Trend Micro DDAN
集成版本:3.0
在 Google Security Operations 中配置 Trend Micro DDAN 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://IP_ADDRESS |
是 | Trend Micro DDAN 实例的 API 根。 |
| API 密钥 | 密码 | 不适用 | 是 | Trend Micro DDAN 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,则验证与 Trend Micro DDAN 的连接的 SSL 证书是否有效。 |
操作
Ping
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Trend Micro DDAN 的连接。
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Trend Micro DDAN server with the provided connection parameters!”(已使用提供的连接参数成功连接到 Trend Micro DDAN 服务器!) 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Trend Micro DDAN server! 错误为 {0}".format(exception.stacktrace)" |
常规 |
提交文件
在 Trend Micro DDAN 中提交文件。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件网址 | CSV | 不适用 | 是 | 指定以英文逗号分隔的网址列表,这些网址指向需要分析的文件。 |
| 提取事件日志 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取与文件相关的事件日志。 |
| 提取可疑对象 | 复选框 | 勾选 | 否 | 如果已启用,则该操作会提取可疑对象。 |
| 提取沙盒屏幕截图 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会尝试获取与文件相关的沙盒屏幕截图。 |
| 重新提交文件 | 复选框 | 勾选 | 否 | 如果启用,该操作不会检查之前是否已提交过相应文件。 |
| 要返回的事件日志数量上限 | 整数 | 50 | 否 | 指定要返回的事件日志数量。最大值:200 |
| 要返回的可疑对象数量上限 | 整数 | 50 | 否 | 指定要返回的可疑对象数量。最大值:200 |
| 提取可疑对象 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取可疑对象。 |
| 要返回的可疑对象数量上限 | 整数 | 50 | 否 | 指定要返回的可疑对象数量。最大值:200 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果返回的报告 (is_success=true):“已在趋势科技 DDAN 中成功分析以下网址: 如果未针对某个网址返回报告(is_success=true):“操作无法在 Trend Micro DDAN 中针对以下网址返回结果: 如果未针对所有网址返回报告 (is_success=true):“未找到所提供网址的结果。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Submit File 网址". 原因:{0}''.format(error.Stacktrace)" |
常规 |
提交文件网址
在 Trend Micro DDAN 中使用网址提交文件。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件网址 | CSV | 不适用 | 是 | 指定以英文逗号分隔的网址列表,这些网址指向需要分析的文件。 |
| 提取事件日志 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取与文件相关的事件日志。 |
| 提取可疑对象 | 复选框 | 勾选 | 否 | 如果已启用,则该操作会提取可疑对象。 |
| 提取沙盒屏幕截图 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会尝试获取与文件相关的沙盒屏幕截图。 |
| 重新提交文件 | 复选框 | 勾选 | 否 | 如果启用,该操作不会检查之前是否已提交过相应文件。 |
| 要返回的事件日志数量上限 | 整数 | 50 | 否 | 指定要返回的事件日志数量。最大值:200 |
| 要返回的可疑对象数量上限 | 整数 | 50 | 否 | 指定要返回的可疑对象数量。最大值:200 |
| 提取可疑对象 | 复选框 | 勾选 | 否 | 如果启用,该操作会提取可疑对象。 |
| 要返回的可疑对象数量上限 | 整数 | 50 | 否 | 指定要返回的可疑对象数量。最大值:200 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果返回的报告 (is_success=true):“已在趋势科技 DDAN 中成功分析以下网址: 如果未针对某个网址返回报告(is_success=true):“操作无法在 Trend Micro DDAN 中针对以下网址返回结果: 如果未针对所有网址返回报告 (is_success=true):“未找到所提供网址的结果。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Submit File 网址". 原因:{0}''.format(error.Stacktrace)" |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。