Trend Vision One
集成版本:3.0
将 Trend Vision One 与 Google Security Operations 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成输入
如需配置集成,请使用以下参数:
| 参数 | |
|---|---|
| API 根 | 必需
Trend Vision One 实例的 API 根。 默认值为 |
| API 令牌 | 必需
Trend Vision One 账号的 API 密钥。 |
| 验证 SSL | 如果选中此复选框,集成会验证与 Trend Vision One 服务器的连接所用的 SSL 证书是否有效。 默认处于选中状态 |
如何生成 API 令牌
如需详细了解如何生成 API 令牌,请参阅获取账号的身份验证令牌。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
丰富实体
使用 Trend Vision One 中的信息丰富实体。
实体
此操作适用于以下实体:
- 主机名
- IP 地址
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Agent UUID |
可选。
以英文逗号分隔的 UUID 列表,用于指定要处理的端点。 除了在提醒中发现的任何实体之外,该操作还会针对这些端点运行。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 可用 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Example OS",
"osVersion": "6.1.1111",
"osDescription": "Example OS Professional (64 bit) build 1111",
"productCode": "xes",
"loginAccount": {
"value": [
"EXAMPLE\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "EXAMPLE",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"01:23:45:ab:cd:ef",
"01:23:45:67:ab:cd:ef:gh"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"198.51.100.1"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
实体丰富化 - 前缀:TrendMicroVisionOne_
| 扩充项字段名称 | 来源(JSON 键) | 逻辑 - 应用场景 |
|---|---|---|
| os | osDescription | 以 JSON 格式提供时 |
| login_account | loginAccount.value 的 CSV 文件 | 以 JSON 格式提供时 |
| endpoint_name | endpointName.value | 以 JSON 格式提供时 |
| ip | CSV ip.value | 以 JSON 格式提供时 |
| installedProductCodes | installedProductCodes 的 CSV | 以 JSON 格式提供时 |
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已成功使用来自 Trend Micro Vision One 的信息丰富以下实体:ENTITY_IDENTIFIER | 操作成功。 |
| 执行操作“丰富实体”时出错。原因:ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
“支持请求墙”表格
名称:ENTITY_IDENTIFIER
列:
- 键
- 值
执行自定义脚本
在 Trend Vision One 中的端点上执行自定义脚本。
实体
此操作适用于以下实体:
- 主机名
- IP 地址。
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Agent UUID |
可选。
以英文逗号分隔的 UUID 列表,用于指定要处理的端点。 除了在提醒中发现的任何实体之外,该操作还会针对这些端点运行。 |
Script Name |
必需
需要在端点上执行的脚本的名称。 |
Script Parameters |
脚本的参数。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 可用 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
即使操作失败,JSON 结果也可用。
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已在 Trend Micro Vision One 中的以下端点上成功执行自定义脚本“SCRIPT_NAME”:ENTITY_IDENTIFIER | 操作成功。 |
| 执行操作“执行自定义脚本”时出错。原因: ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行操作“执行自定义脚本”时出错。原因:未找到名称为“SCRIPT_NAME”的脚本。 | 操作返回了错误。
检查脚本名称。 |
| 执行操作“执行自定义脚本”时出错。原因:操作在执行期间遇到超时。请在 IDE 中增加超时时间。 | 操作返回了错误。增加 IDE 中的超时值。 |
执行电子邮件操作
在 Trend Vision One 中对端点执行电子邮件操作。
实体
此操作不会在实体上运行。
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Action |
电子邮件的操作。 默认值为
|
Message ID |
必需 操作中使用的消息的 ID。 |
Mailbox |
与消息相关的邮箱。 |
Description |
所执行操作的说明。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"id": "RM-20231017-00001",
"status": "running",
"createdDateTime": "2023-10-17T05:25:37Z",
"lastActionDateTime": "2023-10-17T05:25:37Z",
"description": "task description",
"action": "quarantineMessage",
"account": "API key",
"tasks": [
{
"messageId": "<64e32256-fae1-4652-9f7a-8e514ec86d5a@example.com>",
"mailBox": "example.user@example.com",
"messageSubject": "Example Service has merged the incidents detected in your environment",
"uniqueId": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0A28vWY1XUyUyUUvI8a3APqAADxR_EPAAA",
"organizationId": "40c52b8c-062a-4095-bd74-e46a5eb48308",
"status": "running",
"lastActionDateTime": "2023-10-17T05:25:38Z"
}
]
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已在 Trend Micro Vision One 中成功对消息 ID 执行操作。 | 操作成功。 |
| 执行操作“执行电子邮件操作”时出错。原因: ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行操作“执行电子邮件操作”时出错。原因:操作在执行期间遇到超时。请在 IDE 中增加超时时间。 | 操作返回了错误。增加 IDE 中的超时值。 |
隔离端点
在 Trend Vision One 中隔离端点。
实体
此操作适用于以下实体:
- IP 地址
- 主机名
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Agent UUID |
可选。
以英文逗号分隔的 UUID 列表,用于指定要处理的端点。 除了在提醒中发现的任何实体之外,该操作还会针对这些端点运行。 |
Description |
端点隔离的原因。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
即使操作失败,系统也会显示 JSON 结果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已在 Trend Micro Vision One 中成功隔离以下端点: ENTITY_IDENTIFIER | 操作成功。 |
| 执行“隔离端点”操作时出错。原因: ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行“隔离端点”操作时出错。原因:操作在执行期间遇到超时。待处理的端点:PENDING_ENDPOINTS。 请在 IDE 中增加超时时间。 | 操作返回了错误。增加 IDE 中的超时值。 |
提交文件
在 Trend Vision One 中提交文件。
实体
此操作不会在实体上运行。
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
File Paths |
必需 要提交的文件的路径列表(以英文逗号分隔)。 |
Archive Password |
相应归档的密码。 |
Document Password |
文档的密码。 |
Arguments |
提交的文件的实参。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"Entity": "file path",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已在 Trend Micro Vision One 中成功提交以下文件: FILE_PATHS | 操作成功。 |
| 执行操作“提交文件”时出错。原因:ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行操作“提交文件”时出错。原因:找不到或无法访问以下文件:LIST_OF_FILE_PATHS | 操作返回了错误。 检查文件路径。 |
提交网址
在 Trend Vision One 中提交网址。
实体
此操作在网址实体上运行。
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Action |
电子邮件的操作。 默认值为
|
Message ID |
必需 操作中使用的消息的 ID。 |
Mailbox |
与消息相关的邮箱。 |
Description |
所执行操作的说明。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"Entity": "url",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已在 Trend Micro Vision One 中成功提交以下网址: LIST_OF_URLS | 操作成功。 |
| 执行操作“提交网址”时出错。原因:ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行操作“提交网址”时出错。原因:操作在执行期间超时。待处理的文件:FILES_STILL_IN_PROGRESS。 请在 IDE 中增加超时时间。 | 操作返回了错误。增加 IDE 中的超时值。 |
取消隔离端点
在 Trend Vision One 中取消隔离端点。
实体
该操作在以下实体上运行:
- IP 地址
- 主机名
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Agent UUID |
可选。
以英文逗号分隔的 UUID 列表,用于指定要处理的端点。 除了在提醒中发现的任何实体之外,该操作还会针对这些端点运行。 |
Description |
取消隔离端点的原因。 |
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
即使操作失败,系统也会显示 JSON 结果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已成功在 Trend Micro Vision One 中取消隔离以下端点: ENTITY_IDENTIFIER | 操作成功。 |
| 执行操作“取消隔离端点”时出错。原因: ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
| 执行操作“取消隔离端点”时出错。原因:操作在执行期间遇到超时。待处理的端点:PENDING_ENDPOINTS。 请在 IDE 中增加超时时间。 | 操作返回了错误。增加 IDE 中的超时值。 |
更新了 Workbench 提醒
在 Trend Vision One 中更新工作台提醒。
实体
该操作不会在实体上运行。
操作输入
如需配置操作,请使用以下参数:
| 参数 | |
|---|---|
Alert ID
|
必需 需要更新的提醒的 ID。 |
Status |
必需 要为提醒设置的状态。 默认值为
|
操作输出
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 无 |
| 案例墙链接 | 无 |
| “支持请求”表格 | 无 |
| 丰富化表 | 无 |
| 实体数据洞见 | 无 |
| 数据分析 | 无 |
| JSON 结果 | 可用 |
| OOTB widget | 无 |
| 脚本结果 | 可用 |
脚本结果
| 脚本结果名称 | 值 |
|---|---|
| is_success | True/False |
JSON 结果
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@example.com",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-198.51.100.1",
"macAddress": null,
"name": "198.51.100.1",
"sensorZone": "",
"value": "198.51.100.1"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "example",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "198.51.100.1",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "198.51.100.1",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "Example_server_auth_message",
"metadata_mapperName": "Example Server Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Example Product",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Example Vendor",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "198.51.100.1",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
案例墙
该操作会提供以下输出消息:
| 输出消息 | 消息说明 |
| 已成功在 Trend Micro Vision One 中更新 ID 为 ID 的工作台提醒。 | 操作成功。 |
| 执行操作“更新工作台提醒”时出错。原因: ERROR_REASON | 操作返回了错误。
检查与服务器的连接、输入参数或凭据。 |
连接器
如需了解如何在 Google SecOps 中创建和配置 Trend Vision One 连接器,请参阅配置连接器。
Trend Vision One Workbench Alerts 连接器
从 Trend Vision One 中提取有关工作台提醒的信息。
连接器参数
如需配置连接器,请使用以下参数:
| 参数 | |
|---|---|
Product Field Name |
必需
输入源字段名称,以便检索产品字段名称。 默认值为 |
Event Field Name |
必需
输入源字段名称,以便检索事件字段名称。 默认值为 |
Environment Field Name |
可选
描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 默认值 该参数允许用户使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必需
运行当前脚本的 Python 进程的超时时间限制。 默认值为 180。 |
API Root |
必需
Trend Vision One 实例的 API 根。 默认值为 |
API Key |
必需
Trend Vision One 账号的 API 密钥。 |
Lowest Severity Score To Fetch |
可选
要提取的突发事件的最低严重程度得分。 如果未提供任何内容,连接器会注入所有严重程度的突发事件。 可能的值包括:
|
Max Hours Backwards |
可选 提取事件的小时数。 默认值为 1 小时。 |
Max Alerts To Fetch |
可选
每次连接器迭代要处理的提醒数量。 默认值为 10。 |
Use dynamic list as a blocklist |
必需 如果选中,则动态列表用作屏蔽名单。 默认情况下处于未选中状态。 |
Verify SSL |
必需 如果选中,则验证与 Trend Vision One 服务器的连接所用的 SSL 证书是否有效。 默认处于选中状态。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。