趨勢科技 Apex Central
整合版本:4.0
如何取得 API 金鑰
如要進一步瞭解如何取得 API 金鑰,請參閱「新增應用程式」。
在 Google Security Operations 中設定 Trend Micro Apex Central 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | http://x.x.x.x | 是 | Trend Micro Apex Central 執行個體的 API 根目錄。 |
| 應用程式 ID | 字串 | 不適用 | 是 | Trend Micro Apex Central 執行個體的應用程式 ID。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Trend Micro Apex Central 執行個體的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 Trend Micro Apex Central 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
在 Google Security Operations Marketplace 分頁的整合設定頁面中,使用提供的參數測試與 Trend Micro Apex Central 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功: 不成功:無法連線至 Trend Micro Apex Central 伺服器!Error: {0}".format(exception.stacktrace) |
一般 |
充實實體
說明
使用 Trend Micro Apex Central 的資訊擴充實體。支援的實體:IP 位址、MAC 位址、主機名稱、網址、雜湊。
參數
實體| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 建立端點洞察 | 是 | 否 | 如果啟用,動作會建立洞察,其中包含經過擴充的端點相關資訊。 |
| 建立 UDSO 洞察資料 | 是 | 否 | 如果啟用,動作會建立洞察資料,其中包含與 UDSO 相符的實體相關資訊。 |
| 標示 UDSO 實體 | 是 | 否 | 如果啟用,動作會將使用者定義的可疑物件清單中出現的所有實體標示為可疑。 |
| 擷取網域 | 否 | 否 | 啟用後,動作會擷取網址實體的網域部分,並用於擴充。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- MAC 位址
- 主機名稱
- 網址
- 雜湊
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
實體擴充
主機、IP、MAC
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| ip_address | 如果 JSON 結果中存在該值,則傳回該值。 |
| mac_address | 如果 JSON 結果中存在該值,則傳回該值。 |
| 主機名稱 | 如果 JSON 結果中存在該值,則傳回該值。 |
| has_endpoint_sensor | 如果 JSON 結果中存在該值,則傳回該值。 |
| isolation_status | 如果 JSON 結果中存在該值,則傳回該值。 |
| ad_domain | 如果 JSON 結果中存在該值,則傳回該值。 |
網址、雜湊、IP
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 類型 | 如果 JSON 結果中存在該值,則傳回該值。 |
| 附註 | 如果 JSON 結果中存在該值,則傳回該值。 |
| 動作 | 如果 JSON 結果中存在該值,則傳回該值。 |
| 到期 | 如果 JSON 結果中存在該值,則傳回該值。 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊:
動作應會失敗並停止執行應對手冊:
|
一般 |
| 案件總覽表格 | 名稱:找到的端點 欄: IP 位址 MAC 位址 主機名稱 有端點感應器 隔離狀態 AD 網域 |
(主機、IP、MAC) |
| 案件總覽表格 | 名稱:Found UDSO 欄: 實體 注意事項 動作 |
(網址、雜湊、IP) |
建立檔案 UDSO
說明
根據 Trend Micro Apex Central 中的檔案,建立使用者定義的可疑物件。
已知問題
處理 .eml 檔案時,這項動作不會傳回 JSON 結果。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 檔案路徑 | 不適用 | 是 | 指定要用來建立 UDSO 的檔案路徑清單 (以半形逗號分隔)。 |
| 動作 | 封鎖 可能的值: 封鎖 記錄 隔離 |
是 | 指定要對 UDSO 採取何種動作。 |
| 注意事項 | 不適用 | 否 | 為提供的 UDSO 指定其他附註。注意:附註不得超過 256 個字元。 |
| 到期時間 (天) | 不適用 | 否 | 指定 UDSO 的有效天數。如果未提供,UDSO 就不會過期。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果成功轉移 1 個檔案 | 是 | false | 已根據 Trend Micro Apex Central 中的下列檔案成功建立 UDSO:{\n file paths} |
| 如果 1 個實體未成功 | 是 | false | Action 無法根據 Trend Micro Apex Central 中的下列檔案建立 UDSO:{\n file paths} |
| 如果已存在 | 是 | false | Trend Micro Apex Central 中已存在下列 UDSO:{\n file paths} |
| 並非所有人都適用 | false | false | Trend Micro Apex Central 中未建立任何 UDSO。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「建立檔案 UDSO」動作時發生錯誤。原因:{error traceback} |
| 如果附註 > 256 個半形字元 | false | 是 | 執行「建立檔案 UDSO」動作時發生錯誤。原因:附註不得超過 256 個字元。 |
建立實體 UDSO
說明
根據 Trend Micro Apex Central 中的實體,建立使用者定義的可疑物件。支援的實體:IP、網址、雜湊。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 動作 | 封鎖 可能的值: 封鎖 記錄 |
是 | 指定要對 UDSO 採取何種動作。 |
| 注意事項 | 不適用 | 否 | 為提供的 UDSO 指定其他附註。注意:附註不得超過 256 個字元。 |
| 到期時間 (天) | 不適用 | 否 | 指定 UDSO 的有效天數。如果未提供,UDSO 就不會過期。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 網址
- 雜湊
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個實體成功 | 是 | false | 已根據 Trend Micro Apex Central 中的下列實體,成功建立 UDSO:{\n entity.identifier} |
| 如果 1 個實體未成功 | 是 | false | Action 無法根據 Trend Micro Apex Central 中的下列實體建立 UDSO:{\n entity.identifier} |
| 如果已存在 | 是 | false | Trend Micro Apex Central 中已存在下列 UDSO:{\n entity.identifier} |
| 並非所有人都適用 | false | false | Trend Micro Apex Central 中未建立任何 UDSO。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「建立實體 UDSO」動作時發生錯誤。原因:{error traceback} |
| 如果附註 > 256 個半形字元 | false | 是 | 執行「建立實體 UDSO」動作時發生錯誤。原因:附註不得超過 256 個字元。 |
取消隔離端點
說明
在 Trend Micro Apex Central 中取消隔離端點。支援的實體:IP、Mac、主機名稱。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 不適用 | 不適用 | 不適用 | 不適用 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- MAC 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個實體成功 | 是 | false | 已成功解除 Trend Micro Apex Central 中下列端點的隔離狀態:{\n entity.identifier} |
| 如果 1 個實體未成功 | 是 | false | 無法在 Trend Micro Apex Central 中取消隔離下列端點:{\n entity.identifier} |
| 並非所有人都適用 | false | false | Trend Micro Apex Central 中沒有任何端點解除隔離。 |
| 非同步訊息 | false | false | 已在下列端點上啟動端點解除隔離程序:{entity.identifier}。等待解除隔離完成。 |
| 逾時訊息 | false | false | 系統已啟動解除隔離作業,但下列端點仍處於待處理狀態:{entity.identifier}。 請考慮在 IDE 中增加逾時時間。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「Unisolate Endpoints」動作時發生錯誤。原因:{error traceback} |
隔離端點
說明
在 Trend Micro Apex Central 中隔離端點。支援的實體:IP、Mac、主機名稱。
參數
| 名稱 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|
| 不適用 | 不適用 | 不適用 | 不適用 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- MAC 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 案件 | 成功 | 失敗 | 訊息 |
|---|---|---|---|
| 如果 1 個實體成功 | 是 | false | 已成功在 Trend Micro Apex Central 中隔離下列端點:{\n entity.identifier} |
| 如果 1 個實體未成功 | 是 | false | Action 無法在 Trend Micro Apex Central 中隔離下列端點:{\n entity.identifier} |
| 並非所有人都適用 | false | false | Trend Micro Apex Central 中沒有隔離的端點。 |
| 非同步訊息 | false | false | 已對下列端點啟動端點隔離:{entity.identifier}。等待隔離完成。 |
| 逾時訊息 | 是 | false | 動作已啟動隔離程序,但下列端點仍處於待處理狀態:{entity.identifier}。 請考慮在 IDE 中增加逾時時間。 |
| 嚴重錯誤、憑證無效、API 根目錄 | false | 是 | 執行「隔離端點」動作時發生錯誤。原因:{error traceback} |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。