Trend Micro DDAN
Versão da integração: 3.0
Configurar a integração do Trend Micro DDAN no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://IP_ADDRESS |
Sim | Raiz da API da instância do Trend Micro DDAN. |
| Chave de API | Senha | N/A | Sim | Chave de API da instância do Trend Micro DDAN. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, verifica se o certificado SSL da conexão com o DDAN da Trend Micro é válido. |
Ações
Ping
Teste a conectividade com o Trend Micro DDAN usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "A conexão com o servidor DDAN da Trend Micro foi estabelecida com os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor DDAN da Trend Micro! Erro: {0}".format(exception.stacktrace)" |
Geral |
Enviar arquivo
Envie arquivos no Trend Micro DDAN.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| URLs de arquivos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas dos URLs que apontam para o arquivo a ser analisado. |
| Buscar log de eventos | Caixa de seleção | Selecionado | Não | Se ativada, a ação busca registros de eventos relacionados aos arquivos. |
| Buscar objetos suspeitos | Caixa de seleção | Selecionado | Não | Se ativada, a ação busca objetos suspeitos. |
| Buscar captura de tela do sandbox | Caixa de seleção | Desmarcado | Não | Se ativada, a ação tenta buscar uma captura de tela da sandbox relacionada aos arquivos. |
| Reenviar arquivo | Caixa de seleção | Selecionado | Não | Se ativada, a ação não verifica se já houve um envio desse arquivo. |
| Número máximo de registros de eventos a serem retornados | Número inteiro | 50 | Não | Especifique o número de registros de eventos a serem retornados. Máximo: 200 |
| Número máximo de objetos suspeitos a serem retornados | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a serem retornados. Máximo: 200 |
| Buscar objetos suspeitos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar o objeto suspeito. |
| Número máximo de objetos suspeitos a serem retornados | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a serem retornados. Máximo: 200 |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o relatório retornado for bem-sucedido (is_success=true): "Analisamos com sucesso os seguintes URLs no Trend Micro DDAN: Se não retornou um relatório (is_success=true): "Não foi possível retornar resultados para os seguintes URLs no Trend Micro DDAN: Se não retornou o relatório para todos os URLs (is_success=true): "Não há resultados para os URLs fornecidos". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Enviar URL do arquivo". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Enviar URL do arquivo
Envie um arquivo usando URLs no Trend Micro DDAN.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| URLs de arquivos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas dos URLs que apontam para o arquivo a ser analisado. |
| Buscar log de eventos | Caixa de seleção | Selecionado | Não | Se ativada, a ação busca registros de eventos relacionados aos arquivos. |
| Buscar objetos suspeitos | Caixa de seleção | Selecionado | Não | Se ativada, a ação busca objetos suspeitos. |
| Buscar captura de tela do sandbox | Caixa de seleção | Desmarcado | Não | Se ativada, a ação tenta buscar uma captura de tela da sandbox relacionada aos arquivos. |
| Reenviar arquivo | Caixa de seleção | Selecionado | Não | Se ativada, a ação não verifica se já houve um envio desse arquivo. |
| Número máximo de registros de eventos a serem retornados | Número inteiro | 50 | Não | Especifique o número de registros de eventos a serem retornados. Máximo: 200 |
| Número máximo de objetos suspeitos a serem retornados | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a serem retornados. Máximo: 200 |
| Buscar objetos suspeitos | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai buscar o objeto suspeito. |
| Número máximo de objetos suspeitos a serem retornados | Número inteiro | 50 | Não | Especifique o número de objetos suspeitos a serem retornados. Máximo: 200 |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o relatório retornado for bem-sucedido (is_success=true): "Analisamos com sucesso os seguintes URLs no Trend Micro DDAN: Se não retornou um relatório (is_success=true): "Não foi possível retornar resultados para os seguintes URLs no Trend Micro DDAN: Se não retornou o relatório para todos os URLs (is_success=true): "Não há resultados para os URLs fornecidos". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Enviar URL do arquivo". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.