Trend Micro Vision One
統合バージョン: 2.0
Google Security Operations で Trend Micro Vision One の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合構成パラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{instance} | ○ | Trend Micro Vision One インスタンスの API ルート。 |
| API トークン | 文字列 | なし | ○ | Trend Micro Vision One アカウントの API キー。 |
| SSL を確認する | チェックボックス | オン | いいえ | 有効になっている場合は、統合によって Trend Micro Vision One サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 |
API トークンを生成する方法
API トークンを生成する方法について詳しくは、アカウントの認証トークンを取得するをご覧ください。
操作
エンティティの拡充
操作の説明
Trend Micro Vision One の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、IP アドレス。
アクション構成パラメータ
このアクションには構成パラメータはありません。
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
エンティティ拡充
接頭辞 TrendMicroVisionOne_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| os | osDescription | JSON で利用可能な場合 |
| login_account | loginAccount.value の CSV | JSON で利用可能な場合 |
| endpoint_name | endpointName.value | JSON で利用可能な場合 |
| ip | Csv ip.value | JSON で利用可能な場合 |
| installedProductCodes | installedProductCodes の CSV | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Trend Micro Vision One の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティが拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | タイトル: {entity.identifier} Columns Key Value |
エンティティ |
カスタム スクリプトを実行する
操作の説明
Trend Micro Vision One のエンドポイントでカスタム スクリプトを実行します。サポートされるエンティティ: ホスト名、IP アドレス。アクションは非同期で実行されます。必要に応じて、Google SecOps SOAR IDE でアクションのスクリプト タイムアウト値を調整します。
アクション構成パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Script Name | 文字列 | なし | ○ | エンドポイントで実行する必要があるスクリプトの名前を指定します。 |
| スクリプト パラメータ | 文字列 | なし | いいえ | スクリプトのパラメータを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションが失敗した場合でも、JSON 結果が表示されます。
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンドポイントにデータが利用可能な場合(すべて成功した場合のみ is_success=true、それ以外の場合は false): 「Trend Micro Vision One の次のエンドポイントでカスタム スクリプト「{script name}」が正常に実行されました: {entity.identifier}」 1 つのエンドポイントにデータが利用できない場合、またはアセットが見つからない場合(is_success=false): 「Trend Micro Vision One で次のエンドポイントに対してカスタム スクリプト「{スクリプト名}」を実行できませんでした: {entity.identifier}」 すべてのエンドポイントでデータが利用可能でない場合(is_success=false): 「指定されたエンドポイントでスクリプトが実行されませんでした。」 非同期メッセージ: 「保留中のエンドポイント: {エンティティ}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「カスタム スクリプトの実行」の実行エラー。理由: {0}「.format(error.Stacktrace)」 カスタム スクリプトが見つからない場合: 「"カスタム スクリプトを実行" アクションの実行中にエラーが発生しました。理由: スクリプト「{スクリプト名}」が見つかりませんでした。 アクションがタイムアウトになった場合: 「アクション「カスタム スクリプトを実行」の実行エラー。理由: アクションの実行中にタイムアウトしました。保留中のエンドポイント: {進行中のエンドポイント}。IDE でタイムアウトを長くしてください。注: このアクションを実行すると、カスタム スクリプトが再度実行されます。」 |
全般 |
エンドポイントを隔離する
操作の説明
Trend Micro Vision One でエンドポイントを隔離します。サポートされるエンティティ: IP アドレス、ホスト名。アクションは非同期で実行されます。必要に応じて、Google SecOps SOAR IDE でスクリプト タイムアウト値を調整します。
アクション構成パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 説明 | 文字列 | なし | いいえ | エンドポイントの分離の理由を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションが失敗した場合でも、JSON 結果が表示されます。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンドポイントにデータが利用可能な場合(is_success=true(すべてのエンドポイントが正常に分離された場合のみ)、それ以外の場合は false): 「Trend Micro Vision One で次のエンドポイントが正常に分離されました: {entity.identifier}」 1 つのエンドポイントにデータが利用できない場合、またはアセットが見つからない場合(is_success=false): 「アクションは、Trend Micro Vision One で次のエンドポイントを隔離できませんでした: {entity.identifier}」 すべてのエンドポイントでデータが利用できない場合(is_success=false): 「指定されたエンドポイントはいずれも隔離されませんでした。」 非同期メッセージ: 「保留中のエンドポイント: {エンティティ}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンドポイントの分離」の実行エラー。理由: {0}「.format(error.Stacktrace)」 アクションがタイムアウトになった場合: 「アクション「エンドポイントを分離」の実行エラー。理由: アクションの実行中にタイムアウトしました。保留中のエンドポイント: {進行中のエンドポイント}。IDE でタイムアウトを長くしてください。」 |
全般 |
エンドポイントの分離を解除する
操作の説明
Trend Micro Vision One でエンドポイントの隔離を解除します。サポートされるエンティティ: IP アドレス、ホスト名。アクションは非同期で実行されます。必要に応じて、Google SecOps SOAR IDE でスクリプト タイムアウト値を調整します。
アクション構成パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 説明 | 文字列 | なし | いいえ | エンドポイントの分離の理由を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションが失敗した場合でも、JSON 結果が表示されます。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンドポイントにデータが利用可能な場合(すべてのエンドポイントが正常に分離された場合にのみ is_success=true、それ以外の場合は false): 「Trend Micro Vision One で次のエンドポイントの分離が解除されました: {entity.identifier}」 1 つのエンドポイントにデータが利用できない場合、またはアセットが見つからない場合(is_success=false): 「Trend Micro Vision One で次のエンドポイントの隔離を解除できませんでした: {entity.identifier}」 すべてのエンドポイントでデータが利用できない場合(is_success=false): 「指定されたエンドポイントはいずれも分離解除されませんでした。」 非同期メッセージ: 「保留中のエンドポイント: {エンティティ}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンドポイントの分離解除」の実行エラー。理由: {0}「.format(error.Stacktrace)」 アクションがタイムアウトになった場合: 「アクション「エンドポイントの隔離を解除」の実行エラー。理由: アクションの実行中にタイムアウトしました。保留中のエンドポイント: {進行中のエンドポイント}。IDE でタイムアウトを長くしてください。」 |
全般 |
Workbench アラートを更新する
操作の説明
Trend Micro Vision One でワークベンチ アラートを更新します。
アクション構成パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | ○ | 更新する必要があるアラートの ID を指定します。 |
| ステータス | DDL | 1 つ選択 値の例:
|
○ | アラートに設定するステータスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Trend Micro Vision One で ID "{id}" のワークベンチ アラートが正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「Workbench アラートの更新」の実行エラー。理由: {0}「.format(error.Stacktrace)」 レスポンスでエラーが報告された場合: 「アクション「Workbench アラートの更新」の実行エラー。理由: {メッセージ}。'" |
全般 |
コネクタ
Trend Micro Vision One - Workbench アラート コネクタ
コネクタの説明
Trend Micro Vision One からワークベンチ アラートに関する情報を pull します。
コネクタを構成する
Chronicle SOAR でコネクタを作成して構成する方法については、コネクタの構成をご覧ください。
コネクタ構成パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | indicators_field | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance} | ○ | Trend Micro Vision One インスタンスの API ルート。 |
| API トークン | 文字列 | ○ | Trend Micro Vision One アカウントの API キー。 | |
| 取得する最も低い重大度 | 文字列 | なし | いいえ | アラートの取得に使用する必要がある最も低い重大度。 有効な値: 低、中、高、重大。 何も指定しないと、コネクタはすべての重大度タイプのアラートを取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | アラートを取得する時点からの時間数。 |
| 取得するアラートの最大数 | Integer | 10 | いいえ | 1 回のコネクタの反復処理で処理するアラートの数。 |
| 動的リストをブロックリストとして使用する | チェックボックス | オフ | ○ | 有効にすると、動的リストがブロックリストとして使用されます。 |
| SSL を確認する | チェックボックス | オン | いいえ | 有効になっている場合は、統合によって Trend Micro Vision One サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。