Intégrer Anomali STAXX à Google SecOps
Ce document explique comment intégrer Anomali STAXX à Google Security Operations (Google SecOps).
Version de l'intégration : 4.0
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse du serveur | Chaîne | https://<ip>:<port> | Oui | Adresse du serveur de l'instance Anomali STAXX. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Anomali STAXX. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Anomali STAXX. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Anomali STAXX est valide. |
| Exécuter à distance | Case à cocher | Cochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ping
Testez la connectivité à Anomali STAXX avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations.
Paramètres
Aucun
Date d'exécution
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion au serveur Anomali STAXX a été établie avec succès à l'aide des paramètres de connexion fournis." L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Anomali STAXX. Error is {0}".format(exception.stacktrace) |
Général |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Anomali STAXX – Connecteur d'indicateurs
Extraire les indicateurs d'Anomali STAXX
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui |
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
| Nom du champ d'événement | Chaîne | itype | Oui | Nom du champ qui détermine le nom (sous-type) de l'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. |
Environment Regex Pattern |
Chaîne | .* | Non |
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
| Délai avant expiration du script (en secondes) | Int | 180 | Oui | Délai limite, en secondes, pour le processus Python qui exécute le script actuel. |
| Adresse du serveur | Chaîne | https://<ip>:<port> | Oui | Adresse du serveur de l'instance Anomali STAXX. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Anomali STAXX. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Anomali STAXX. |
| Fuseau horaire du serveur | Chaîne | N/A | Non | Spécifiez le fuseau horaire défini sur le serveur Anomali STAXX par rapport à l'heure UTC, par exemple +1 ou -1. Si rien n'est spécifié, le connecteur utilise le fuseau horaire UTC par défaut. |
| Gravité la plus faible à récupérer | Chaîne | Moyenne | Oui | Niveau de gravité le plus bas utilisé pour récupérer les indicateurs. Valeurs possibles :
|
| Niveau de confiance le plus faible à récupérer | Integer | 0 | Non | Niveau de confiance le plus bas qui sera utilisé pour récupérer les indicateurs. |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures avant l'heure actuelle pour récupérer les indicateurs. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. |
| Nombre maximal d'indicateurs à récupérer | Integer | 50 | Non | Nombre d'indicateurs à traiter par itération de connecteur. |
Use whitelist as a blacklist |
Case à cocher | Décochée | Oui | Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Anomali STAXX. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur est compatible avec les proxys.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.