Trend Micro DDAN
Version de l'intégration : 3.0
Configurer l'intégration Trend Micro DDAN dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://IP_ADDRESS |
Oui | Racine de l'API de l'instance Trend Micro DDAN. |
| Clé API | Mot de passe | N/A | Oui | Clé API de l'instance Trend Micro DDAN. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion à Trend Micro DDAN est valide. |
Actions
Ping
Testez la connectivité à Trend Micro DDAN avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Trend Micro DDAN établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Trend Micro DDAN ! Error is {0}".format(exception.stacktrace)" |
Général |
Envoyer le fichier
Envoyez des fichiers dans Trend Micro DDAN.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| URL des fichiers | CSV | N/A | Oui | Spécifiez une liste d'URL séparées par une virgule qui pointent vers le fichier à analyser. |
| Récupérer le journal des événements | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère les journaux d'événements liés aux fichiers. |
| Récupérer des objets suspects | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère les objets suspects. |
| Récupérer la capture d'écran de la sandbox | Case à cocher | Décochée | Non | Si cette option est activée, l'action tente de récupérer une capture d'écran du bac à sable associée aux fichiers. |
| Renvoyer le fichier | Case à cocher | Cochée | Non | Si cette option est activée, l'action ne vérifie pas si ce fichier a déjà été envoyé. |
| Nombre maximal de journaux d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre de journaux d'événements à renvoyer. Maximum : 200 |
| Nombre maximal d'objets suspects à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets suspects à renvoyer. Maximum : 200 |
| Récupérer des objets suspects | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère l'objet suspect. |
| Nombre maximal d'objets suspects à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets suspects à renvoyer. Maximum : 200 |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le rapport renvoyé est "is_success=true" : "Les URL suivantes ont été analysées avec succès dans Trend Micro DDAN : Si aucun rapport n'a été renvoyé pour une URL (is_success=true) : "L'action n'a pas pu renvoyer de résultats pour les URL suivantes dans Trend Micro DDAN : Si aucun rapport n'a été renvoyé pour toutes les URL (is_success=true) : "Aucun résultat pour les URL fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer l'URL du fichier". Raison : {0}''.format(error.Stacktrace)" |
Général |
Envoyer l'URL du fichier
Envoyez un fichier à l'aide d'URL dans Trend Micro DDAN.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| URL des fichiers | CSV | N/A | Oui | Spécifiez une liste d'URL séparées par une virgule qui pointent vers le fichier à analyser. |
| Récupérer le journal des événements | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère les journaux d'événements liés aux fichiers. |
| Récupérer des objets suspects | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère les objets suspects. |
| Récupérer la capture d'écran de la sandbox | Case à cocher | Décochée | Non | Si cette option est activée, l'action tente de récupérer une capture d'écran du bac à sable associée aux fichiers. |
| Renvoyer le fichier | Case à cocher | Cochée | Non | Si cette option est activée, l'action ne vérifie pas si ce fichier a déjà été envoyé. |
| Nombre maximal de journaux d'événements à renvoyer | Integer | 50 | Non | Spécifiez le nombre de journaux d'événements à renvoyer. Maximum : 200 |
| Nombre maximal d'objets suspects à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets suspects à renvoyer. Maximum : 200 |
| Récupérer des objets suspects | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère l'objet suspect. |
| Nombre maximal d'objets suspects à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets suspects à renvoyer. Maximum : 200 |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le rapport renvoyé est "is_success=true" : "Les URL suivantes ont été analysées avec succès dans Trend Micro DDAN : Si aucun rapport n'a été renvoyé pour une URL (is_success=true) : "L'action n'a pas pu renvoyer de résultats pour les URL suivantes dans Trend Micro DDAN : Si aucun rapport n'a été renvoyé pour toutes les URL (is_success=true) : "Aucun résultat pour les URL fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Envoyer l'URL du fichier". Raison : {0}''.format(error.Stacktrace)" |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.