Trend Micro Vision One
Versão da integração: 2.0
Configurar a integração do Trend Micro Vision One no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de configuração da integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Trend Micro Vision One. |
| Token da API | String | N/A | Sim | Chave de API da conta do Trend Micro Vision One. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, a integração verifica se o certificado SSL da conexão com o servidor do Trend Micro Vision One é válido. |
Como gerar um token de API
Para mais informações sobre como gerar um token de API, consulte Receber o token de autenticação de uma conta.
Ações
Enriquecer entidades
Descrição da ação
Enriqueça entidades usando informações do Trend Micro Vision One. Entidades compatíveis: nome do host, endereço IP.
Parâmetros de configuração da ação
Essa ação não tem parâmetros de configuração.
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Enriquecimento de entidade
Prefixo TrendMicroVisionOne_
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| os | osDescription | Quando disponível em JSON |
| login_account | CSV de loginAccount.value | Quando disponível em JSON |
| endpoint_name | endpointName.value | Quando disponível em JSON |
| ip | Csv ip.value | Quando disponível em JSON |
| installedProductCodes | CSV de installedProductCodes | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "Aprimoramos as seguintes entidades usando informações do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Título: {entity.identifier} Valor da chave de colunas |
Entidade |
Executar script personalizado
Descrição da ação
Executar script personalizado no endpoint do Trend Micro Vision One. Entidades compatíveis: nome do host, endereço IP. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do SOAR do Google SecOps conforme necessário.
Parâmetros de configuração da ação
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do script | String | N/A | Sim | Especifique o nome do script que precisa ser executado nos endpoints. |
| Parâmetros de script | String | N/A | Não | Especifique os parâmetros do script. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado em JSON é mostrado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um endpoint (is_success=true somente se todos forem bem-sucedidos, caso contrário, será false): "O script personalizado "{script name}" foi executado com sucesso nos seguintes endpoints do Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um endpoint ou o recurso não for encontrado (is_success=false): "Não foi possível executar o script personalizado "{scrip name}" nos seguintes endpoints usando o Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os endpoints (is_success=false): "Os scripts não foram executados nos endpoints fornecidos". Mensagem assíncrona: "Endpoints pendentes: {entities}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Executar script personalizado". Motivo: {0}''.format(error.Stacktrace)" Se um script personalizado não for encontrado: "Erro ao executar a ação "Executar script personalizado". Motivo: o script com o nome "{script name} não foi encontrado". Se a ação atingiu o tempo limite: "Erro ao executar a ação "Executar script personalizado". Motivo: a ação atingiu o tempo limite durante a execução. Endpoints pendentes: {endpoints that are still in progress}. Aumente o tempo limite no IDE. Observação: a ação vai executar o script personalizado novamente". |
Geral |
Isolar endpoint
Descrição da ação
Isole endpoints no Trend Micro Vision One. Entidades compatíveis: endereço IP, nome do host. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps SOAR para a ação, conforme necessário.
Parâmetros de configuração da ação
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Descrição | String | N/A | Não | Especifique o motivo do isolamento dos endpoints. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado em JSON é mostrado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um endpoint (is_success=true somente se todos os endpoints foram isolados com sucesso, caso contrário, será false): "Os seguintes endpoints foram isolados com sucesso no Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um endpoint ou o recurso não for encontrado (is_success=false): "Não foi possível isolar os seguintes endpoints usando o Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os endpoints (is_success=false): "Nenhum dos endpoints fornecidos foi isolado". Mensagem assíncrona: "Endpoints pendentes: {entities}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Isolar endpoints". Motivo: {0}''.format(error.Stacktrace)" Se a ação atingiu o tempo limite: "Erro ao executar a ação "Isolar endpoints". Motivo: a ação atingiu o tempo limite durante a execução. Endpoints pendentes: {endpoints that are still in progress}. Aumente o tempo limite no ambiente de desenvolvimento integrado." |
Geral |
Isolar endpoint
Descrição da ação
Remova o isolamento dos endpoints no Trend Micro Vision One. Entidades compatíveis: endereço IP, nome do host. A ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps SOAR para a ação, conforme necessário.
Parâmetros de configuração da ação
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Descrição | String | N/A | Não | Especifique o motivo do isolamento dos endpoints. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
O resultado em JSON é mostrado mesmo que a ação falhe.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um endpoint (is_success=true somente se todos os endpoints foram isolados com sucesso, caso contrário, será false): "Os seguintes endpoints foram isolados com sucesso no Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para um endpoint ou o recurso não for encontrado (is_success=false): "Não foi possível isolar os seguintes endpoints usando o Trend Micro Vision One: {entity.identifier}" Se os dados não estiverem disponíveis para todos os endpoints (is_success=false): "Nenhum dos endpoints fornecidos foi isolado". Mensagem assíncrona: "Endpoints pendentes: {entities}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Remover isolamento de endpoints". Motivo: {0}''.format(error.Stacktrace)" Se a ação atingiu o tempo limite: "Erro ao executar a ação "Isolar endpoints". Motivo: a ação atingiu o tempo limite durante a execução. Endpoints pendentes: {endpoints that are still in progress}. Aumente o tempo limite no ambiente de desenvolvimento integrado." |
Geral |
Atualizar alerta do Workbench
Descrição da ação
Atualize um alerta de workbench no Trend Micro Vision One.
Parâmetros de configuração da ação
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta que precisa ser atualizado. |
| Status | DDL | Selecione uma opção. Valor possível:
|
Sim | Especifique o status a ser definido para o alerta. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Alerta da área de trabalho atualizado com sucesso com o ID "{id}" no Trend Micro Vision One." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar alerta do Workbench". Motivo: {0}''.format(error.Stacktrace)" Se um erro for informado na resposta: "Erro ao executar a ação "Atualizar alerta do Workbench". Motivo: {message}." |
Geral |
Conectores
Conector de alertas do Trend Micro Vision One - Workbench
Descrição do conector
Extrai informações sobre alertas do workbench do Trend Micro Vision One.
Configurar o conector
Para instruções sobre como criar e configurar o conector no Chronicle SOAR, consulte Configurar o conector.
Parâmetros de configuração do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | indicators_field | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Trend Micro Vision One. |
| Token da API | String | Sim | Chave de API da conta do Trend Micro Vision One. | |
| Menor gravidade a ser buscada | String | N/A | Não | A gravidade mínima que precisa ser usada para buscar alertas. Valores possíveis: "Baixa", "Média", "Alta" e "Crítica". Se nada for especificado, o conector vai ingerir alertas com todos os tipos de gravidade. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas de onde buscar alertas. |
| Número máximo de alertas a serem buscados | Número inteiro | 10 | Não | O número de alertas a serem processados por iteração de conector. |
| Usar uma lista dinâmica como lista de bloqueio | Caixa de seleção | Desmarcado | Sim | Se ativada, as listas dinâmicas serão usadas como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, a integração verifica se o certificado SSL da conexão com o servidor do Trend Micro Vision One é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.