Trend Micro Apex Central
集成版本:4.0
如何获取 API 密钥
如需详细了解如何获取 API 密钥,请参阅添加应用。
在 Google Security Operations 中配置 Trend Micro Apex Central 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | http://x.x.x.x | 是 | Trend Micro Apex Central 实例的 API 根。 |
| 应用 ID | 字符串 | 不适用 | 是 | Trend Micro Apex Central 实例的应用 ID。 |
| API 密钥 | 密码 | 不适用 | 是 | Trend Micro Apex Central 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 Trend Micro Apex Central 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Trend Micro Apex Central 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功: 不成功:未能连接到 Trend Micro Apex Central 服务器!错误:{0}".format(exception.stacktrace) |
常规 |
丰富实体
说明
利用 Trend Micro Apex Central 中的信息丰富实体。支持的实体:IP 地址、MAC 地址、主机名、网址、哈希值。
参数
实体| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 创建端点数据洞见 | 正确 | 否 | 如果启用,操作将创建一条包含有关已扩充端点的信息的分析。 |
| 创建 UDSO 分析数据 | 正确 | 否 | 如果启用,操作将创建一条包含与 UDSO 匹配的实体相关信息的分析。 |
| 标记 UDSO 实体 | 正确 | 否 | 如果启用,此操作会将“用户定义的可疑对象”列表中看到的所有实体标记为可疑。 |
| 提取网域 | 错误 | 否 | 如果启用,操作将提取网址实体的网域部分并将其用于丰富化。 |
运行于
此操作适用于以下实体:
- IP 地址
- MAC 地址
- 主机名
- 网址
- 哈希
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
实体扩充
主机、IP、MAC
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| ip_address | 如果存在于 JSON 结果中,则返回。 |
| mac_address | 如果存在于 JSON 结果中,则返回。 |
| 主机名 | 如果存在于 JSON 结果中,则返回。 |
| has_endpoint_sensor | 如果存在于 JSON 结果中,则返回。 |
| isolation_status | 如果存在于 JSON 结果中,则返回。 |
| ad_domain | 如果存在于 JSON 结果中,则返回。 |
网址、哈希、IP
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 类型 | 如果存在于 JSON 结果中,则返回。 |
| note | 如果存在于 JSON 结果中,则返回。 |
| 操作 | 如果存在于 JSON 结果中,则返回。 |
| 到期 | 如果存在于 JSON 结果中,则返回。 |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
| “案例墙”表格 | 名称:找到的端点 列: IP 地址 MAC 地址 主机名 具有端点传感器 隔离状态 AD 网域 |
(主机、IP、MAC) |
| “案例墙”表格 | 名称:找到 UDSO 列: 实体 注意 操作 |
(网址、哈希、IP) |
创建文件 UDSO
说明
基于 Trend Micro Apex Central 中的文件创建用户定义的可疑对象。
已知问题
处理 .eml 文件时,该操作不会返回 JSON 结果。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 文件路径 | 不适用 | 是 | 指定以逗号分隔的文件路径列表,这些路径需要用于创建 UDSO。 |
| 操作 | 屏蔽 可能的值: 屏蔽 日志 隔离 |
是 | 指定应针对 UDSO 采取的操作。 |
| 注意 | 不适用 | 错误 | 为提供的 UDSO 指定其他备注。警告:备注不能超过 256 个字符。 |
| 失效时间(天) | 不适用 | 错误 | 指定 UDSO 应在多少天后失效。如果未提供任何内容,UDSO 将永不过期。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功导出 1 个文件 | true | false | 已成功基于 Trend Micro Apex Central 中的以下文件创建 UDSO:{\n file paths} |
| 如果 1 个实体的操作未成功 | true | false | 无法基于 Trend Micro Apex Central 中的以下文件创建 UDSO:{\n file paths} |
| 如果已存在 | true | false | Trend Micro Apex Central 中已存在以下 UDSO:{\n file paths} |
| 并非对所有人都有效 | false | false | 未在 Trend Micro Apex Central 中创建任何 UDSO。 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“创建文件 UDSO”时出错。原因:{error traceback} |
| 如果备注超过 256 个字符 | false | true | 执行操作“创建文件 UDSO”时出错。原因:备注不得超过 256 个字符。 |
创建实体 UDSO
说明
根据 Trend Micro Apex Central 中的实体创建用户定义的可疑对象。支持的实体:IP、网址、哈希值。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 操作 | 屏蔽 可能的值: 屏蔽 日志 |
是 | 指定应针对 UDSO 采取的操作。 |
| 注意 | 不适用 | 错误 | 为提供的 UDSO 指定其他备注。警告:备注不能超过 256 个字符。 |
| 失效时间(天) | 不适用 | 错误 | 指定 UDSO 应在多少天后失效。如果未提供任何内容,UDSO 将永不过期。 |
运行于
此操作适用于以下实体:
- IP 地址
- 网址
- 哈希
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功处理了 1 个实体 | true | false | 已成功基于 Trend Micro Apex Central 中的以下实体创建 UDSO:{\n entity.identifier} |
| 如果 1 个实体的操作未成功 | true | false | 无法根据 Trend Micro Apex Central 中的以下实体创建 UDSO:{\n entity.identifier} |
| 如果已存在 | true | false | 以下 UDSO 已存在于 Trend Micro Apex Central 中:{\n entity.identifier} |
| 并非对所有人都有效 | false | false | 未在 Trend Micro Apex Central 中创建任何 UDSO。 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“创建实体 UDSO”时出错。原因:{error traceback} |
| 如果备注超过 256 个字符 | false | true | 执行操作“创建实体 UDSO”时出错。原因:备注不得超过 256 个字符。 |
Unisolate 端点
说明
在 Trend Micro Apex Central 中取消隔离端点。支持的实体:IP、Mac、主机名。
参数
| 名称 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|
| 不适用 | 不适用 | 不适用 | 不适用 |
运行于
此操作适用于以下实体:
- IP 地址
- MAC 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功处理了 1 个实体 | true | false | 已成功取消隔离 Trend Micro Apex Central 中的以下端点:{\n entity.identifier} |
| 如果 1 个实体的操作未成功 | true | false | 无法在 Trend Micro Apex Central 中取消隔离以下端点:{\n entity.identifier} |
| 并非对所有人都有效 | false | false | Trend Micro Apex Central 中没有端点被解除隔离。 |
| 异步消息 | false | false | 已在以下端点上启动端点隔离解除:{entity.identifier}。等待取消隔离完成。 |
| 超时消息 | false | false | 已启动取消隔离操作,但以下端点仍处于待处理状态:{entity.identifier}。 请考虑在 IDE 中延长超时时间。 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“取消隔离端点”时出错。原因:{error traceback} |
隔离端点
说明
在 Trend Micro Apex Central 中隔离端点。支持的实体:IP、Mac、主机名。
参数
| 名称 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|
| 不适用 | 不适用 | 不适用 | 不适用 |
运行于
此操作适用于以下实体:
- IP 地址
- MAC 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功处理了 1 个实体 | true | false | 已成功在 Trend Micro Apex Central 中隔离以下端点:{\n entity.identifier} |
| 如果 1 个实体的操作未成功 | true | false | 操作无法在 Trend Micro Apex Central 中隔离以下端点:{\n entity.identifier} |
| 并非对所有人都有效 | false | false | Trend Micro Apex Central 中没有隔离任何端点。 |
| 异步消息 | false | false | 已在以下端点上启动端点隔离:{entity.identifier}。等待隔离完成。 |
| 超时消息 | true | false | 已启动隔离操作,但以下端点仍处于待处理状态:{entity.identifier}。 请考虑在 IDE 中延长超时时间。 |
| 严重错误、凭据无效、API 根 | false | true | 执行“隔离端点”操作时出错。原因:{error traceback} |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。