Anomali STAXX를 Google SecOps와 통합
이 문서에서는 Anomali STAXX를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 4.0
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 서버 주소 | 문자열 | https://<ip>:<port> | 예 | Anomali STAXX 인스턴스의 서버 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Anomali STAXX 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Anomali STAXX 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 Anomali STAXX 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 | 아니요 | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Anomali STAXX에 대한 연결을 테스트합니다.
매개변수
없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Anomali STAXX 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'Anomali STAXX 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Anomali STAXX - Indicators Connector
Anomali STAXX에서 표시기를 가져옵니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 |
제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
| 이벤트 필드 이름 | 문자열 | itype | 예 | 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. |
Environment Regex Pattern |
문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| 서버 주소 | 문자열 | https://<ip>:<port> | 예 | Anomali STAXX 인스턴스의 서버 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Anomali STAXX 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Anomali STAXX 계정의 비밀번호입니다. |
| 서버 시간대 | 문자열 | 해당 사항 없음 | 아니요 | UTC를 기준으로 Anomali STAXX 서버에 설정된 시간대를 지정합니다(예: +1 또는 -1). 지정하지 않으면 커넥터에서 UTC를 기본 시간대로 사용합니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 보통 | 예 | 표시기를 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값은 다음과 같습니다.
|
| 가져올 가장 낮은 신뢰도 | 정수 | 0 | 아니요 | 표시기를 가져오는 데 사용할 가장 낮은 신뢰도입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 현재 시간으로부터 몇 시간 전까지의 지표를 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. |
| 가져올 최대 지표 수 | 정수 | 50 | 아니요 | 커넥터 반복당 처리할 지표 수입니다. |
Use whitelist as a blacklist |
체크박스 | 선택 해제 | 예 | 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 선택하면 Anomali STAXX 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.