Integrar o Anomali STAXX com o Google SecOps
Este documento explica como integrar o Anomali STAXX ao Google Security Operations (Google SecOps).
Versão da integração: 4.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Anomali STAXX. |
| Senha | Senha | N/A | Sim | Senha da conta do Anomali STAXX. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor Anomali STAXX é válido. |
| Executar remotamente | Caixa de seleção | Selecionado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Anomali STAXX usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
Nenhuma.
Data de execução
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido : "Conexão com o servidor Anomali STAXX estabelecida com os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for possível: "Não foi possível se conectar ao servidor Anomali STAXX! Erro: {0}".format(exception.stacktrace) |
Geral |
Conectores
Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Anomali STAXX: conector de indicadores
Extrai indicadores do Anomali STAXX.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
| Nome do campo de evento | String | itype | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo de ambiente | String | "" | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Int | 180 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| Endereço do servidor | String | https://<ip>:<port> | Sim | Endereço do servidor da instância do Anomali STAXX. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Anomali STAXX. |
| Senha | Senha | N/A | Sim | Senha da conta do Anomali STAXX. |
| Fuso horário do servidor | String | N/A | Não | Especifique qual fuso horário está definido no servidor Anomali STAXX em relação ao UTC, como +1 ou -1. Se nada for especificado, o conector usará o UTC como fuso horário padrão. |
| Menor gravidade a ser buscada | String | Médio | Sim | A menor gravidade que será usada para buscar indicadores. Valores possíveis:
|
| Menor nível de confiança para buscar | Número inteiro | 0 | Não | O menor nível de confiança que será usado para buscar indicadores. |
| Buscar horas máximas para trás | Número inteiro | 1 | Não | O número de horas antes do momento atual para recuperar indicadores. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. |
| Número máximo de indicadores a serem buscados | Número inteiro | 50 | Não | Quantos indicadores processar por iteração de conector. |
Use whitelist as a blacklist |
Caixa de seleção | Desmarcado | Sim | Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Anomali STAXX. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.