Trend Micro Apex Central
Versão da integração: 4.0
Como conseguir uma chave de API
Para mais informações sobre como conseguir uma chave de API, consulte Adicionar um aplicativo.
Configurar a integração do Trend Micro Apex Central no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | http://x.x.x.x | Sim | Raiz da API da instância do Trend Micro Apex Central. |
| ID do aplicativo | String | N/A | Sim | ID do aplicativo da instância do Trend Micro Apex Central. |
| Chave de API | Senha | N/A | Sim | Chave de API da instância do Trend Micro Apex Central. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor Trend Micro Apex Central é válido. |
Ações
Ping
Descrição
Teste a conectividade com o Trend Micro Apex Central usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a conexão for bem-sucedida: Não foi possível:falha ao se conectar ao servidor do Trend Micro Apex Central. Erro: {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Aprimore entidades com informações do Trend Micro Apex Central. Entidades compatíveis: endereço IP, endereço MAC, nome do host, URL, hash.
Parâmetros
entidade| Nome | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|
| Criar insight de endpoint | Verdadeiro | Não | Se ativada, a ação vai criar um insight com as informações sobre os endpoints enriquecidos. |
| Criar um insight de UDSO | Verdadeiro | Não | Se ativada, a ação vai criar um insight com as informações sobre as entidades que corresponderam à UDSO. |
| Marcar entidades de UDSO | Verdadeiro | Não | Se ativada, a ação vai marcar como suspeitas todas as entidades que foram vistas na lista de objetos suspeitos definidos pelo usuário. |
| Extrair domínio | Falso | Não | Se ativada, a ação vai extrair a parte do domínio da entidade de URL e usá-la para enriquecimento. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do host
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Enriquecimento de entidades
Host, IP, MAC
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ip_address | Retorna se ele existe no resultado JSON. |
| mac_address | Retorna se ele existe no resultado JSON. |
| nome do host | Retorna se ele existe no resultado JSON. |
| has_endpoint_sensor | Retorna se ele existe no resultado JSON. |
| isolation_status | Retorna se ele existe no resultado JSON. |
| ad_domain | Retorna se ele existe no resultado JSON. |
URL, hash, IP
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| tipo | Retorna se ele existe no resultado JSON. |
| nota | Retorna se ele existe no resultado JSON. |
| ação | Retorna se ele existe no resultado JSON. |
| expiration | Retorna se ele existe no resultado JSON. |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
| Tabela do painel de casos | Nome:Found Endpoints Coluna: Endereço IP Endereço MAC Nome do host Tem sensor de endpoint Status de isolamento Domínio do AD |
(host, IP, MAC) |
| Tabela do painel de casos | Nome:UDSO encontrada Coluna: Entidade Observação Ação |
(URL, hash, IP) |
Criar UDSO de arquivo
Descrição
Crie um objeto suspeito definido pelo usuário com base em um arquivo no Trend Micro Apex Central.
Problemas conhecidos
Ao trabalhar com arquivos .eml, a ação não vai retornar o resultado JSON.
Parâmetros
| Nome | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|
| Caminhos de arquivos | N/A | Sim | Especifique uma lista separada por vírgulas de caminhos de arquivos que precisam ser usados para criar uma UDSO. |
| Ação | Bloquear Valores possíveis: Bloquear Registro Quarentena |
Sim | Especifique qual ação deve ser aplicada à UDSO. |
| Observação | N/A | Falso | Especifique uma observação adicional para a UDSO fornecida. Aviso: a observação não pode ter mais de 256 caracteres. |
| Expira em (dias) | N/A | Falso | Especifique em quantos dias a UDSO vai expirar. Se nada for fornecido, a UDSO nunca vai expirar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Caso | Sucesso | Reprovado | Mensagem |
|---|---|---|---|
| se a operação for bem-sucedida para um arquivo | verdadeiro | falso | A UDSO foi criada com base nos seguintes arquivos do Trend Micro Apex Central: {\n file paths} |
| se não for bem-sucedido para uma entidade | verdadeiro | falso | Não foi possível criar uma UDSO com base nos seguintes arquivos do Trend Micro Apex Central: {\n file paths} |
| Se já existir | verdadeiro | falso | As seguintes UDSOs já existem no Trend Micro Apex Central: {\n file paths} |
| não é bem-sucedida para todos | falso | falso | Nenhum UDSO foi criado no Trend Micro Apex Central. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de arquivo". Motivo: {error traceback} |
| Se a observação tiver mais de 256 caracteres | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de arquivo". Motivo: a observação não pode ter mais de 256 caracteres. |
Criar UDSO de entidade
Descrição
Crie um objeto suspeito definido pelo usuário com base nas entidades do Trend Micro Apex Central. Entidades compatíveis: IP, URL, hash.
Parâmetros
| Nome | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|
| Ação | Bloquear Valores possíveis: Bloquear Registro |
Sim | Especifique qual ação deve ser aplicada à UDSO. |
| Observação | N/A | Falso | Especifique uma observação adicional para a UDSO fornecida. Aviso: a observação não pode ter mais de 256 caracteres. |
| Expira em (dias) | N/A | Falso | Especifique em quantos dias a UDSO vai expirar. Se nada for fornecido, a UDSO nunca vai expirar. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Caso | Sucesso | Reprovado | Mensagem |
|---|---|---|---|
| se for bem-sucedida para uma entidade | verdadeiro | falso | A UDSO foi criada com base nas seguintes entidades no Trend Micro Apex Central: {\n entity.identifier} |
| se não for bem-sucedido para uma entidade | verdadeiro | falso | Não foi possível criar um UDSO com base nas seguintes entidades no Trend Micro Apex Central: {\n entity.identifier} |
| Se já existir | verdadeiro | falso | As seguintes UDSOs já existem no Trend Micro Apex Central: {\n entity.identifier} |
| não é bem-sucedida para todos | falso | falso | Nenhum UDSO foi criado no Trend Micro Apex Central. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de entidade". Motivo: {error traceback} |
| Se a observação tiver mais de 256 caracteres | falso | verdadeiro | Erro ao executar a ação "Criar UDSO de entidade". Motivo: a observação não pode ter mais de 256 caracteres. |
Isolar endpoints
Descrição
Remova o isolamento dos endpoints no Trend Micro Apex Central. Entidades compatíveis: IP, Mac, nome do host.
Parâmetros
| Nome | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Caso | Sucesso | Reprovado | Mensagem |
|---|---|---|---|
| se for bem-sucedida para uma entidade | verdadeiro | falso | Os seguintes endpoints foram removidos do isolamento no Trend Micro Apex Central: {\n entity.identifier} |
| se não for bem-sucedido para uma entidade | verdadeiro | falso | Não foi possível isolar os seguintes endpoints no Trend Micro Apex Central: {\n entity.identifier} |
| não é bem-sucedida para todos | falso | falso | Nenhum endpoint foi isolado no Trend Micro Apex Central. |
| Mensagem assíncrona | falso | falso | Iniciou a remoção do isolamento dos seguintes endpoints: {entity.identifier}. Aguardando a conclusão da remoção do isolamento. |
| Mensagem de tempo limite | falso | falso | A ação iniciou a remoção do isolamento, mas ainda está pendente para os seguintes endpoints: {entity.identifier}. Considere aumentar o tempo limite no ambiente de desenvolvimento integrado. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Unisolate Endpoints". Motivo: {error traceback} |
Isolar endpoints
Descrição
Isole os endpoints no Trend Micro Apex Central. Entidades compatíveis: IP, Mac, nome do host.
Parâmetros
| Nome | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|
| N/A | N/A | N/A | N/A |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Caso | Sucesso | Reprovado | Mensagem |
|---|---|---|---|
| se for bem-sucedida para uma entidade | verdadeiro | falso | Os seguintes endpoints foram isolados no Trend Micro Apex Central: {\n entity.identifier} |
| se não for bem-sucedido para uma entidade | verdadeiro | falso | Não foi possível isolar os seguintes endpoints no Trend Micro Apex Central: {\n entity.identifier} |
| não é bem-sucedida para todos | falso | falso | Nenhum endpoint foi isolado no Trend Micro Apex Central. |
| Mensagem assíncrona | falso | falso | Iniciou o isolamento de endpoint nos seguintes endpoints: {entity.identifier}. Aguardando a conclusão do isolamento. |
| Mensagem de tempo limite | verdadeiro | falso | A ação iniciou o isolamento, mas ainda está pendente para os seguintes endpoints: {entity.identifier}. Considere aumentar o tempo limite no ambiente de desenvolvimento integrado. |
| Erro fatal, credenciais inválidas, raiz da API | falso | verdadeiro | Erro ao executar a ação "Isolar endpoints". Motivo: {error traceback} |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.