Integrar o Anomali STAXX ao Google SecOps
Este documento explica como integrar o Anomali STAXX ao Google Security Operations (Google SecOps).
Versão da integração: 4.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Anomali STAXX. |
| Senha | Senha | N/A | Sim | Senha da conta do Anomali STAXX. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor Anomali STAXX é válido. |
| Executar remotamente | Caixa de seleção | Selecionado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Anomali STAXX usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
Nenhuma.
Data de execução
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedida : "Conexão bem-sucedida com o servidor Anomali STAXX usando os parâmetros de conexão fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for possível: "Não foi possível se conectar ao servidor Anomali STAXX. O erro é {0}".format(exception.stacktrace) |
Geral |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Anomali STAXX: conector de indicadores
Extrai indicadores do Anomali STAXX.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
| Nome do campo do evento | String | itype | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo de ambiente | String | "" | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Int | 180 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Anomali STAXX. |
| Senha | Senha | N/A | Sim | Senha da conta do Anomali STAXX. |
| Fuso horário do servidor | String | N/A | Não | Especifique qual fuso horário está definido no servidor do Anomali STAXX em relação ao UTC, como +1 ou -1. Se nada for especificado, o conector usará o UTC como fuso horário padrão. |
| Menor gravidade a ser buscada | String | Médio | Sim | A menor gravidade que será usada para buscar indicadores. Valores possíveis:
|
| Menor nível de confiança para buscar | Número inteiro | 0 | Não | A menor confiança que será usada para buscar indicadores. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | O número de horas antes do momento atual para recuperar indicadores. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. |
| Número máximo de indicadores a serem buscados | Número inteiro | 50 | Não | Quantos indicadores processar por iteração de conector. |
Use whitelist as a blacklist |
Caixa de seleção | Desmarcado | Sim | Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Anomali STAXX. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.