Trend Micro Apex Central
Versão da integração: 4.0
Como obter a chave da API
Para mais informações sobre como obter a chave da API, consulte o artigo Adicionar uma aplicação.
Configure a integração do Trend Micro Apex Central no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | http://x.x.x.x | Sim | Raiz da API da instância do Trend Micro Apex Central. |
| ID da aplicação | String | N/A | Sim | ID da aplicação da instância do Trend Micro Apex Central. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da instância do Trend Micro Apex Central. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Trend Micro Apex Central é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Trend Micro Apex Central com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se for bem-sucedido: Sem êxito: não foi possível estabelecer ligação ao servidor do Trend Micro Apex Central! Error: {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do Trend Micro Apex Central. Entidades suportadas: endereço IP, endereço MAC, nome do anfitrião, URL e hash.
Parâmetros
entidade| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| Crie estatísticas de pontos finais | True | Não | Se estiver ativada, a ação cria uma estatística com as informações relativas aos pontos finais que foram enriquecidos. |
| Crie estatísticas de UDSO | True | Não | Se estiver ativada, a ação cria uma estatística com as informações relativas às entidades que corresponderam ao UDSO. |
| Marcar entidades UDSO | True | Não | Se estiver ativada, a ação marca todas as entidades que foram vistas na lista de objetos suspeitos definidos pelo utilizador como suspeitas. |
| Extraia o domínio | Falso | Não | Se estiver ativada, a ação extrai a parte do domínio da entidade de URL e usa-a para o enriquecimento. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do anfitrião
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Enriquecimento de entidades
Host, IP, MAC
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ip_address | Devolve se existir no resultado JSON. |
| mac_address | Devolve se existir no resultado JSON. |
| hostname | Devolve se existir no resultado JSON. |
| has_endpoint_sensor | Devolve se existir no resultado JSON. |
| isolation_status | Devolve se existir no resultado JSON. |
| ad_domain | Devolve se existir no resultado JSON. |
URL, hash, IP
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| escrever | Devolve se existir no resultado JSON. |
| nota | Devolve se existir no resultado JSON. |
| ação | Devolve se existir no resultado JSON. |
| expiração | Devolve se existir no resultado JSON. |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
| Tabela de parede da caixa | Nome: pontos finais encontrados Coluna: Endereço IP Endereço MAC Nome do anfitrião Tem sensor de ponto final Estado de isolamento Domínio AD |
(Anfitrião, IP, MAC) |
| Tabela de parede da caixa | Nome: UDSO encontrado Coluna: Entidade Nota Ação |
(URL, hash, IP) |
Crie um UDSO de ficheiro
Descrição
Crie um objeto suspeito definido pelo utilizador com base num ficheiro no Trend Micro Apex Central.
Problemas Conhecidos
Quando trabalha com ficheiros .eml, a ação não devolve o resultado JSON.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| Caminhos de ficheiros | N/A | Sim | Especifique uma lista de caminhos de ficheiros separados por vírgulas que tem de ser usada para criar um UDSO. |
| Ação | Bloquear Valores possíveis: Bloquear Registo Quarentena |
Sim | Especifique a ação que deve ser aplicada ao UDSO. |
| Nota | N/A | Falso | Especifique uma nota adicional para o UDSO fornecido. Aviso: a nota não pode conter mais de 256 carateres. |
| Expira dentro de (dias) | N/A | Falso | Especifique em quantos dias o UDSO deve expirar. Se não for especificado nada, o UDSO nunca expira. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Caixa | Concluído | Falha | Mensagem |
|---|---|---|---|
| se for bem-sucedido para 1 ficheiro | verdadeiro | falso | UDSO criado com êxito com base nos seguintes ficheiros no Trend Micro Apex Central: {\n file paths} |
| Se não for bem-sucedida para 1 entidade | verdadeiro | falso | Não foi possível criar o UDSO com base nos seguintes ficheiros no Trend Micro Apex Central: {\n file paths} |
| Se já existir | verdadeiro | falso | Os seguintes UDSO já existem no Trend Micro Apex Central: {\n file paths} |
| não tiverem êxito para todos | falso | falso | Não foram criados UDSO no Trend Micro Apex Central. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de ficheiro". Motivo: {error traceback} |
| Se a nota tiver mais de 256 carateres | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de ficheiro". Motivo: a nota não pode conter mais de 256 carateres. |
Crie um UDSO de entidade
Descrição
Crie um objeto suspeito definido pelo utilizador com base nas entidades no Trend Micro Apex Central. Entidades suportadas: IP, URL e hash.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| Ação | Bloquear Valores possíveis: Bloquear Registo |
Sim | Especifique a ação que deve ser aplicada ao UDSO. |
| Nota | N/A | Falso | Especifique uma nota adicional para o UDSO fornecido. Aviso: a nota não pode conter mais de 256 carateres. |
| Expira dentro de (dias) | N/A | Falso | Especifique em quantos dias o UDSO deve expirar. Se não for especificado nada, o UDSO nunca expira. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Caixa | Concluído | Falha | Mensagem |
|---|---|---|---|
| se for bem-sucedido para 1 entidade | verdadeiro | falso | O UDSO foi criado com êxito com base nas seguintes entidades no Trend Micro Apex Central: {\n entity.identifier} |
| Se não for bem-sucedida para 1 entidade | verdadeiro | falso | Não foi possível criar o UDSO com base nas seguintes entidades no Trend Micro Apex Central: {\n entity.identifier} |
| Se já existir | verdadeiro | falso | Os seguintes UDSO já existem no Trend Micro Apex Central: {\n entity.identifier} |
| não tiverem êxito para todos | falso | falso | Não foram criados UDSO no Trend Micro Apex Central. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Create Entity UDSO". Motivo: {error traceback} |
| Se a nota tiver mais de 256 carateres | falso | verdadeiro | Erro ao executar a ação "Create Entity UDSO". Motivo: a nota não pode conter mais de 256 carateres. |
Unisolate Endpoints
Descrição
Anule o isolamento dos endpoints no Trend Micro Apex Central. Entidades suportadas: IP, MAC e nome de anfitrião.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Caixa | Concluído | Falha | Mensagem |
|---|---|---|---|
| se for bem-sucedido para 1 entidade | verdadeiro | falso | Os seguintes pontos finais foram desisolados com êxito no Trend Micro Apex Central: {\n entity.identifier} |
| Se não for bem-sucedida para 1 entidade | verdadeiro | falso | Não foi possível anular o isolamento dos seguintes pontos finais no Trend Micro Apex Central: {\n entity.identifier} |
| não tiverem êxito para todos | falso | falso | Não foram desisolados pontos finais no Trend Micro Apex Central. |
| Mensagem assíncrona | falso | falso | Isolamento de pontos finais anulado nos seguintes pontos finais: {entity.identifier}. A aguardar a conclusão da anulação do isolamento. |
| Mensagem de tempo limite | falso | falso | A ação iniciou a anulação do isolamento, mas ainda está pendente para os seguintes pontos finais: {entity.identifier}. Considere aumentar o limite de tempo no IDE. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Unisolate Endpoints". Motivo: {error traceback} |
Isolar pontos finais
Descrição
Isole pontos finais no Trend Micro Apex Central. Entidades suportadas: IP, MAC e nome de anfitrião.
Parâmetros
| Nome | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Caixa | Concluído | Falha | Mensagem |
|---|---|---|---|
| se for bem-sucedido para 1 entidade | verdadeiro | falso | Os seguintes pontos finais foram isolados com êxito no Trend Micro Apex Central: {\n entity.identifier} |
| Se não for bem-sucedida para 1 entidade | verdadeiro | falso | Não foi possível isolar os seguintes pontos finais no Trend Micro Apex Central: {\n entity.identifier} |
| não tiverem êxito para todos | falso | falso | Não foram isolados pontos finais no Trend Micro Apex Central. |
| Mensagem assíncrona | falso | falso | Isolamento de pontos finais iniciado nos seguintes pontos finais: {entity.identifier}. A aguardar a conclusão do isolamento. |
| Mensagem de tempo limite | verdadeiro | falso | A ação iniciou o isolamento, mas ainda está pendente para os seguintes pontos finais: {entity.identifier}. Considere aumentar o limite de tempo no IDE. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Isolar pontos finais". Motivo: {error traceback} |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.