Anomali STAXX in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Anomali STAXX in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 4.0
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | https://<ip>:<port> | Ja | Serveradresse der Anomali STAXX-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Anomali STAXX-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort für das Anomali STAXX-Konto. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Anomali STAXX-Server gültig ist. |
| Remote ausführen | Kästchen | Aktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Anomali STAXX mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
Keine.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Successfully connected to the Anomali STAXX server with the provided connection parameters!“ (Die Verbindung zum Anomali STAXX-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich : „Verbindung zum Anomali STAXX-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Anomali STAXX – Indicators Connector
Indikatoren aus Anomali STAXX abrufen
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja |
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
| Name des Ereignisfelds | String | itype | Ja | Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
| Name des Umgebungsfelds | String | "" | Nein | Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. |
Environment Regex Pattern |
String | .* | Nein |
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Integer | 180 | Ja | Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
| Serveradresse | String | https://<ip>:<port> | Ja | Serveradresse der Anomali STAXX-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Anomali STAXX-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort für das Anomali STAXX-Konto. |
| Serverzeitzone | String | – | Nein | Geben Sie an, welche Zeitzone auf dem Anomali STAXX-Server in Bezug auf UTC festgelegt ist, z. B. +1 oder -1. Wenn nichts angegeben ist, verwendet der Connector UTC als Standardzeitzone. |
| Niedrigster abzurufender Schweregrad | String | Mittel | Ja | Niedrigster Schweregrad, der zum Abrufen von Indikatoren verwendet wird. Mögliche Werte:
|
| Niedrigste Konfidenz zum Abrufen | Ganzzahl | 0 | Nein | Niedrigster Konfidenzwert, der zum Abrufen von Indikatoren verwendet wird. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Indikatoren abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. |
| Maximale Anzahl der abzurufenden Indikatoren | Ganzzahl | 50 | Nein | Anzahl der Indikatoren, die pro Connector-Iteration verarbeitet werden sollen. |
Use whitelist as a blacklist |
Kästchen | Deaktiviert | Ja | Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Anomali STAXX-Server validiert. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten