Trend Vision One
통합 버전: 3.0
Trend Vision One을 Google Security Operations와 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 입력
통합을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
| API 루트 | 필수
Trend Vision One 인스턴스의 API 루트입니다. 기본값은 |
| API 토큰 | 필수
Trend Vision One 계정의 API 키입니다. |
| SSL 확인 | 선택하면 통합에서 Trend Vision One 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택됨 |
API 토큰을 생성하는 방법
API 토큰을 생성하는 방법에 대한 자세한 내용은 계정의 인증 토큰 가져오기를 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
항목 보강
Trend Vision One의 정보를 사용하여 항목을 보강합니다.
항목
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Agent UUID |
선택사항.
처리할 엔드포인트를 지정하는 쉼표로 구분된 UUID 목록입니다. 이 작업은 알림에서 발견된 항목 외에도 이러한 엔드포인트에서 실행됩니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Example OS",
"osVersion": "6.1.1111",
"osDescription": "Example OS Professional (64 bit) build 1111",
"productCode": "xes",
"loginAccount": {
"value": [
"EXAMPLE\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "EXAMPLE",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"01:23:45:ab:cd:ef",
"01:23:45:67:ab:cd:ef:gh"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"198.51.100.1"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
엔티티 보강 - 접두사: TrendMicroVisionOne_
| 보강 필드 이름 | 소스 (JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| os | osDescription | JSON으로 제공되는 경우 |
| login_account | loginAccount.value의 CSV | JSON으로 제공되는 경우 |
| endpoint_name | endpointName.value | JSON으로 제공되는 경우 |
| ip | CSV ip.value | JSON으로 제공되는 경우 |
| installedProductCodes | 설치된 제품 코드의 CSV | JSON으로 제공되는 경우 |
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One: ENTITY_IDENTIFIER의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다. | 작업이 완료되었습니다. |
| '항목 보강' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
케이스 월 테이블
이름: ENTITY_IDENTIFIER
열:
- 키
- 값
맞춤 스크립트 실행
Trend Vision One의 엔드포인트에서 맞춤 스크립트를 실행합니다.
항목
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Agent UUID |
선택사항.
처리할 엔드포인트를 지정하는 쉼표로 구분된 UUID 목록입니다. 이 작업은 알림에서 발견된 항목 외에도 이러한 엔드포인트에서 실행됩니다. |
Script Name |
필수
엔드포인트에서 실행해야 하는 스크립트의 이름입니다. |
Script Parameters |
스크립트의 매개변수입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
작업이 실패하더라도 JSON 결과를 사용할 수 있습니다.
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One의 다음 엔드포인트에서 맞춤 스크립트("SCRIPT_NAME")가 실행되었습니다. ENTITY_IDENTIFIER | 작업이 완료되었습니다. |
| '맞춤 스크립트 실행' 작업을 실행하는 중에 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| '맞춤 스크립트 실행' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 이름이 'SCRIPT_NAME'인 스크립트를 찾을 수 없습니다. | 작업에서 오류가 반환되었습니다.
스크립트 이름을 확인합니다. |
| '맞춤 스크립트 실행' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. IDE에서 제한 시간을 늘리세요. | 작업에서 오류가 반환되었습니다. IDE에서 제한 시간 값을 늘립니다. |
이메일 작업 실행
Trend Vision One의 엔드포인트에서 이메일 작업을 실행합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Action |
이메일의 작업입니다. 기본값은
|
Message ID |
필수 작업에 사용된 메시지의 ID입니다. |
Mailbox |
메일과 관련된 편지함입니다. |
Description |
실행된 작업에 대한 설명입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"id": "RM-20231017-00001",
"status": "running",
"createdDateTime": "2023-10-17T05:25:37Z",
"lastActionDateTime": "2023-10-17T05:25:37Z",
"description": "task description",
"action": "quarantineMessage",
"account": "API key",
"tasks": [
{
"messageId": "<64e32256-fae1-4652-9f7a-8e514ec86d5a@example.com>",
"mailBox": "example.user@example.com",
"messageSubject": "Example Service has merged the incidents detected in your environment",
"uniqueId": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0A28vWY1XUyUyUUvI8a3APqAADxR_EPAAA",
"organizationId": "40c52b8c-062a-4095-bd74-e46a5eb48308",
"status": "running",
"lastActionDateTime": "2023-10-17T05:25:38Z"
}
]
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에서 메시지 ID에 대한 작업을 성공적으로 실행했습니다. | 작업이 완료되었습니다. |
| '이메일 작업 실행' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| '이메일 작업 실행' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. IDE에서 제한 시간을 늘리세요. | 작업에서 오류가 반환되었습니다. IDE에서 제한 시간 값을 늘립니다. |
엔드포인트 격리
Trend Vision One에서 엔드포인트를 격리합니다.
항목
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Agent UUID |
선택사항.
처리할 엔드포인트를 지정하는 쉼표로 구분된 UUID 목록입니다. 이 작업은 알림에서 발견된 항목 외에도 이러한 엔드포인트에서 실행됩니다. |
Description |
엔드포인트 격리의 이유입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
작업이 실패하더라도 JSON 결과가 표시됩니다.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에서 다음 엔드포인트를 격리했습니다. ENTITY_IDENTIFIER | 작업이 완료되었습니다. |
| '엔드포인트 격리' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| '엔드포인트 격리' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 엔드포인트: PENDING_ENDPOINTS IDE에서 제한 시간을 늘리세요. | 작업에서 오류가 반환되었습니다. IDE에서 제한 시간 값을 늘립니다. |
파일 제출
Trend Vision One에서 파일을 제출합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
File Paths |
필수 제출할 파일의 경로를 쉼표로 구분한 목록입니다. |
Archive Password |
보관 파일의 비밀번호입니다. |
Document Password |
문서의 비밀번호입니다. |
Arguments |
제출된 파일의 인수입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"Entity": "file path",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에 다음 파일을 제출했습니다. FILE_PATHS | 작업이 완료되었습니다. |
| '파일 제출' 작업 실행 중에 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| '파일 제출' 작업 실행 중에 오류가 발생했습니다. 이유: 다음 파일을 찾을 수 없거나 액세스할 수 없습니다. LIST_OF_FILE_PATHS | 작업에서 오류가 반환되었습니다. 파일 경로를 확인합니다. |
URL 제출
Trend Vision One에 URL을 제출합니다.
항목
이 작업은 URL 항목에서 실행됩니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Action |
이메일의 작업입니다. 기본값은
|
Message ID |
필수 작업에 사용된 메시지의 ID입니다. |
Mailbox |
메일과 관련된 편지함입니다. |
Description |
실행된 작업에 대한 설명입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"Entity": "url",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에 다음 URL이 제출되었습니다. LIST_OF_URLS | 작업이 완료되었습니다. |
| 'URL 제출' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| 'URL 제출' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 파일: FILES_STILL_IN_PROGRESS IDE에서 제한 시간을 늘리세요. | 작업에서 오류가 반환되었습니다. IDE에서 제한 시간 값을 늘립니다. |
엔드포인트 격리 해제
Trend Vision One에서 엔드포인트의 격리를 해제합니다.
항목
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Agent UUID |
선택사항.
처리할 엔드포인트를 지정하는 쉼표로 구분된 UUID 목록입니다. 이 작업은 알림에서 발견된 항목 외에도 이러한 엔드포인트에서 실행됩니다. |
Description |
엔드포인트를 격리 해제하는 이유입니다. |
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
작업이 실패하더라도 JSON 결과가 표시됩니다.
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에서 다음 엔드포인트의 격리를 해제했습니다. ENTITY_IDENTIFIER | 작업이 완료되었습니다. |
| '엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
| '엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 엔드포인트: PENDING_ENDPOINTS IDE에서 제한 시간을 늘리세요. | 작업에서 오류가 반환되었습니다. IDE에서 제한 시간 값을 늘립니다. |
Workbench 알림 업데이트
Trend Vision One에서 워크벤치 알림을 업데이트합니다.
항목
이 작업은 항목에서 실행되지 않습니다.
작업 입력
작업을 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Alert ID
|
필수 업데이트해야 하는 알림의 ID입니다. |
Status |
필수 알림에 설정할 상태입니다. 기본값은
|
작업 출력
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 해당 사항 없음 |
| 케이스 월 링크 | 해당 사항 없음 |
| 케이스 월 테이블 | 해당 사항 없음 |
| 보강 테이블 | 해당 사항 없음 |
| 항목 통계 | 해당 사항 없음 |
| 인사이트 | 해당 사항 없음 |
| JSON 결과 | 사용 가능 |
| OOTB 위젯 | 해당 사항 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True/False |
JSON 결과
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@example.com",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-198.51.100.1",
"macAddress": null,
"name": "198.51.100.1",
"sensorZone": "",
"value": "198.51.100.1"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "example",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "198.51.100.1",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "198.51.100.1",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "Example_server_auth_message",
"metadata_mapperName": "Example Server Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Example Product",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Example Vendor",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "198.51.100.1",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
케이스 월
이 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
| Trend Micro Vision One에서 ID ID로 워크벤치 알림을 업데이트했습니다. | 작업이 완료되었습니다. |
| '워크벤치 알림 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ERROR_REASON | 작업에서 오류가 반환되었습니다.
서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
커넥터
Google SecOps에서 Trend Vision One 커넥터를 만들고 구성하는 방법에 대한 안내는 커넥터 구성을 참고하세요.
Trend Vision One Workbench Alerts Connector
Trend Vision One에서 워크벤치 알림에 관한 정보를 가져옵니다.
커넥터 매개변수
커넥터를 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Product Field Name |
필수
제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. 기본값은 |
Event Field Name |
필수
이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 이 매개변수를 사용하면 사용자가 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout (Seconds) |
필수
현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 180입니다. |
API Root |
필수
Trend Vision One 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수
Trend Vision One 계정의 API 키입니다. |
Lowest Severity Score To Fetch |
선택사항
가져올 인시던트의 가장 낮은 심각도 점수입니다. 아무것도 제공하지 않으면 커넥터는 모든 심각도의 인시던트를 수집합니다. 가능한 값은 다음과 같습니다.
|
Max Hours Backwards |
선택사항 인시던트를 가져올 위치의 시간입니다. 기본값은 1시간입니다. |
Max Alerts To Fetch |
선택사항
커넥터 반복당 처리할 알림 수입니다. 기본값은 10입니다. |
Use dynamic list as a blocklist |
필수 선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택 취소되어 있습니다. |
Verify SSL |
필수 선택하면 Trend Vision One 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Proxy Server Address |
선택사항 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항 인증할 프록시 비밀번호입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.