趨勢科技 DDAN
整合版本:3.0
在 Google Security Operations 中設定 Trend Micro DDAN 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://IP_ADDRESS |
是 | Trend Micro DDAN 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Trend Micro DDAN 執行個體的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,系統會驗證連線至 Trend Micro DDAN 的 SSL 憑證是否有效。 |
動作
乒乓
使用 Google Security Operations Marketplace 分頁整合設定頁面中提供的參數,測試與 Trend Micro DDAN 的連線。
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Trend Micro DDAN server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Trend Micro DDAN 伺服器!) 動作應會失敗並停止執行應對手冊: 如果連線失敗:「Failed to connect to the Trend Micro DDAN server! 錯誤為「{0}」。format(exception.stacktrace) |
一般 |
提交檔案
在 Trend Micro DDAN 中提交檔案。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案網址 | CSV | 不適用 | 是 | 指定以半形逗號分隔的網址清單,這些網址會指向需要分析的檔案。 |
| 擷取事件記錄 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會擷取與檔案相關的事件記錄。 |
| 擷取可疑物件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會擷取可疑物件。 |
| 擷取沙箱螢幕截圖 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會嘗試擷取與檔案相關的沙箱螢幕截圖。 |
| 重新提交檔案 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作不會檢查先前是否已提交這個檔案。 |
| 要傳回的事件記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的事件記錄數量。上限:200 個 |
| 要傳回的可疑物件數量上限 | 整數 | 50 | 否 | 指定要傳回的可疑物件數量。上限:200 個 |
| 擷取可疑物件 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會擷取可疑物件。 |
| 要傳回的可疑物件數量上限 | 整數 | 50 | 否 | 指定要傳回的可疑物件數量。上限:200 個 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果傳回報表 (is_success=true):「已在 Trend Micro DDAN 中成功分析下列網址: 如果未傳回其中一個報表 (is_success=true):「Action wasn't able to return results the following URLs in Trend Micro DDAN: 如果未傳回所有網址的報表 (is_success=true):「提供的網址沒有結果。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『提交檔案網址』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" |
一般 |
提交檔案網址
使用 Trend Micro DDAN 中的網址提交檔案。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案網址 | CSV | 不適用 | 是 | 指定以半形逗號分隔的網址清單,這些網址會指向需要分析的檔案。 |
| 擷取事件記錄 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會擷取與檔案相關的事件記錄。 |
| 擷取可疑物件 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會擷取可疑物件。 |
| 擷取沙箱螢幕截圖 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會嘗試擷取與檔案相關的沙箱螢幕截圖。 |
| 重新提交檔案 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作不會檢查先前是否已提交這個檔案。 |
| 要傳回的事件記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的事件記錄數量。上限:200 個 |
| 要傳回的可疑物件數量上限 | 整數 | 50 | 否 | 指定要傳回的可疑物件數量。上限:200 個 |
| 擷取可疑物件 | 核取方塊 | 已勾選 | 否 | 如果啟用,動作會擷取可疑物件。 |
| 要傳回的可疑物件數量上限 | 整數 | 50 | 否 | 指定要傳回的可疑物件數量。上限:200 個 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果傳回報表 (is_success=true):「已在 Trend Micro DDAN 中成功分析下列網址: 如果未傳回其中一個報表 (is_success=true):「Action wasn't able to return results the following URLs in Trend Micro DDAN: 如果未傳回所有網址的報表 (is_success=true):「提供的網址沒有結果。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『提交檔案網址』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。