Integrar Anomali STAXX con Google SecOps
En este documento se explica cómo integrar Anomali STAXX con Google Security Operations (Google SecOps).
Versión de integración: 4.0
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Dirección del servidor | Cadena | https://<ip>:<port> | Sí | Dirección del servidor de la instancia de Anomali STAXX. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de STAXX de Anomali. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Anomali STAXX. |
| Verificar SSL | Casilla | Desmarcada | No | Si está habilitada, verifica que el certificado SSL de la conexión al servidor STAXX de Anomali sea válido. |
| Ejecutar de forma remota | Casilla | Marcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad con Anomali STAXX con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
Ninguno
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Anomali STAXX server with the provided connection parameters!" ("Se ha conectado correctamente al servidor Anomali STAXX con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor STAXX de Anomali. Error: {0}".format(exception.stacktrace) |
General |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Anomali STAXX - Indicators Connector
Extrae indicadores de Anomali STAXX.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí |
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
| Nombre del campo de evento | Cadena | itype | Sí | Nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo de entorno | Cadena | "" | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Cadena | .* | No |
Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. |
| Dirección del servidor | Cadena | https://<ip>:<port> | Sí | Dirección del servidor de la instancia de Anomali STAXX. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de STAXX de Anomali. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Anomali STAXX. |
| Zona horaria del servidor | Cadena | N/A | No | Especifica la zona horaria que se ha definido en el servidor STAXX de Anomali en relación con la hora UTC, como +1 o -1. Si no se especifica nada, el conector usa la zona horaria UTC de forma predeterminada. |
| Gravedad mínima que se va a obtener | Cadena | Medio | Sí | Gravedad mínima que se usará para obtener indicadores. Posibles valores:
|
| Confianza mínima para obtener | Entero | 0 | No | El nivel de confianza más bajo que se usará para obtener indicadores. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas anteriores a la hora actual para obtener indicadores. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. |
| Número máximo de indicadores que se van a obtener | Entero | 50 | No | Número de indicadores que se procesarán por cada iteración del conector. |
Use whitelist as a blacklist |
Casilla | Desmarcada | Sí | Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor STAXX de Anomali. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.