Trend Micro DDAN
Versión de la integración: 3.0
Configurar la integración de Trend Micro DDAN en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://IP_ADDRESS |
Sí | Raíz de la API de la instancia de Trend Micro DDAN. |
| Clave de API | Contraseña | N/A | Sí | Clave de API de la instancia de Trend Micro DDAN. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, verifica que el certificado SSL de la conexión a Trend Micro DDAN sea válido. |
Acciones
Ping
Prueba la conectividad con Trend Micro DDAN con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Trend Micro DDAN server with the provided connection parameters!" ("Se ha conectado correctamente al servidor DDAN de Trend Micro con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no funciona: "Failed to connect to the Trend Micro DDAN server! Error: {0}".format(exception.stacktrace)" |
General |
Enviar archivo
Enviar archivos en Trend Micro DDAN.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URLs de archivos | CSV | N/A | Sí | Especifica una lista separada por comas de las URLs que apuntan al archivo que se debe analizar. |
| Recoger registro de eventos | Casilla | Marcada | No | Si está habilitada, la acción obtiene los registros de eventos relacionados con los archivos. |
| Obtener objetos sospechosos | Casilla | Marcada | No | Si se habilita, la acción obtiene objetos sospechosos. |
| Obtener captura de pantalla del entorno aislado | Casilla | Desmarcada | No | Si está habilitada, la acción intenta obtener una captura de pantalla del sandbox relacionada con los archivos. |
| Volver a enviar archivo | Casilla | Marcada | No | Si está habilitada, la acción no comprueba si se ha enviado este archivo anteriormente. |
| Número máximo de registros de eventos que se devolverán | Entero | 50 | No | Especifica el número de registros de eventos que se van a devolver. Máximo: 200 |
| Número máximo de objetos sospechosos que se devolverán | Entero | 50 | No | Especifica el número de objetos sospechosos que se deben devolver. Máximo: 200 |
| Obtener objetos sospechosos | Casilla | Marcada | No | Si se habilita, la acción obtiene el objeto sospechoso. |
| Número máximo de objetos sospechosos que se devolverán | Entero | 50 | No | Especifica el número de objetos sospechosos que se deben devolver. Máximo: 200 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el informe devuelto (is_success=true): "Se han analizado correctamente las siguientes URLs en Trend Micro DDAN: Si no se ha devuelto el informe de una (is_success=true): "No se han podido devolver resultados de las siguientes URLs en Trend Micro DDAN: Si no se ha devuelto el informe de todas las URLs (is_success=true): "No hay resultados para las URLs proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar URL de archivo". Motivo: {0}''.format(error.Stacktrace)" |
General |
Enviar URL de archivo
Enviar un archivo mediante URLs en Trend Micro DDAN.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URLs de archivos | CSV | N/A | Sí | Especifica una lista separada por comas de las URLs que apuntan al archivo que se debe analizar. |
| Recoger registro de eventos | Casilla | Marcada | No | Si está habilitada, la acción obtiene los registros de eventos relacionados con los archivos. |
| Obtener objetos sospechosos | Casilla | Marcada | No | Si se habilita, la acción obtiene objetos sospechosos. |
| Obtener captura de pantalla del entorno aislado | Casilla | Desmarcada | No | Si está habilitada, la acción intenta obtener una captura de pantalla del sandbox relacionada con los archivos. |
| Volver a enviar archivo | Casilla | Marcada | No | Si está habilitada, la acción no comprueba si se ha enviado este archivo anteriormente. |
| Número máximo de registros de eventos que se devolverán | Entero | 50 | No | Especifica el número de registros de eventos que se van a devolver. Máximo: 200 |
| Número máximo de objetos sospechosos que se devolverán | Entero | 50 | No | Especifica el número de objetos sospechosos que se deben devolver. Máximo: 200 |
| Obtener objetos sospechosos | Casilla | Marcada | No | Si se habilita, la acción obtiene el objeto sospechoso. |
| Número máximo de objetos sospechosos que se devolverán | Entero | 50 | No | Especifica el número de objetos sospechosos que se deben devolver. Máximo: 200 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el informe devuelto (is_success=true): "Se han analizado correctamente las siguientes URLs en Trend Micro DDAN: Si no se ha devuelto el informe de una (is_success=true): "No se han podido devolver resultados de las siguientes URLs en Trend Micro DDAN: Si no se ha devuelto el informe de todas las URLs (is_success=true): "No hay resultados para las URLs proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enviar URL de archivo". Motivo: {0}''.format(error.Stacktrace)" |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.