすでに存在します: {\n entity.identifier} |
| すべてのユーザーに成功するとは限りません。 | false | false | Trend Micro Apex Central で UDSO が作成されていません。 |
| 致命的なエラー、無効な認証情報、API ルート | false | true | アクション「エンティティ UDSO の作成」の実行中にエラーが発生しました。理由: {エラー トレースバック} |
| メモが 256 文字を超える場合 | false | true | アクション「エンティティ UDSO の作成」の実行中にエラーが発生しました。理由: メモは 256 文字以内にする必要があります。 |
エンドポイントの分離を解除する
説明
Trend Micro Apex Central でエンドポイントの分離を解除します。サポートされるエンティティ: IP、MAC、ホスト名。
パラメータ
| Name | デフォルト値 | 必須 | 説明 |
|---|---|---|---|
| なし | なし | なし | なし |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- MAC アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| ケース | 完了 | 不合格 | メッセージ |
|---|---|---|---|
| 1 つのエンティティで成功した場合 | true | false | Trend Micro Apex Central で次のエンドポイントの隔離が正常に解除されました: {\n entity.identifier} |
| 1 つのエンティティで成功しなかった場合 | true | false | アクションによって、Trend Micro Apex Central で次のエンドポイントの分離を解除できませんでした: {\n entity.identifier} |
| すべてのユーザーに成功するとは限りません。 | false | false | Trend Micro Apex Central で分離が解除されたエンドポイントはありませんでした。 |
| 非同期メッセージ | false | false | 次のエンドポイントでエンドポイントの分離解除を開始しました: {entity.identifier}。分離解除が完了するのを待機しています。 |
| タイムアウト メッセージ | false | false | アクションによって分離解除が開始されましたが、次のエンドポイントでまだ保留中です: {entity.identifier}。 IDE でタイムアウトを長くすることを検討してください。 |
| 致命的なエラー、無効な認証情報、API ルート | false | true | 「エンドポイントの隔離解除」アクションの実行中にエラーが発生しました。理由: {エラー トレースバック} |
エンドポイントを隔離する
説明
Trend Micro Apex Central でエンドポイントを隔離します。サポートされるエンティティ: IP、MAC、ホスト名。
パラメータ
| Name | デフォルト値 | 必須 | 説明 |
|---|---|---|---|
| なし | なし | なし | なし |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- MAC アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| ケース | 完了 | 不合格 | メッセージ |
|---|---|---|---|
| 1 つのエンティティで成功した場合 | true | false | Trend Micro Apex Central で次のエンドポイントが正常に分離されました: {\n entity.identifier} |
| 1 つのエンティティで成功しなかった場合 | true | false | アクションによって、Trend Micro Apex Central で次のエンドポイントを分離できませんでした: {\n entity.identifier} |
| すべてのユーザーに成功するとは限りません。 | false | false | Trend Micro Apex Central で隔離されたエンドポイントはありません。 |
| 非同期メッセージ | false | false | 次のエンドポイントでエンドポイントの隔離を開始しました: {entity.identifier}。分離が完了するのを待機しています。 |
| タイムアウト メッセージ | true | false | アクションによって分離が開始されましたが、次のエンドポイントではまだ保留中です: {entity.identifier}。 IDE でタイムアウトを長くすることを検討してください。 |
| 致命的なエラー、無効な認証情報、API ルート | false | true | アクション「エンドポイントの隔離」の実行中にエラーが発生しました。理由: {エラー トレースバック} |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。