Trend Micro DDAN
Versión de la integración: 3.0
Configura la integración de Trend Micro DDAN en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://IP_ADDRESS |
Sí | Es la raíz de la API de la instancia de DDAN de Trend Micro. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la instancia de DDAN de Trend Micro. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitada, verifica que el certificado SSL para la conexión a Trend Micro DDAN sea válido. |
Acciones
Ping
Prueba la conectividad con Trend Micro DDAN con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Se conectó correctamente al servidor de Trend Micro DDAN con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de DDAN de Trend Micro. Error is {0}".format(exception.stacktrace)" |
General |
Enviar archivo
Envía archivos a Trend Micro DDAN.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URLs de archivos | CSV | N/A | Sí | Especifica una lista separada por comas de las URLs que dirigen al archivo que se debe analizar. |
| Registro de eventos de recuperación | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera los registros de eventos relacionados con los archivos. |
| Recupera objetos sospechosos | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera objetos sospechosos. |
| Recupera la captura de pantalla de la zona de pruebas | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción intenta recuperar una captura de pantalla de la zona de pruebas relacionada con los archivos. |
| Volver a enviar el archivo | Casilla de verificación | Marcado | No | Si está habilitada, la acción no verifica si ya se envió este archivo. |
| Cantidad máxima de registros de eventos que se devolverán | Número entero | 50 | No | Especifica la cantidad de registros de eventos que se devolverán. Máximo: 200 |
| Cantidad máxima de objetos sospechosos que se devolverán | Número entero | 50 | No | Especifica la cantidad de objetos sospechosos que se devolverán. Máximo: 200 |
| Recupera objetos sospechosos | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera el objeto sospechoso. |
| Cantidad máxima de objetos sospechosos que se devolverán | Número entero | 50 | No | Especifica la cantidad de objetos sospechosos que se devolverán. Máximo: 200 |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvió el informe (is_success=true): "Se analizaron correctamente las siguientes URLs en Trend Micro DDAN: If didn't return report for one (is_success=true): "Action wasn't able to return results the following URLs in Trend Micro DDAN: Si no se devolvió el informe para todas las URLs (is_success=true): "No hay resultados para las URLs proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enviar URL de archivo". Reason: {0}''.format(error.Stacktrace)" |
General |
Enviar la URL del archivo
Envía un archivo con URLs en Trend Micro DDAN.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URLs de archivos | CSV | N/A | Sí | Especifica una lista separada por comas de las URLs que dirigen al archivo que se debe analizar. |
| Registro de eventos de recuperación | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera los registros de eventos relacionados con los archivos. |
| Recupera objetos sospechosos | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera objetos sospechosos. |
| Recupera la captura de pantalla de la zona de pruebas | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción intenta recuperar una captura de pantalla de la zona de pruebas relacionada con los archivos. |
| Volver a enviar el archivo | Casilla de verificación | Marcado | No | Si está habilitada, la acción no verifica si ya se envió este archivo. |
| Cantidad máxima de registros de eventos que se devolverán | Número entero | 50 | No | Especifica la cantidad de registros de eventos que se devolverán. Máximo: 200 |
| Cantidad máxima de objetos sospechosos que se devolverán | Número entero | 50 | No | Especifica la cantidad de objetos sospechosos que se devolverán. Máximo: 200 |
| Recupera objetos sospechosos | Casilla de verificación | Marcado | No | Si está habilitada, la acción recupera el objeto sospechoso. |
| Cantidad máxima de objetos sospechosos que se devolverán | Número entero | 50 | No | Especifica la cantidad de objetos sospechosos que se devolverán. Máximo: 200 |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvió el informe (is_success=true): "Se analizaron correctamente las siguientes URLs en Trend Micro DDAN: If didn't return report for one (is_success=true): "Action wasn't able to return results the following URLs in Trend Micro DDAN: Si no se devolvió el informe para todas las URLs (is_success=true): "No hay resultados para las URLs proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enviar URL de archivo". Reason: {0}''.format(error.Stacktrace)" |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.