Mengintegrasikan Anomali STAXX dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Anomali STAXX dengan Google Security Operations (Google SecOps).
Versi integrasi: 4.0
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Alamat Server | String | https://<ip>:<port> | Ya | Alamat server instance Anomali STAXX. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Anomali STAXX. |
| Sandi | Sandi | T/A | Ya | Sandi akun Anomali STAXX. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Anomali STAXX valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Uji konektivitas ke Anomali STAXX dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
Tidak ada.
Dijalankan pada
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Successfully connected to the Anomali STAXX server with the provided connection parameters!" (Berhasil terhubung ke server Anomali STAXX dengan parameter koneksi yang diberikan) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server STAXX Anomali. Error adalah {0}".format(exception.stacktrace) |
Umum |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Anomali STAXX - Konektor Indikator
Tarik indikator dari Anomali STAXX.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya |
Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
| Nama Kolom Peristiwa | String | itype | Ya | Nama kolom yang menentukan nama peristiwa (subjenis). |
| Nama Kolom Lingkungan | String | "" | Tidak | Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. |
Environment Regex Pattern |
String | .* | Tidak |
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Int | 180 | Ya | Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. |
| Alamat Server | String | https://<ip>:<port> | Ya | Alamat server instance Anomali STAXX. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Anomali STAXX. |
| Sandi | Sandi | T/A | Ya | Sandi akun Anomali STAXX. |
| Zona Waktu Server | String | T/A | Tidak | Tentukan zona waktu yang ditetapkan di server Anomali STAXX terkait UTC,
seperti +1 atau -1. Jika tidak ada yang ditentukan, konektor akan menggunakan UTC sebagai zona waktu default. |
| Tingkat Keparahan Terendah yang Akan Diambil | String | Sedang | Ya | Tingkat keparahan terendah yang akan digunakan untuk mengambil Indikator. Nilai yang memungkinkan:
|
| Keyakinan Terendah yang Akan Diambil | Bilangan bulat | 0 | Tidak | Tingkat keyakinan terendah yang akan digunakan untuk mengambil indikator. |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam sebelum sekarang untuk mengambil indikator. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. |
| Jumlah Maksimum Indikator yang Akan Diambil | Bilangan bulat | 50 | Tidak | Jumlah indikator yang akan diproses per satu iterasi konektor. |
Use whitelist as a blacklist |
Kotak centang | Tidak dicentang | Ya | Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Anomali STAXX. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.