Trend Micro DDAN
Versione integrazione: 3.0
Configurare l'integrazione di Trend Micro DDAN in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://IP_ADDRESS |
Sì | Radice API dell'istanza Trend Micro DDAN. |
| Chiave API | Password | N/D | Sì | Chiave API dell'istanza Trend Micro DDAN. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, verifica che il certificato SSL per la connessione a Trend Micro DDAN sia valido. |
Azioni
Dindin
Verifica la connettività a Trend Micro DDAN con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Trend Micro DDAN riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Trend Micro DDAN. Errore: {0}".format(exception.stacktrace)" |
Generale |
Invia file
Invia file in Trend Micro DDAN.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| URL dei file | CSV | N/D | Sì | Specifica un elenco separato da virgole degli URL che rimandano al file da analizzare. |
| Recupera log eventi | Casella di controllo | Selezionata | No | Se attivata, l'azione recupera i log eventi relativi ai file. |
| Recupera oggetti sospetti | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupera gli oggetti sospetti. |
| Recupera screenshot della sandbox | Casella di controllo | Deselezionata | No | Se attivata, l'azione tenta di recuperare uno screenshot della sandbox relativo ai file. |
| Invia nuovamente il file | Casella di controllo | Selezionata | No | Se attivata, l'azione non controlla se è stato inviato un file in precedenza. |
| Numero massimo di log eventi da restituire | Numero intero | 50 | No | Specifica il numero di log eventi da restituire. Massimo: 200 |
| Numero massimo di oggetti sospetti da restituire | Numero intero | 50 | No | Specifica il numero di oggetti sospetti da restituire. Massimo: 200 |
| Recupera oggetti sospetti | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupera l'oggetto sospetto. |
| Numero massimo di oggetti sospetti da restituire | Numero intero | 50 | No | Specifica il numero di oggetti sospetti da restituire. Massimo: 200 |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il report restituito (is_success=true): "Successfully analyzed the following URLs in Trend Micro DDAN: Se non è stato restituito il report per uno (is_success=true): "L'azione non è riuscita a restituire risultati per i seguenti URL in Trend Micro DDAN: Se non è stato restituito il report per tutti gli URL (is_success=true): "Nessun risultato per gli URL forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia URL file". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Invia l'URL del file
Invia un file utilizzando gli URL in Trend Micro DDAN.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| URL dei file | CSV | N/D | Sì | Specifica un elenco separato da virgole degli URL che rimandano al file da analizzare. |
| Recupera log eventi | Casella di controllo | Selezionata | No | Se attivata, l'azione recupera i log eventi relativi ai file. |
| Recupera oggetti sospetti | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupera gli oggetti sospetti. |
| Recupera screenshot della sandbox | Casella di controllo | Deselezionata | No | Se attivata, l'azione tenta di recuperare uno screenshot della sandbox relativo ai file. |
| Invia nuovamente il file | Casella di controllo | Selezionata | No | Se attivata, l'azione non controlla se è stato inviato un file in precedenza. |
| Numero massimo di log eventi da restituire | Numero intero | 50 | No | Specifica il numero di log eventi da restituire. Massimo: 200 |
| Numero massimo di oggetti sospetti da restituire | Numero intero | 50 | No | Specifica il numero di oggetti sospetti da restituire. Massimo: 200 |
| Recupera oggetti sospetti | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupera l'oggetto sospetto. |
| Numero massimo di oggetti sospetti da restituire | Numero intero | 50 | No | Specifica il numero di oggetti sospetti da restituire. Massimo: 200 |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il report restituito (is_success=true): "Successfully analyzed the following URLs in Trend Micro DDAN: Se non è stato restituito il report per uno (is_success=true): "L'azione non è riuscita a restituire risultati per i seguenti URL in Trend Micro DDAN: Se non è stato restituito il report per tutti gli URL (is_success=true): "Nessun risultato per gli URL forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Invia URL file". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.