Trend Micro Vision One
Integrationsversion: 2.0
Trend Micro Vision One-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Parameter für die Konfiguration der Integration
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{instance} | Ja | API-Stammverzeichnis der Trend Micro Vision One-Instanz. |
| API-Token | String | – | Ja | API-Schlüssel des Trend Micro Vision One-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Trend Micro Vision One-Server gültig ist. |
API-Token generieren
Weitere Informationen zum Generieren eines API-Tokens finden Sie unter Authentifizierungstoken eines Kontos abrufen.
Aktionen
Entitäten anreichern
Aktionsbeschreibung
Entitäten mit Informationen aus Trend Micro Vision One anreichern Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter für die Aktionskonfiguration
Für diese Aktion gibt es keine Konfigurationsparameter.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Entitätsanreicherung
Präfix TrendMicroVisionOne_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| os | osDescription | Wenn in JSON verfügbar |
| login_account | CSV von „loginAccount.value“ | Wenn in JSON verfügbar |
| endpoint_name | endpointName.value | Wenn in JSON verfügbar |
| ip | Csv ip.value | Wenn in JSON verfügbar |
| installedProductCodes | CSV-Datei mit „installedProductCodes“ | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Einheit verfügbar sind (is_success=true): „Die folgenden Einheiten wurden mit Informationen von Trend Micro Vision One angereichert: {entity.identifier}“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Titel: {entity.identifier} Schlüsselwert für Spalten |
Entität |
Benutzerdefiniertes Script ausführen
Aktionsbeschreibung
Führen Sie ein benutzerdefiniertes Skript auf dem Endpunkt in Trend Micro Vision One aus. Unterstützte Einheiten: Hostname, IP-Adresse. Die Aktion wird asynchron ausgeführt. Passen Sie den Script-Timeout-Wert in der Google SecOps SOAR IDE für die Aktion nach Bedarf an.
Parameter für die Aktionskonfiguration
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| Skriptname | String | – | Ja | Geben Sie den Namen des Skripts an, das auf den Endpunkten ausgeführt werden muss. |
| Skriptparameter | String | – | Nein | Geben Sie die Parameter für das Skript an. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Das JSON-Ergebnis wird auch dann angezeigt, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für einen Endpunkt verfügbar sind (is_success=true nur, wenn alle erfolgreich waren, andernfalls false): „Das benutzerdefinierte Script ‚{script name}‘ wurde auf den folgenden Endpunkten in Trend Micro Vision One erfolgreich ausgeführt: {entity.identifier}“ Wenn für einen Endpunkt keine Daten verfügbar sind oder ein Asset nicht gefunden wird (is_success=false): „Die benutzerdefinierte Aktion konnte das benutzerdefinierte Skript ‚{scrip name}‘ nicht auf den folgenden Endpunkten in Trend Micro Vision One ausführen: {entity.identifier}“ Wenn für nicht alle Endpunkte Daten verfügbar sind (is_success=false): „Scripts were not executed on the provided endpoints.“ (Die Skripts wurden nicht auf den angegebenen Endpunkten ausgeführt.) Asynchrone Nachricht: „Ausstehende Endpunkte: {entities}“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benutzerdefiniertes Skript ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn ein benutzerdefiniertes Skript nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Benutzerdefiniertes Skript ausführen‘. Grund: Das Script mit dem Namen „{script name}“ wurde nicht gefunden. Wenn bei der Ausführung der Aktion ein Zeitlimit überschritten wurde: „Fehler beim Ausführen der Aktion ‚Benutzerdefiniertes Skript ausführen‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Endpunkte: {endpoints that are still in progress} Erhöhen Sie das Zeitlimit in der IDE. Hinweis: Bei dieser Aktion wird das benutzerdefinierte Skript noch einmal ausgeführt.“ |
Allgemein |
Endpunkt isolieren
Aktionsbeschreibung
Endpunkte in Trend Micro Vision One isolieren Unterstützte Einheiten: IP-Adresse, Hostname. Die Aktion wird asynchron ausgeführt. Passen Sie den Script-Timeout-Wert in der Google SecOps SOAR IDE für die Aktion nach Bedarf an.
Parameter für die Aktionskonfiguration
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| Beschreibung | String | – | Nein | Geben Sie die Begründung für die Isolation der Endpunkte an. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Das JSON-Ergebnis wird auch dann angezeigt, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für einen Endpunkt verfügbar sind (is_success=true nur, wenn alle Endpunkte erfolgreich isoliert wurden, andernfalls false) : „Die folgenden Endpunkte wurden in Trend Micro Vision One erfolgreich isoliert: {entity.identifier}“ Wenn für einen Endpunkt keine Daten verfügbar sind oder ein Asset nicht gefunden wird (is_success=false): „Die Aktion konnte die folgenden Endpunkte in Trend Micro Vision One nicht isolieren: {entity.identifier}“ Wenn für nicht alle Endpunkte Daten verfügbar sind (is_success=false): „None of the provided endpoints were isolated.“ (Keiner der angegebenen Endpunkte wurde isoliert.) Asynchrone Nachricht: „Ausstehende Endpunkte: {entities}“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Endpunkte isolieren‘. Grund: {0}''.format(error.Stacktrace) Wenn bei der Ausführung der Aktion ein Zeitlimit überschritten wurde: „Fehler bei der Ausführung der Aktion ‚Endpunkte isolieren‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Endpunkte: {endpoints that are still in progress} Bitte erhöhen Sie das Zeitlimit in der IDE.“ |
Allgemein |
Endpunkt isolieren
Aktionsbeschreibung
Endpunkte in Trend Micro Vision One aus der Isolation entfernen Unterstützte Einheiten: IP-Adresse, Hostname. Die Aktion wird asynchron ausgeführt. Passen Sie den Script-Timeout-Wert in der Google SecOps SOAR IDE für die Aktion nach Bedarf an.
Parameter für die Aktionskonfiguration
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| Beschreibung | String | – | Nein | Geben Sie die Begründung für die Isolation der Endpunkte an. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Das JSON-Ergebnis wird auch dann angezeigt, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für einen Endpunkt verfügbar sind (is_success=true nur, wenn alle Endpunkte erfolgreich isoliert wurden, andernfalls false): „Die folgenden Endpunkte wurden in Trend Micro Vision One erfolgreich aus der Isolation entfernt: {entity.identifier}“ Wenn keine Daten für einen Endpunkt verfügbar sind oder ein Asset nicht gefunden wird (is_success=false): „Die Aktion konnte die folgenden Endpunkte in Trend Micro Vision One nicht isolieren: {entity.identifier}“ Wenn für nicht alle Endpunkte Daten verfügbar sind (is_success=false): „None of the provided endpoints were unisolated.“ (Keiner der angegebenen Endpunkte wurde aus der Isolation entfernt.) Asynchrone Nachricht: „Ausstehende Endpunkte: {entities}“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Endpunkte isolieren‘ aufgetreten. Grund: {0}''.format(error.Stacktrace) Wenn bei der Ausführung der Aktion ein Zeitlimit überschritten wurde: „Fehler bei der Ausführung der Aktion ‚Endpunkte isolieren‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Endpunkte: {endpoints that are still in progress} Bitte erhöhen Sie das Zeitlimit in der IDE.“ |
Allgemein |
Workbench-Benachrichtigung aktualisieren
Aktionsbeschreibung
Aktualisieren Sie eine Workbench-Benachrichtigung in Trend Micro Vision One.
Parameter für die Aktionskonfiguration
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die ID der zu aktualisierenden Benachrichtigung an. |
| Status | DDL | Wählen Sie eine Option aus. Möglicher Wert:
|
Ja | Geben Sie den Status an, der für die Benachrichtigung festgelegt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One.“ (Die Workbench-Benachrichtigung mit der ID „{id}“ wurde in Trend Micro Vision One aktualisiert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Workbench-Benachrichtigung aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn in der Antwort ein Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Workbench-Benachrichtigung aktualisieren‘. Grund: {message}.'" |
Allgemein |
Connectors
Trend Micro Vision One – Workbench Alerts Connector
Connector-Beschreibung
Informationen zu Workbench-Benachrichtigungen aus Trend Micro Vision One abrufen.
Connector konfigurieren
Eine Anleitung zum Erstellen und Konfigurieren des Connectors in Chronicle SOAR finden Sie unter Connector konfigurieren.
Konfigurationsparameter für Connectors
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Erforderlich | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | indicators_field | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert angewendet wird, der im Feld „Name des Umgebungsfelds“ gefunden wurde. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{instance} | Ja | API-Stammverzeichnis der Trend Micro Vision One-Instanz. |
| API-Token | String | Ja | API-Schlüssel des Trend Micro Vision One-Kontos. | |
| Niedrigster abzurufender Schweregrad | String | – | Nein | Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet werden muss. Mögliche Werte: Niedrig, Mittel, Hoch, Kritisch. Wenn nichts angegeben ist, werden Warnungen mit allen Schweregraden aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Die Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| Max. Anzahl der abzurufenden Benachrichtigungen | Ganzzahl | 10 | Nein | Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. |
| Dynamische Liste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, werden dynamische Listen als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Trend Micro Vision One-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten