Trend Micro Cloud App Security
集成版本:6.0
产品使用场景
执行主动操作 - 丰富实体、搜索电子邮件、更新屏蔽列表、缓解电子邮件/账号问题。
如何生成 API 令牌
- 前往管理 > Automation 和集成 API。
- 按“添加”按钮。
- 选择“For External Application”。
- 提供“名称”,然后选中所有复选框。
- 按“创建令牌”。
- 复制“令牌”。
- 更新集成配置中的“API 密钥”参数。
- 测试连接。
在 Google Security Operations 中配置 Trend Micro Cloud App Security 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://api-eu.tmcas.trendmicro.com | 是 | Trend Micro Cloud App Security 实例的 API 根。 |
| API 密钥 | 密码 | 不适用 | 是 | Trend Micro Cloud App Security 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trend Micro Cloud App Security 服务器的连接所用的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Trend Micro Cloud App Security 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功(is success = true)- 已使用提供的连接参数成功连接到 Trend Micro Cloud App Security 服务器! 如果不成功(is success = false)-无法连接到 Trend Micro Cloud App Security 服务器!错误:{0}".format(exception.stacktrace) |
常规 |
将实体添加到屏蔽名单
说明
在 Trend Micro Cloud App Security 中将实体添加到屏蔽名单。支持的实体:网址、哈希和电子邮件地址(与电子邮件地址模式匹配的用户实体)。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 不适用 | 不适用 | 不适用 | 不适用 |
运行于
此操作适用于以下实体:
- 网址
- 哈希
- 电子邮件
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功处理了 1 个实体 | true | false | 已成功将以下实体添加到 Trend Micro Cloud App Security 中的屏蔽名单:{\n entity.identifier} |
| 如果 1 个实体的操作未成功 | true | false | 操作无法将以下实体添加到 Trend Micro Cloud App Security 中的 blocklist:{\n entity.identifier} |
| 如果存在重复项 | true | false | 以下实体已列入 Trend Micro Cloud App Security 的屏蔽列表:{\n entity.identifier} |
| 并非对所有人都有效 | false | false | 未使用 Trend Micro Cloud App Security 中的信息添加任何实体 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“将实体添加到屏蔽名单”时出错。原因:{error traceback} |
缓解电子邮件问题
说明
使用 Trend Micro Cloud App Security 删除电子邮件或将其隔离。注意:对于 Gmail,您只能删除电子邮件。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 消息 ID | 不适用 | 是 | 指定需要缓解的消息 ID 的英文逗号分隔列表。 |
| 缓解措施 | 删除 可能的值: 删除 隔离 |
是 | 指定应采取的缓解措施。 |
| 服务 | Gmail 可能的值 Gmail 交换 |
是 | 指定用于电子邮件的服务。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果 1 个 message_id 成功 | 正确 | false | 已在 Trend Micro Cloud App Security 中成功缓解以下电子邮件:{\n unique message ids} |
| 如果 1 个 message_id 未成功 | 正确 | false | 操作无法缓解 Trend Micro Cloud App Security 中的以下电子邮件:{\n unique message ids} |
| 并非对所有人都有效 | false | false | Trend Micro Cloud App Security 未缓解任何电子邮件。 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“缓解电子邮件问题”时出错。原因:{error traceback} |
| 如果选择“隔离”且服务为“Gmail” | false | true | 执行操作“缓解电子邮件问题”时出错。原因:您只能删除 Gmail 服务中的电子邮件。 |
实体电子邮件搜索
说明
在 Trend Micro Cloud App Security 中根据实体搜索电子邮件。支持的实体:网址、哈希、电子邮件(与电子邮件地址模式匹配的用户实体)、电子邮件主题、文件名、IP。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 回溯的天数上限 | 30 | 否 | 指定要回溯多少天来查找电子邮件。最大值为 90。默认值:30。 |
| 要返回的电子邮件数量上限 | 100 | 否 | 指定要返回的电子邮件数量。默认值:100。 |
运行于
此操作适用于以下实体:
- 网址
- 哈希
- 电子邮件
- 电子邮件主题
- 文件名
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
emails=[{list of unique emails}]
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果数据可用: | true | false | 成功返回了 Trend Micro Cloud App Security 中与所提供实体相关的电子邮件信息。 |
| 如果数据不可用 | false | false | 在 Trend Micro Cloud App Security 中未找到与实体相关的电子邮件信息。 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“实体电子邮件搜索”时出错。原因:{error traceback} |
| 如果“Max Days Backwards”> 90 | false | true | 执行操作“实体电子邮件搜索”时出错。原因:“最长回溯天数”应介于 1 到 90 之间。 |
丰富实体
说明
使用 Trend Micro Cloud App Security 中的信息丰富实体。支持的实体:网址、哈希和电子邮件地址(与电子邮件地址模式匹配的用户实体)。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 不适用 | 不适用 | 不适用 | 不适用 |
运行于
此操作适用于以下实体:
- 网址
- 哈希
- 电子邮件
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
blocked_url = [URL entities that were found]
blocked_hashes = [hashes entities that were found]
blocked_senders = [User entities that were found]
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功处理了 1 个实体 | true | false | 已成功从 Trend Micro Cloud App Security 检索到以下实体的相关信息:{\n entity.identifier} |
| 如果 1 个实体的操作未成功 | true | false | 无法从 Trend Micro Cloud App Security 中检索以下实体的信息:{\n entity.identifier} |
| 并非对所有人都有效 | false | false | 未使用 Trend Micro Cloud App Security 中的信息来扩充任何实体 |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“丰富实体”时出错。原因:{error traceback} |
缓解账号问题
说明
通过 Trend Micro Cloud App Security 对用户账号执行缓解措施。
参数
| 名称 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 电子邮件地址 | 不适用 | 是 | 指定需要缓解的电子邮件地址的英文逗号分隔列表。 |
| 缓解措施 | 停用账号 启用 MFA 重置密码 撤消登录会话 |
是 | 指定应采取何种缓解措施。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 场景 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 如果成功为 1 个电子邮件地址设置了别名,则为 1。 | true | false | 已在 Trend Micro Cloud App Security 中成功缓解以下账号的问题:{\n 电子邮件地址} |
| 如果 1 个实体的操作未成功 | true | false | 无法在 Trend Micro Cloud App Security 中缓解以下账号的问题:{\n email addresses} |
| 并非对所有人都有效 | false | false | 没有账号是使用 Trend Micro Cloud App Security 中的信息进行缓解的。 |
| 异步消息 | false | false | 正在等待缓解措施完成… |
| 严重错误、凭据无效、API 根 | false | true | 执行操作“缓解账号问题”时出错。原因:{error traceback} |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。