Trend Vision One
Integrationsversion: 3.0
Trend Vision One in Google Security Operations einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationseingaben
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parameter | |
|---|---|
| API-Stamm | Erforderlich
API-Stammverzeichnis der Trend Vision One-Instanz. Der Standardwert ist |
| API-Token | Erforderlich
API-Schlüssel des Trend Vision One-Kontos. |
| SSL überprüfen | Wenn diese Option aktiviert ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Trend Vision One-Server gültig ist. Standardmäßig aktiviert |
API-Token generieren
Weitere Informationen zum Generieren eines API-Tokens finden Sie unter Authentifizierungstoken eines Kontos abrufen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Entitäten anreichern
Entitäten mit Informationen aus Trend Vision One anreichern
Entitäten
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Agent UUID |
Optional.
Eine durch Kommas getrennte Liste von UUIDs, um die zu verarbeitenden Endpunkte anzugeben. Die Aktion wird für diese Endpunkte zusätzlich zu allen im Hinweis gefundenen Entitäten ausgeführt. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Example OS",
"osVersion": "6.1.1111",
"osDescription": "Example OS Professional (64 bit) build 1111",
"productCode": "xes",
"loginAccount": {
"value": [
"EXAMPLE\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "EXAMPLE",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"01:23:45:ab:cd:ef",
"01:23:45:67:ab:cd:ef:gh"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"198.51.100.1"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
Anreicherung von Entitäten – Präfix: TrendMicroVisionOne_
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| os | osDescription | Wenn in JSON verfügbar |
| login_account | CSV von „loginAccount.value“ | Wenn in JSON verfügbar |
| endpoint_name | endpointName.value | Wenn in JSON verfügbar |
| ip | Csv ip.value | Wenn in JSON verfügbar |
| installedProductCodes | CSV-Datei mit „installedProductCodes“ | Wenn in JSON verfügbar |
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die folgenden Einheiten wurden mit Informationen aus Trend Micro Vision One angereichert: ENTITY_IDENTIFIER | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Entitäten anreichern“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Tabelle „Fall-Repository“
Name: ENTITY_IDENTIFIER
Spalten:
- Schlüssel
- Wert
Benutzerdefiniertes Script ausführen
Führen Sie ein benutzerdefiniertes Skript auf dem Endpunkt in Trend Vision One aus.
Entitäten
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Agent UUID |
Optional.
Eine durch Kommas getrennte Liste von UUIDs, um die zu verarbeitenden Endpunkte anzugeben. Die Aktion wird für diese Endpunkte zusätzlich zu allen im Hinweis gefundenen Entitäten ausgeführt. |
Script Name |
Erforderlich
Name des Skripts, das auf den Endpunkten ausgeführt werden muss. |
Script Parameters |
Parameter für das Skript. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
Das JSON-Ergebnis ist auch dann verfügbar, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Das benutzerdefinierte Skript „SCRIPT_NAME“ wurde auf den folgenden Endpunkten in Trend Micro Vision One ausgeführt: ENTITY_IDENTIFIER | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Benutzerdefiniertes Skript ausführen“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „Benutzerdefiniertes Skript ausführen“. Grund: Das Script mit dem Namen „SCRIPT_NAME“ wurde nicht gefunden. | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie den Skriptnamen. |
| Fehler beim Ausführen der Aktion „Benutzerdefiniertes Skript ausführen“. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Erhöhen Sie das Zeitlimit in der IDE. | Die Aktion hat einen Fehler zurückgegeben. Erhöhen Sie den Zeitlimitwert in der IDE. |
E‑Mail-Aktion ausführen
Führen Sie eine E-Mail-Aktion für den Endpunkt in Trend Vision One aus.
Entitäten
Die Aktion wird nicht für Entitäten ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Action |
Die Aktion für die E‑Mail. Der Standardwert ist
|
Message ID |
Erforderlich ID der in der Aktion verwendeten Nachricht. |
Mailbox |
Das mit der Nachricht verknüpfte Postfach. |
Description |
Eine Beschreibung der ausgeführten Aktion. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"id": "RM-20231017-00001",
"status": "running",
"createdDateTime": "2023-10-17T05:25:37Z",
"lastActionDateTime": "2023-10-17T05:25:37Z",
"description": "task description",
"action": "quarantineMessage",
"account": "API key",
"tasks": [
{
"messageId": "<64e32256-fae1-4652-9f7a-8e514ec86d5a@example.com>",
"mailBox": "example.user@example.com",
"messageSubject": "Example Service has merged the incidents detected in your environment",
"uniqueId": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0A28vWY1XUyUyUUvI8a3APqAADxR_EPAAA",
"organizationId": "40c52b8c-062a-4095-bd74-e46a5eb48308",
"status": "running",
"lastActionDateTime": "2023-10-17T05:25:38Z"
}
]
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die Aktion für die Nachricht ID in Trend Micro Vision One wurde erfolgreich ausgeführt. | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „E-Mail-Aktion ausführen“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „E-Mail-Aktion ausführen“. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Erhöhen Sie das Zeitlimit in der IDE. | Die Aktion hat einen Fehler zurückgegeben. Erhöhen Sie den Zeitlimitwert in der IDE. |
Endpunkt isolieren
Endpunkte in Trend Vision One isolieren
Entitäten
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Agent UUID |
Optional.
Eine durch Kommas getrennte Liste von UUIDs, um die zu verarbeitenden Endpunkte anzugeben. Die Aktion wird für diese Endpunkte zusätzlich zu allen im Hinweis gefundenen Entitäten ausgeführt. |
Description |
Die Begründung für die Isolation der Endpunkte. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
Das JSON-Ergebnis wird auch dann angezeigt, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die folgenden Endpunkte wurden in Trend Micro Vision One erfolgreich isoliert: ENTITY_IDENTIFIER | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Endpunkte isolieren“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „Endpunkte isolieren“. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Endpunkte: PENDING_ENDPOINTS. Erhöhen Sie das Zeitlimit in der IDE. | Die Aktion hat einen Fehler zurückgegeben. Erhöhen Sie den Zeitlimitwert in der IDE. |
Datei einreichen
Reichen Sie die Datei in Trend Vision One ein.
Entitäten
Die Aktion wird nicht für Entitäten ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
File Paths |
Erforderlich Eine durch Kommas getrennte Liste der Pfade für die einzureichenden Dateien. |
Archive Password |
Das Passwort für das Archiv. |
Document Password |
Das Passwort für das Dokument. |
Arguments |
Argumente für die eingereichte Datei. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"Entity": "file path",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die folgenden Dateien wurden in Trend Micro Vision One eingereicht: FILE_PATHS | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Datei einreichen“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „Datei einreichen“. Ursache: Die folgenden Dateien wurden nicht gefunden oder sind nicht zugänglich: LIST_OF_FILE_PATHS | Die Aktion hat einen Fehler zurückgegeben. Prüfen Sie die Dateipfade. |
URL senden
Reichen Sie die URL in Trend Vision One ein.
Entitäten
Diese Aktion wird für eine URL-Entität ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Action |
Die Aktion für die E‑Mail. Der Standardwert ist
|
Message ID |
Erforderlich ID der in der Aktion verwendeten Nachricht. |
Mailbox |
Das mit der Nachricht verknüpfte Postfach. |
Description |
Eine Beschreibung der ausgeführten Aktion. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"Entity": "url",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die folgenden URLs wurden erfolgreich in Trend Micro Vision One eingereicht: LIST_OF_URLS | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „URL einreichen“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „URL einreichen“. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Dateien: FILES_STILL_IN_PROGRESS. Erhöhen Sie das Zeitlimit in der IDE. | Die Aktion hat einen Fehler zurückgegeben. Erhöhen Sie den Zeitlimitwert in der IDE. |
Endpunkt isolieren
Endpunkte in Trend Vision One aus der Isolation entfernen
Entitäten
Die Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Agent UUID |
Optional.
Eine durch Kommas getrennte Liste von UUIDs, um die zu verarbeitenden Endpunkte anzugeben. Die Aktion wird für diese Endpunkte zusätzlich zu allen im Hinweis gefundenen Entitäten ausgeführt. |
Description |
Der Grund für die Aufhebung der Isolation der Endpunkte. |
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
Das JSON-Ergebnis wird auch dann angezeigt, wenn die Aktion fehlschlägt.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die folgenden Endpunkte wurden in Trend Micro Vision One erfolgreich aus der Isolation entfernt: ENTITY_IDENTIFIER | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Endpunkte entisolieren“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
| Fehler beim Ausführen der Aktion „Endpunkte entisolieren“. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Endpunkte: PENDING_ENDPOINTS. Erhöhen Sie das Zeitlimit in der IDE. | Die Aktion hat einen Fehler zurückgegeben. Erhöhen Sie den Zeitlimitwert in der IDE. |
Workbench-Benachrichtigung aktualisieren
Workbench-Benachrichtigung in Trend Vision One aktualisieren
Entitäten
Die Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | |
|---|---|
Alert ID
|
Erforderlich ID der zu aktualisierenden Benachrichtigung. |
Status |
Erforderlich Der Status, der für die Benachrichtigung festgelegt werden soll. Der Standardwert ist
|
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | – |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| Entitätsstatistiken | – |
| Insight | – |
| JSON-Ergebnis | Verfügbar |
| Vorkonfiguriertes Widget | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@example.com",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-198.51.100.1",
"macAddress": null,
"name": "198.51.100.1",
"sensorZone": "",
"value": "198.51.100.1"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "example",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "198.51.100.1",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "198.51.100.1",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "Example_server_auth_message",
"metadata_mapperName": "Example Server Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Example Product",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Example Vendor",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "198.51.100.1",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
| Die Workbench-Benachrichtigung mit der ID ID wurde in Trend Micro Vision One aktualisiert. | Die Aktion war erfolgreich. |
| Fehler beim Ausführen der Aktion „Workbench-Benachrichtigung aktualisieren“. Grund: ERROR_REASON | Die Aktion hat einen Fehler zurückgegeben.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Connectors
Eine Anleitung zum Erstellen und Konfigurieren des Trend Vision One-Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Trend Vision One Workbench Alerts Connector
Informationen zu Workbench-Warnungen aus Trend Vision One abrufen
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. Der Standardwert ist |
Event Field Name |
Erforderlich
Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. Der Standardwert ist |
Environment Field Name |
Optional
Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert Mit dem Parameter kann der Nutzer das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich
Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist 180. |
API Root |
Erforderlich
API-Stammverzeichnis der Trend Vision One-Instanz. Der Standardwert ist |
API Key |
Erforderlich
API-Schlüssel des Trend Vision One-Kontos. |
Lowest Severity Score To Fetch |
Optional
Niedrigster Schweregrad der abzurufenden Vorfälle. Wenn nichts angegeben ist, werden Vorfälle mit allen Schweregraden aufgenommen. Mögliche Werte:
|
Max Hours Backwards |
Optional Anzahl der Stunden, ab denen Vorfälle abgerufen werden sollen. Der Standardwert ist 1 Stunde. |
Max Alerts To Fetch |
Optional
Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 10. |
Use dynamic list as a blocklist |
Erforderlich Wenn diese Option aktiviert ist, wird die dynamische Liste als Blockierliste verwendet. Diese Option ist standardmäßig nicht angeklickt. |
Verify SSL |
Erforderlich Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Trend Vision One-Server gültig ist. Standardmäßig aktiviert. |
Proxy Server Address |
Optional Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional Das Proxy-Passwort für die Authentifizierung. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten