Integre o Anomali STAXX com o Google SecOps
Este documento explica como integrar o Anomali STAXX com o Google Security Operations (Google SecOps).
Versão da integração: 4.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Anomali STAXX. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Anomali STAXX. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Anomali STAXX é válido. |
| Executar remotamente | Caixa de verificação | Marcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Teste a conetividade ao Anomali STAXX com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
Nenhum.
É apresentado em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao servidor Anomali STAXX com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor Anomali STAXX! O erro é {0}".format(exception.stacktrace) |
Geral |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Anomali STAXX - Indicators Connector
Extrair indicadores do Anomali STAXX.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
| Nome do campo de evento | String | itype | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo do ambiente | String | "" | Não | O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Int | 180 | Sim | O limite de tempo limite, em segundos, para o processo Python que executa o script atual. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Anomali STAXX. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Anomali STAXX. |
| Fuso horário do servidor | String | N/A | Não | Especifique o fuso horário definido no servidor Anomali STAXX relativamente ao UTC, como +1 ou -1. Se não for especificado nada, o conetor usa o UTC como fuso horário predefinido. |
| Gravidade mais baixa a obter | String | Médio | Sim | Gravidade mais baixa que vai ser usada para obter indicadores. Valores possíveis:
|
| Nível de confiança mais baixo para obter | Número inteiro | 0 | Não | Confiança mais baixa que vai ser usada para obter indicadores. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | O número de horas anteriores ao momento atual para obter indicadores. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. |
| Máximo de indicadores a obter | Número inteiro | 50 | Não | O número de indicadores a processar por iteração de um conetor. |
Use whitelist as a blacklist |
Caixa de verificação | Desmarcado | Sim | Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor Anomali STAXX. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.