趨勢科技 Cloud App Security
整合版本:6.0
產品用途
執行有效動作 - 擴充實體、搜尋電子郵件、更新封鎖清單、減少電子郵件/帳戶。
如何產生 API 權杖
- 依序前往「Administration」>「Automation and Integration APIs」。
- 按下「新增」按鈕。
- 選取「For External Application」。
- 提供「名稱」並選取所有核取方塊。
- 按下「建立權杖」。
- 複製「權杖」。
- 更新整合設定中的「API 金鑰」參數。
- 測試連線。
在 Google Security Operations 中設定 Trend Micro Cloud App Security 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://api-eu.tmcas.trendmicro.com | 是 | Trend Micro Cloud App Security 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Trend Micro Cloud App Security 執行個體的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連線至 Trend Micro Cloud App Security 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trend Micro Cloud App Security 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功 (is success = true) - 已使用提供的連線參數,成功連線至 Trend Micro Cloud App Security 伺服器! 如果未成功 (is success = false) - 無法連線至 Trend Micro Cloud App Security 伺服器!Error: {0}".format(exception.stacktrace) |
一般 |
將實體新增至封鎖清單
說明
在 Trend Micro Cloud App Security 中,將實體加入封鎖清單。支援的實體:網址、雜湊和電子郵件 (符合電子郵件地址模式的使用者實體)。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 不適用 | 不適用 | 不適用 | 不適用 |
執行時間
這項動作會對下列實體執行:
- 網址
- 雜湊
- 電子郵件
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個實體成功 | 是 | false | 已成功將下列實體新增至 Trend Micro Cloud App Security 的封鎖清單:{\n entity.identifier} |
| 如果 1 個實體未成功 | 是 | false | Action 無法將下列實體新增至 Trend Micro Cloud App Security 的封鎖清單:{\n entity.identifier} |
| 如果重複 | 是 | false | 下列實體已列入 Trend Micro Cloud App Security 的封鎖清單:{\n entity.identifier} |
| 並非所有人都適用 | false | false | 未使用 Trend Micro Cloud App Security 的資訊新增任何實體 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「將實體新增至封鎖清單」動作時發生錯誤。原因:{error traceback} |
減輕電子郵件影響
說明
使用 Trend Micro Cloud App Security 刪除或隔離電子郵件。注意:Gmail 只能刪除電子郵件。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 郵件 ID | 不適用 | 是 | 指定以半形逗號分隔的郵件 ID 清單,這些郵件需要採取緩解措施。 |
| 緩解措施 | 刪除 可能的值: 刪除 隔離 |
是 | 指定要套用哪些調低動作。 |
| 服務 | Gmail 可能的值 Gmail Exchange |
是 | 指定用於電子郵件的服務。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個 message_id 成功 | 是 | false | 已在 Trend Micro Cloud App Security 中成功防範下列電子郵件:{\n unique message ids} |
| 如果 1 個 message_id 未成功 | 是 | false | 動作無法在 Trend Micro Cloud App Security 中減輕下列電子郵件的影響:{\n unique message ids} |
| 並非所有人都適用 | false | false | Trend Micro Cloud App Security 未減輕任何電子郵件的影響。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「Mitigate Emails」動作時發生錯誤。原因:{error traceback} |
| 如果選取「隔離」,且服務為「Gmail」 | false | 是 | 執行「Mitigate Emails」動作時發生錯誤。原因:您只能刪除 Gmail 服務中的電子郵件。 |
實體電子郵件搜尋
說明
根據 Trend Micro Cloud App Security 中的實體搜尋電子郵件。支援的實體:網址、雜湊、電子郵件 (符合電子郵件地址模式的使用者實體)、電子郵件主旨、檔案名稱、IP。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 最多可回溯的天數 | 30 | 否 | 指定要回溯幾天來尋找電子郵件。上限為 90 個字元。預設值為 30。 |
| 要傳回的電子郵件數量上限 | 100 | 否 | 指定要傳回的電子郵件數量。預設值為 100。 |
執行時間
這項動作會對下列實體執行:
- 網址
- 雜湊
- 電子郵件
- 電子郵件主旨
- 檔案名稱
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
emails=[{list of unique emails}]
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如有資料: | 是 | false | 已成功傳回 Trend Micro Cloud App Security 中與所提供實體相關的電子郵件資訊。 |
| 如果沒有資料 | false | false | Trend Micro Cloud App Security 中找不到與實體相關的電子郵件資訊。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「實體電子郵件搜尋」動作時發生錯誤。原因:{error traceback} |
| 如果「Max Days Backwards」> 90 | false | 是 | 執行「實體電子郵件搜尋」動作時發生錯誤。原因:「Max Days Backwards」應介於 1 到 90 之間。 |
充實實體
說明
使用 Trend Micro Cloud App Security 的資訊擴充實體。支援的實體:網址、雜湊和電子郵件 (符合電子郵件地址模式的使用者實體)。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 不適用 | 不適用 | 不適用 | 不適用 |
執行時間
這項動作會對下列實體執行:
- 網址
- 雜湊
- 電子郵件
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
blocked_url = [URL entities that were found]
blocked_hashes = [hashes entities that were found]
blocked_senders = [User entities that were found]
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個實體成功 | 是 | false | 已從 Trend Micro Cloud App Security 成功擷取下列實體的資訊:{\n entity.identifier} |
| 如果 1 個實體未成功 | 是 | false | 動作無法從 Trend Micro Cloud App Security 擷取下列實體的相關資訊:{\n entity.identifier} |
| 並非所有人都適用 | false | false | 系統未透過 Trend Micro Cloud App Security 的資訊擴充任何實體 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「Enrich Entities」動作時發生錯誤。原因:{error traceback} |
減輕帳戶盜用問題
說明
透過 Trend Micro Cloud App Security 對使用者帳戶執行補救措施。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 電子郵件地址 | 不適用 | 是 | 以半形逗號分隔的清單形式,指定需要防範的電子郵件地址。 |
| 緩解措施 | 停用帳戶 啟用多重驗證 重設密碼 撤銷登入工作階段 |
是 | 指定要採取的調解措施。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個電子郵件地址驗證成功。 | 是 | false | 已成功在 Trend Micro Cloud App Security 中緩解下列帳戶的問題:{\n email addresses} |
| 如果 1 個實體未成功 | 是 | false | Action 無法在 Trend Micro Cloud App Security 中減輕下列帳戶的影響:{\n email addresses} |
| 並非所有人都適用 | false | false | 沒有任何帳戶使用 Trend Micro Cloud App Security 的資訊進行防護。 |
| 非同步訊息 | false | false | 正在等待調低動作完成… |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「Mitigate Account」動作時發生錯誤。原因:{error traceback} |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。