Integra Anomali STAXX con Google SecOps
Questo documento spiega come integrare Anomali STAXX con Google Security Operations (Google SecOps).
Versione integrazione: 4.0
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server | Stringa | https://<ip>:<port> | Sì | Indirizzo del server dell'istanza Anomali STAXX. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Anomali STAXX. |
| Password | Password | N/D | Sì | Password dell'account Anomali STAXX. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitata, verifica che il certificato SSL per la connessione al server Anomali STAXX sia valido. |
| Esegui da remoto | Casella di controllo | Selezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Testa la connettività ad Anomali STAXX con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
Nessuno.
Pubblica su
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Anomali STAXX riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Anomali STAXX. Error is {0}".format(exception.stacktrace) |
Generale |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Anomali STAXX - Indicators Connector
Estrai indicatori da Anomali STAXX.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì |
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
| Nome campo evento | Stringa | itype | Sì | Il nome del campo che determina il nome (sottotipo) dell'evento. |
| Nome campo ambiente | Stringa | "" | No | Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. |
Environment Regex Pattern |
Stringa | .* | No |
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
| Timeout dello script (secondi) | Int | 180 | Sì | Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. |
| Indirizzo del server | Stringa | https://<ip>:<port> | Sì | Indirizzo del server dell'istanza Anomali STAXX. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Anomali STAXX. |
| Password | Password | N/D | Sì | Password dell'account Anomali STAXX. |
| Fuso orario del server | Stringa | N/D | No | Specifica il fuso orario impostato sul server Anomali STAXX rispetto a UTC,
ad esempio +1 o -1. Se non viene specificato nulla, il
connettore utilizza UTC come fuso orario predefinito. |
| Gravità minima da recuperare | Stringa | Media | Sì | Gravità minima che verrà utilizzata per recuperare gli indicatori. Valori possibili:
|
| Confidenza minima per il recupero | Numero intero | 0 | No | Il livello di confidenza più basso che verrà utilizzato per recuperare gli indicatori. |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Il numero di ore prima di ora per recuperare gli indicatori. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. |
| Numero massimo di indicatori da recuperare | Numero intero | 50 | No | Il numero di indicatori da elaborare per ogni iterazione del connettore. |
Use whitelist as a blacklist |
Casella di controllo | Deselezionata | Sì | Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Anomali STAXX. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.