Trend Micro Cloud App Security

統合バージョン: 3.0

プロダクトのユースケース

アクティブなアクションを実行する - エンティティの拡充、メールの検索、ブロックリストの更新、メールやアカウントの緩和など。

API トークンを生成する方法

[アドミニストレーション] > [自動化と API の統合] に移動します。
[追加] ボタンを押します。
[外部アプリケーション用] を選択します。
[名前] を入力し、すべてのチェックボックスをオンにします。
[トークンを作成] をクリックします。
「トークン」をコピーします。
統合構成の「API キー」パラメータを更新します。
接続をテストする。

Chronicle SOAR で Trend Micro Cloud App Security 統合を構成する

Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名	種類	デフォルト値	必須	説明
API ルート	文字列	https://api-eu.tmcas.trendmicro.com	○	Trend Micro Cloud App Security インスタンスの API ルート。
API キー	パスワード	なし	○	Trend Micro Cloud App Security インスタンスの API キー。
SSL を確認	チェックボックス	オン	○	有効になっている場合は、Trend Micro Cloud App Security サーバーへの接続用の SSL 証明書が有効であることを確認します。

アクション

Ping

説明

[Chronicle Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trend Micro Cloud App Security への接続性をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション
is_success	is_success=False
is_success	is_success=True

ケースウォール

結果のタイプ	値 / 説明	種類
出力メッセージ *	成功した場合（is success = true）- 指定された接続パラメータを使用して Trend Micro Cloud App Security サーバーに正常に接続されました。失敗した場合（is success = false）- Trend Micro Cloud App Security サーバーへの接続に失敗しました。エラー: {0}」format(exception.stacktrace)	一般

結果のタイプ

値 / 説明

種類

出力メッセージ *

成功した場合（is success = true）- 指定された接続パラメータを使用して Trend Micro Cloud App Security サーバーに正常に接続されました。

失敗した場合（is success = false）- Trend Micro Cloud App Security サーバーへの接続に失敗しました。エラー: {0}」format(exception.stacktrace)

一般

ブロックリストにエンティティを追加する

説明

Trend Micro Cloud App Security のブロックリストにエンティティを追加します。サポートされるエンティティ: URL、ハッシュ、メール（メールアドレスのパターンに一致するユーザーエンティティ）。

パラメータ

Name	デフォルト値	必須	説明
なし	なし	なし	なし

実行

このアクションは次のエンティティに対して実行されます。

URL
Hash
メールアドレス

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

ケースウォール

ケース	完了	不合格	メッセージ
1 つのエンティティで成功した場合	true	false	Trend Micro Cloud App Security のブロックリストに次のエンティティが正常に追加されました: {\n entity.identifier}
1 つのエンティティで失敗した場合	true	false	アクションによって、Trend Micro Cloud App Security のブロックリストに次のエンティティを追加できませんでした: {\n entity.identifier}
重複している場合	true	false	次のエンティティはすでに Trend Micro Cloud App Security のブロックリストに含まれています: {\n entity.identifier}
すべてで失敗	false	false	Trend Micro Cloud App Security の情報を使用してエンティティは追加されませんでした
致命的なエラー、無効な認証情報、API ルート	false	true	「ブロックリストにエンティティを追加」アクションの実行中にエラーが発生しました。理由: {error traceback}

メールを軽くする

説明

Trend Micro Cloud App Security を使用してメールを削除または隔離します。注: Gmail で削除できるのはメールのみです。

パラメータ

Name	デフォルト値	必須	説明
メッセージ ID	なし	○	軽減する必要があるメッセージ ID のカンマ区切りのリストを指定します。
軽減アクション	削除有効な値: 削除検疫	○	適用する軽減アクションを指定します。
サービス	Gmail 指定できる値 Gmail エクスチェンジ	○	メールに使用するサービスを指定します。

Name

デフォルト値

必須

説明

メッセージ ID

なし

○

軽減する必要があるメッセージ ID のカンマ区切りのリストを指定します。

軽減アクション

削除

有効な値:

削除

検疫

○

適用する軽減アクションを指定します。

サービス

Gmail

指定できる値

Gmail

エクスチェンジ

○

メールに使用するサービスを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

ケースウォール

ケース	完了	不合格	メッセージ
1 つの message_id で成功した場合	True	false	Trend Micro Cloud App Security で次のメールが正常に軽減されました: {\nunique message ids}
1 つの message_id で失敗した場合	True	false	Trend Micro Cloud App Security の次のメールを軽減できませんでした: {\nunique message ids}
すべてで失敗	false	false	Trend Micro Cloud App Security で軽減されたメールはありません。
致命的なエラー、無効な認証情報、API ルート	false	true	「メールを軽減する」アクションの実行中にエラーが発生しました。理由: {error traceback}
[隔離] が選択されていて、[Gmail] がサービスである場合	false	true	「メールを軽減する」アクションの実行中にエラーが発生しました。理由: 削除できるのは Gmail サービス内のメールのみです。

エンティティのメール検索

説明

Trend Micro Cloud App Security のエンティティに基づいてメールを検索します。サポートされているエンティティ: URL、ハッシュ、メール（メールアドレスパターンに一致するユーザーエンティティ）、メールの件名、ファイル名、IP。

パラメータ

Name	デフォルト値	必須	説明
遡る最大日数	30	いいえ	メールを検索する際に遡る日数を指定します。最大値は 90 です。デフォルト: 30。
返されるメールの最大数	100	いいえ	返されるメールの数を指定します。デフォルト: 100。

実行

このアクションは次のエンティティに対して実行されます。

URL
Hash
メールアドレス
Email Subject
ファイル名
IP アドレス

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

JSON の結果

emails=[{list of unique emails}]

ケースウォール

ケース	完了	不合格	メッセージ
データがある場合:	true	false	Trend Micro Cloud App Security で指定されたエンティティに関連するメールに関する情報が正常に返されました。
データがない場合	false	false	Trend Micro Cloud App Security でエンティティに関連するメールに関する情報が見つかりませんでした。
致命的なエラー、無効な認証情報、API ルート	false	true	「エンティティメール検索」アクションの実行中にエラーが発生しました。理由: {error traceback}
「遡る最大日数」 > 90 の場合	false	true	「エンティティメール検索」アクションの実行中にエラーが発生しました。理由:「遡る最大日数」には 1～90 の範囲で指定してください。

エンティティの拡充

説明

Trend Micro Cloud App Security の情報を使用してエンティティを拡充します。サポートされるエンティティ: URL、ハッシュ、メール（メールアドレスのパターンに一致するユーザーエンティティ）。

パラメータ

Name	デフォルト値	必須	説明
なし	なし	なし	なし

実行

このアクションは次のエンティティに対して実行されます。

URL
Hash
メールアドレス

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

JSON の結果

blocked_url = [URL entities that were found]
blocked_hashes = [hashes entities that were found]
blocked_senders = [User entities that were found]

ケースウォール

ケース	完了	不合格	メッセージ
1 つのエンティティで成功した場合	true	false	Trend Micro Cloud App Security から次のエンティティに関する情報が正常に取得されました: {\n entity.identifier}
1 つのエンティティで失敗した場合	true	false	アクションでは Trend Micro Cloud App Security から次のエンティティに関する情報を取得できませんでした: {\n entity.identifier}
すべてで失敗	false	false	Trend Micro Cloud App Security の情報を使用して拡充されたエンティティはありません
致命的なエラー、無効な認証情報、API ルート	false	true	「エンティティを拡充」アクションの実行中にエラーが発生しました。理由: {error traceback}

アカウントの軽減

説明

Trend Micro Cloud App Security を使用して、ユーザーアカウントに対する軽減アクションを実行します。

パラメータ

Name	デフォルト値	必須	説明
メールアドレス	なし	○	軽減する必要があるメールアドレスのカンマ区切りのリストを指定します。
軽減アクション	アカウントを無効にする MFA を有効にするパスワードの再設定ログインセッションを取り消す	○	適用する軽減アクションを指定します。

Name

デフォルト値

必須

説明

メールアドレス

なし

○

軽減する必要があるメールアドレスのカンマ区切りのリストを指定します。

軽減アクション

アカウントを無効にする

MFA を有効にする

パスワードの再設定

ログインセッションを取り消す

○

適用する軽減アクションを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

スクリプトの結果名	値のオプション	例
is_success	True/False	is_success:False

ケースウォール

ケース	完了	不合格	メッセージ
1 つのメールアドレスで成功した場合。	true	false	Trend Micro Cloud App Security のアカウントが正常に緩和されました: {\n email addresses}
1 つのエンティティで失敗した場合	true	false	Trend Micro Cloud App Security の次のアカウントにはアクションが適用されませんでした: {\n email addresses}
すべてで失敗	false	false	Trend Micro Cloud App Security の情報を使用して軽減されたアカウントはありません。
非同期メッセージ	false	false	緩和策の完了を待機しています
致命的なエラー、無効な認証情報、API ルート	false	true	「アカウントの軽減」アクションの実行中にエラーが発生しました。理由: {error traceback}