Trend Vision One
整合版本:3.0
將 Trend Vision One 與 Google Security Operations 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合輸入內容
如要設定整合,請使用下列參數:
| 參數 | |
|---|---|
| API 根層級 | 必要
Trend Vision One 執行個體的 API 根目錄。 預設值為 |
| API 權杖 | 必要
Trend Vision One 帳戶的 API 金鑰。 |
| 驗證 SSL | 如果勾選這個選項,整合服務會驗證連線至 Trend Vision One 伺服器的 SSL 憑證是否有效。 預設為勾選 |
如何產生 API 權杖
如要進一步瞭解如何產生 API 權杖,請參閱「取得帳戶的驗證權杖」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
充實實體
使用 Trend Vision One 的資訊擴充實體。
實體
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Agent UUID |
選用。
以半形逗號分隔的 UUID 清單,用於指定要處理的端點。 除了快訊中找到的任何實體,系統也會在這些端點上執行動作。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 適用於 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Example OS",
"osVersion": "6.1.1111",
"osDescription": "Example OS Professional (64 bit) build 1111",
"productCode": "xes",
"loginAccount": {
"value": [
"EXAMPLE\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "EXAMPLE",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"01:23:45:ab:cd:ef",
"01:23:45:67:ab:cd:ef:gh"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"198.51.100.1"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
實體擴充功能 - 前置字元:TrendMicroVisionOne_
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| os | osDescription | 以 JSON 格式提供時 |
| login_account | loginAccount.value 的 CSV 檔案 | 以 JSON 格式提供時 |
| endpoint_name | endpointName.value | 以 JSON 格式提供時 |
| ip | Csv ip.value | 以 JSON 格式提供時 |
| installedProductCodes | 已安裝產品代碼的 CSV 檔案 | 以 JSON 格式提供時 |
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已使用 Trend Micro Vision One 的資訊,成功擴充下列實體:ENTITY_IDENTIFIER | 動作成功。 |
| 執行「Enrich Entities」動作時發生錯誤。原因:ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
案件訊息牆表格
名稱:ENTITY_IDENTIFIER
欄:
- 鍵
- 值
執行自訂指令碼
在 Trend Vision One 的端點上執行自訂指令碼。
實體
這項動作會對下列實體執行:
- 主機名稱
- IP 位址。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Agent UUID |
選用。
以半形逗號分隔的 UUID 清單,用於指定要處理的端點。 除了快訊中找到的任何實體,系統也會在這些端點上執行動作。 |
Script Name |
必要
需要在端點上執行的指令碼名稱。 |
Script Parameters |
指令碼的參數。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 適用於 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
即使動作失敗,系統仍會提供 JSON 結果。
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 的下列端點上成功執行自訂指令碼「SCRIPT_NAME」:ENTITY_IDENTIFIER | 動作成功。 |
| 執行「執行自訂指令碼」動作時發生錯誤。原因: ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「執行自訂指令碼」動作時發生錯誤。原因:找不到名為「SCRIPT_NAME」的指令碼。 | 動作傳回錯誤。
檢查指令碼名稱。 |
| 執行「執行自訂指令碼」動作時發生錯誤。原因:動作在執行期間逾時。請在 IDE 中增加逾時時間。 | 動作傳回錯誤。在 IDE 中增加逾時值。 |
執行電子郵件動作
在 Trend Vision One 中對端點執行電子郵件動作。
實體
系統不會對實體執行這項操作。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Action |
電子郵件的動作。 預設值為
|
Message ID |
必要 動作中使用的訊息 ID。 |
Mailbox |
與郵件相關的信箱。 |
Description |
所執行動作的說明。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"id": "RM-20231017-00001",
"status": "running",
"createdDateTime": "2023-10-17T05:25:37Z",
"lastActionDateTime": "2023-10-17T05:25:37Z",
"description": "task description",
"action": "quarantineMessage",
"account": "API key",
"tasks": [
{
"messageId": "<64e32256-fae1-4652-9f7a-8e514ec86d5a@example.com>",
"mailBox": "example.user@example.com",
"messageSubject": "Example Service has merged the incidents detected in your environment",
"uniqueId": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0A28vWY1XUyUyUUvI8a3APqAADxR_EPAAA",
"organizationId": "40c52b8c-062a-4095-bd74-e46a5eb48308",
"status": "running",
"lastActionDateTime": "2023-10-17T05:25:38Z"
}
]
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中對郵件 ID 成功執行動作。 | 動作成功。 |
| 執行「執行電子郵件動作」動作時發生錯誤。原因: ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「執行電子郵件動作」動作時發生錯誤。原因:動作在執行期間逾時。請在 IDE 中增加逾時時間。 | 動作傳回錯誤。在 IDE 中增加逾時值。 |
隔離端點
在 Trend Vision One 中隔離端點。
實體
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Agent UUID |
選用。
以半形逗號分隔的 UUID 清單,用於指定要處理的端點。 除了快訊中找到的任何實體,系統也會在這些端點上執行動作。 |
Description |
隔離端點的原因。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
即使動作失敗,系統仍會顯示 JSON 結果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中成功隔離下列端點: ENTITY_IDENTIFIER | 動作成功。 |
| 執行「隔離端點」動作時發生錯誤。原因: ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「隔離端點」動作時發生錯誤。原因:動作在執行期間逾時。待處理的端點:PENDING_ENDPOINTS。 請在 IDE 中增加逾時時間。 | 動作傳回錯誤。在 IDE 中增加逾時值。 |
提交檔案
在 Trend Vision One 中提交檔案。
實體
系統不會對實體執行這項操作。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
File Paths |
必要 以半形逗號分隔的檔案路徑清單,用於提交檔案。 |
Archive Password |
封存檔的密碼。 |
Document Password |
文件的密碼。 |
Arguments |
提交檔案的引數。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"Entity": "file path",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中成功提交下列檔案: FILE_PATHS | 動作成功。 |
| 執行「提交檔案」動作時發生錯誤。原因:ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「提交檔案」動作時發生錯誤。原因:找不到或無法存取下列檔案:LIST_OF_FILE_PATHS | 動作傳回錯誤。 檢查檔案路徑。 |
提交網址
在 Trend Vision One 中提交網址。
實體
這項動作會對網址實體執行。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Action |
電子郵件的動作。 預設值為
|
Message ID |
必要 動作中使用的訊息 ID。 |
Mailbox |
與郵件相關的信箱。 |
Description |
所執行動作的說明。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"Entity": "url",
"EntityResult": {
"id": "3daefed8-466f-46c6-849a-4dd46edb94b4",
"type": "file",
"digest": {
"md5": "f90a614c2ec8f72c55c2f50c0af923f3",
"sha1": "d3f75803673b19c0c736efbaf6a8d3891ae18a10",
"sha256": "3ba41b6e5c2ee4e9a2710976b177cf0db1080eb0277c554aa7d6ef1f0b04b33f"
},
"analysisCompletionDateTime": "2023-10-16T17:38:21Z",
"riskLevel": "noRisk",
"detectionNames": [],
"threatTypes": [],
"trueFileType": "Shell Script"
}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中成功提交下列網址: LIST_OF_URLS | 動作成功。 |
| 執行「提交網址」動作時發生錯誤。原因:ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「提交網址」動作時發生錯誤。原因:動作在執行期間逾時。待處理的檔案:FILES_STILL_IN_PROGRESS。 請在 IDE 中增加逾時時間。 | 動作傳回錯誤。在 IDE 中增加逾時值。 |
取消隔離端點
在 Trend Vision One 中取消隔離端點。
實體
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Agent UUID |
選用。
以半形逗號分隔的 UUID 清單,用於指定要處理的端點。 除了快訊中找到的任何實體,系統也會在這些端點上執行動作。 |
Description |
解除端點隔離的原因。 |
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
即使動作失敗,系統仍會顯示 JSON 結果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中成功解除下列端點的隔離狀態: ENTITY_IDENTIFIER | 動作成功。 |
| 執行「Unisolate Endpoints」動作時發生錯誤。原因: ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
| 執行「Unisolate Endpoints」動作時發生錯誤。原因:動作在執行期間逾時。待處理的端點:PENDING_ENDPOINTS。 請在 IDE 中增加逾時時間。 | 動作傳回錯誤。在 IDE 中增加逾時值。 |
更新 Workbench 快訊
在 Trend Vision One 中更新工作台快訊。
實體
系統不會對實體執行這項操作。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | |
|---|---|
Alert ID
|
必要 需要更新的警示 ID。 |
Status |
必要 要為快訊設定的狀態。 預設值為
|
動作輸出內容
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| 洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 立即可用的小工具 | 不適用 |
| 指令碼執行結果 | 適用於 |
指令碼結果
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | True/False |
JSON 結果
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@example.com",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-198.51.100.1",
"macAddress": null,
"name": "198.51.100.1",
"sensorZone": "",
"value": "198.51.100.1"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "example",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "198.51.100.1",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "198.51.100.1",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "Example_server_auth_message",
"metadata_mapperName": "Example Server Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Example Product",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Example Vendor",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "198.51.100.1",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
案件總覽
這個動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
| 已在 Trend Micro Vision One 中成功更新 ID 為 ID 的工作台快訊。 | 動作成功。 |
| 執行「更新 Workbench 快訊」動作時發生錯誤。原因: ERROR_REASON | 動作傳回錯誤。
請檢查伺服器連線、輸入參數或憑證。 |
連接器
如需在 Google SecOps 中建立及設定 Trend Vision One 連接器的操作說明,請參閱「設定連接器」。
Trend Vision One Workbench 警報連接器
從 Trend Vision One 擷取有關工作台快訊的資訊。
連接器參數
如要設定連接器,請使用下列參數:
| 參數 | |
|---|---|
Product Field Name |
必要
輸入來源欄位名稱,以便擷取產品欄位名稱。 預設值為 |
Event Field Name |
必要
輸入來源欄位名稱,即可擷取事件欄位名稱。 預設值為 |
Environment Field Name |
選填
說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 預設值為 |
Environment Regex Pattern |
選填
要在 預設值 使用者可以透過這個參數,使用規則運算式邏輯操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必要
執行目前指令碼的 Python 程序逾時限制。 預設值為 180。 |
API Root |
必要
Trend Vision One 執行個體的 API 根目錄。 預設值為 |
API Key |
必要
Trend Vision One 帳戶的 API 金鑰。 |
Lowest Severity Score To Fetch |
選填
要擷取的事件最低嚴重程度分數。 如果未提供任何資訊,連接器會擷取所有嚴重程度的事件。 可能的值包括:
|
Max Hours Backwards |
選用 要擷取事件的小時數。 預設值為 1 小時。 |
Max Alerts To Fetch |
選填
每個連接器疊代要處理的快訊數量。 預設值為 10。 |
Use dynamic list as a blocklist |
必要 如果勾選,動態清單會做為封鎖清單使用。 (預設為不勾選)。 |
Verify SSL |
必要 如果勾選這個選項,系統會驗證連線至 Trend Vision One 伺服器的 SSL 憑證是否有效。 預設為勾選。 |
Proxy Server Address |
選用 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選用 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選用 用於驗證的 Proxy 密碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。