Trend Micro Vision One
Versi integrasi: 2.0
.Mengonfigurasi integrasi Trend Micro Vision One di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter konfigurasi integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{instance} | Ya | Root API instance Trend Micro Vision One. |
| Token API | String | T/A | Ya | Kunci API akun Trend Micro Vision One. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Trend Micro Vision One valid. |
Cara membuat Token API
Untuk mengetahui informasi selengkapnya tentang cara membuat Token API, lihat Mendapatkan Token Autentikasi Akun.
Tindakan
Memperkaya Entitas
Deskripsi tindakan
Memperkaya entitas menggunakan informasi dari Trend Micro Vision One. Entitas yang didukung: Nama Host, Alamat IP.
Parameter konfigurasi tindakan
Tindakan ini tidak memiliki parameter konfigurasi.
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Pengayaan entitas
Awalan TrendMicroVisionOne_
| Nama Kolom Pengayaan | Sumber (kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| os | osDescription | Jika tersedia dalam JSON |
| login_account | CSV loginAccount.value | Jika tersedia dalam JSON |
| endpoint_name | endpointName.value | Jika tersedia dalam JSON |
| ip | Csv ip.value | Jika tersedia dalam JSON |
| installedProductCodes | CSV installedProductCodes | Jika tersedia dalam JSON |
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu entitas (is_success=true): "Berhasil memperkaya entitas berikut menggunakan informasi dari Trend Micro Vision One: {entity.identifier}" Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Judul: {entity.identifier} Nilai Kunci Kolom |
Entity |
Menjalankan Skrip Kustom
Deskripsi tindakan
Jalankan skrip kustom di endpoint di Trend Micro Vision One. Entitas yang didukung: Nama Host, Alamat IP. Tindakan berjalan secara asinkron, sesuaikan nilai waktu tunggu skrip di IDE SOAR Google SecOps untuk tindakan sesuai kebutuhan.
Parameter konfigurasi tindakan
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Skrip | String | T/A | Ya | Tentukan nama skrip yang perlu dijalankan di endpoint. |
| Parameter Skrip | String | T/A | Tidak | Tentukan parameter untuk skrip. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Hasil JSON ditampilkan meskipun tindakan gagal.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu endpoint (is_success=true hanya jika semua berhasil, jika tidak, is_success=false): "Berhasil menjalankan skrip kustom "{script name}" di endpoint berikut di Trend Micro Vision One: {entity.identifier}" Jika data tidak tersedia untuk satu endpoint atau aset tidak ditemukan (is_success=false): "Tindakan tidak dapat menjalankan skrip kustom "{scrip name}" di endpoint berikut menggunakan Trend Micro Vision One: {entity.identifier}" Jika data tidak tersedia untuk semua titik akhir (is_success=false): "Skrip tidak dijalankan di titik akhir yang diberikan." Pesan asinkron: "Endpoint tertunda: {entities}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Jalankan Skrip Kustom". Alasan: {0}''.format(error.Stacktrace)" Jika skrip kustom tidak ditemukan: "Error executing action "Execute Custom Script". Alasan: skrip dengan nama "{script name} tidak ditemukan". Jika tindakan mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Jalankan Skrip Kustom". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Endpoint tertunda: {endpoints that are still in progress}. Harap tingkatkan waktu tunggu di IDE. Catatan: tindakan akan menjalankan skrip kustom lagi." |
Umum |
Mengisolasi Endpoint
Deskripsi tindakan
Mengisolasi endpoint di Trend Micro Vision One. Entitas yang didukung: Alamat IP, Nama Host. Tindakan berjalan secara asinkron, sesuaikan nilai waktu tunggu skrip di Google SecOps SOAR IDE untuk tindakan sesuai kebutuhan.
Parameter konfigurasi tindakan
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Deskripsi | String | T/A | Tidak | Tentukan alasan isolasi endpoint. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Hasil JSON ditampilkan meskipun tindakan gagal.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu endpoint (is_success=true hanya jika semua endpoint berhasil diisolasi, jika tidak, is_success=false): "Berhasil mengisolasi endpoint berikut di Trend Micro Vision One: {entity.identifier}" Jika data tidak tersedia untuk satu endpoint atau aset tidak ditemukan (is_success=false): "Action wasn't able to isolate the following endpoints using in Trend Micro Vision One: {entity.identifier}" (Tindakan tidak dapat mengisolasi endpoint berikut menggunakan Trend Micro Vision One: {entity.identifier}) Jika data tidak tersedia untuk semua endpoint (is_success=false): "Tidak ada endpoint yang disediakan yang diisolasi." Pesan asinkron: "Endpoint tertunda: {entities}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Isolate Endpoints". Alasan: {0}''.format(error.Stacktrace)" Jika tindakan mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Isolate Endpoints". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Endpoint tertunda: {endpoints that are still in progress}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Endpoint Unisolate
Deskripsi tindakan
Membatalkan isolasi endpoint di Trend Micro Vision One. Entitas yang didukung: Alamat IP, Nama Host. Tindakan berjalan secara asinkron, sesuaikan nilai waktu tunggu skrip di Google SecOps SOAR IDE untuk tindakan sesuai kebutuhan.
Parameter konfigurasi tindakan
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Deskripsi | String | T/A | Tidak | Tentukan alasan isolasi endpoint. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil Tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Hasil JSON ditampilkan meskipun tindakan gagal.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu endpoint (is_success=true hanya jika semua endpoint berhasil diisolasi, jika tidak, is_success=false): "Berhasil membatalkan isolasi endpoint berikut di Trend Micro Vision One: {entity.identifier}" Jika data tidak tersedia untuk satu endpoint atau aset tidak ditemukan (is_success=false): "Action wasn't able to unisolate the following endpoints using in Trend Micro Vision One: {entity.identifier}" (Tindakan tidak dapat membatalkan isolasi endpoint berikut menggunakan Trend Micro Vision One: {entity.identifier}) Jika data tidak tersedia untuk semua endpoint (is_success=false): "Tidak ada endpoint yang disediakan yang tidak diisolasi." Pesan asinkron: "Endpoint tertunda: {entities}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Unisolate Endpoints". Alasan: {0}''.format(error.Stacktrace)" Jika tindakan mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Unisolate Endpoints". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Endpoint tertunda: {endpoints that are still in progress}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Memperbarui Notifikasi Workbench
Deskripsi tindakan
Memperbarui pemberitahuan workbench di Trend Micro Vision One.
Parameter konfigurasi tindakan
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Status | DDL | Pilih Satu Nilai yang mungkin:
|
Ya | Tentukan status yang akan ditetapkan untuk notifikasi. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Repositori kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One." (Pemberitahuan workbench dengan ID "{id}" berhasil diperbarui di Trend Micro Vision One.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan Workbench". Alasan: {0}''.format(error.Stacktrace)" Jika error dilaporkan dalam respons: "Error saat menjalankan tindakan "Update Workbench Alert". Alasan: {message}.'" |
Umum |
Konektor
Trend Micro Vision One - Workbench Alerts Connector
Deskripsi konektor
Tarik informasi tentang peringatan workbench dari Trend Micro Vision One.
Mengonfigurasi konektor
Untuk mengetahui petunjuk tentang cara membuat dan mengonfigurasi konektor di Chronicle SOAR, lihat Mengonfigurasi konektor.
Parameter konfigurasi konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | indicators_field | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom Nama Kolom Lingkungan. Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance} | Ya | Root API instance Trend Micro Vision One. |
| Token API | String | Ya | Kunci API akun Trend Micro Vision One. | |
| Tingkat Keparahan Terendah yang Akan Diambil | String | T/A | Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil pemberitahuan. Kemungkinan nilai: Rendah, Sedang, Tinggi, Kritis. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua jenis tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan pemberitahuan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 10 | Tidak | Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar dinamis sebagai daftar yang tidak diizinkan | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Trend Micro Vision One valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.