Trend Micro DDAN
Integrationsversion: 3.0
Trend Micro DDAN-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://IP_ADDRESS |
Ja | API-Stammverzeichnis der Trend Micro DDAN-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel der Trend Micro DDAN-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zu Trend Micro DDAN gültig ist. |
Aktionen
Ping
Testen Sie die Verbindung zu Trend Micro DDAN mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf weder fehlschlagen noch eine Playbook-Ausführung stoppen: Bei Erfolg: „Successfully connected to the Trend Micro DDAN server with the provided connection parameters!“ (Die Verbindung zum Trend Micro DDAN-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Trend Micro DDAN-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)" |
Allgemein |
Datei einreichen
Dateien in Trend Micro DDAN einreichen
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Datei-URLs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der URLs an, die auf die zu analysierende Datei verweisen. |
| Ereignisprotokoll abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion Ereignisprotokolle für die Dateien ab. |
| Verdächtige Objekte abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden verdächtige Objekte abgerufen. |
| Sandbox-Screenshot abrufen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird versucht, einen Sandbox-Screenshot für die Dateien abzurufen. |
| Datei noch einmal einreichen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird bei der Aktion nicht geprüft, ob für diese Datei bereits eine Einreichung erfolgt ist. |
| Maximale Anzahl zurückzugebender Ereignisprotokolle | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Ereignisprotokolle an. Maximum: 200 |
| Maximale Anzahl zurückzugebender verdächtiger Objekte | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der verdächtigen Objekte an, die zurückgegeben werden sollen. Maximum: 200 |
| Verdächtige Objekte abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion verdächtige Objekte ab. |
| Maximale Anzahl zurückzugebender verdächtiger Objekte | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der verdächtigen Objekte an, die zurückgegeben werden sollen. Maximum: 200 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf weder fehlschlagen noch eine Playbook-Ausführung stoppen: Wenn der Bericht zurückgegeben wird (is_success=true): „Die folgenden URLs wurden in Trend Micro DDAN analysiert: Wenn kein Bericht für eine URL zurückgegeben wurde (is_success=true): „Für die folgenden URLs in Trend Micro DDAN konnten keine Ergebnisse zurückgegeben werden: Wenn kein Bericht für alle URLs zurückgegeben wurde (is_success=true): „Für die angegebenen URLs sind keine Ergebnisse vorhanden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Datei-URL senden‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Datei-URL senden
Datei über URLs in Trend Micro DDAN einreichen
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Datei-URLs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der URLs an, die auf die zu analysierende Datei verweisen. |
| Ereignisprotokoll abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion Ereignisprotokolle für die Dateien ab. |
| Verdächtige Objekte abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden verdächtige Objekte abgerufen. |
| Sandbox-Screenshot abrufen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird versucht, einen Sandbox-Screenshot für die Dateien abzurufen. |
| Datei noch einmal einreichen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird bei der Aktion nicht geprüft, ob für diese Datei bereits eine Einreichung erfolgt ist. |
| Maximale Anzahl zurückzugebender Ereignisprotokolle | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Ereignisprotokolle an. Maximum: 200 |
| Maximale Anzahl zurückzugebender verdächtiger Objekte | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der verdächtigen Objekte an, die zurückgegeben werden sollen. Maximum: 200 |
| Verdächtige Objekte abrufen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion verdächtige Objekte ab. |
| Maximale Anzahl zurückzugebender verdächtiger Objekte | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der verdächtigen Objekte an, die zurückgegeben werden sollen. Maximum: 200 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf weder fehlschlagen noch eine Playbook-Ausführung stoppen: Wenn der Bericht zurückgegeben wird (is_success=true): „Die folgenden URLs wurden in Trend Micro DDAN analysiert: Wenn kein Bericht für eine URL zurückgegeben wurde (is_success=true): „Für die folgenden URLs in Trend Micro DDAN konnten keine Ergebnisse zurückgegeben werden: Wenn kein Bericht für alle URLs zurückgegeben wurde (is_success=true): „Für die angegebenen URLs sind keine Ergebnisse vorhanden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Datei-URL senden‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten