整合 Anomali STAXX 與 Google SecOps
本文說明如何將 Anomali STAXX 與 Google Security Operations (Google SecOps) 整合。
整合版本:4.0
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| 伺服器位址 | 字串 | https://<ip>:<port> | 是 | Anomali STAXX 執行個體的伺服器位址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Anomali STAXX 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Anomali STAXX 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果啟用,系統會驗證連線至 Anomali STAXX 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Anomali STAXX 的連線。
參數
無
執行日期
這項動作不會在實體上執行,也沒有強制輸入參數。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully connected to the Anomali STAXX server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Anomali STAXX 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功: 「Failed to connect to the Anomali STAXX server! Error is {0}".format(exception.stacktrace) |
一般 |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Anomali STAXX - Indicators Connector
從 Anomali STAXX 提取指標。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 |
儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
| 事件欄位名稱 | 字串 | itype | 是 | 決定事件名稱 (子類型) 的欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
Environment Regex Pattern |
字串 | .* | 否 |
要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數值 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| 伺服器位址 | 字串 | https://<ip>:<port> | 是 | Anomali STAXX 執行個體的伺服器位址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Anomali STAXX 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Anomali STAXX 帳戶的密碼。 |
| 伺服器時區 | 字串 | 不適用 | 否 | 指定 Anomali STAXX 伺服器設定的時區 (相對於世界標準時間),例如 +1 或 -1。如未指定任何時區,連接器會預設使用世界標準時間。 |
| 要擷取的最低嚴重程度 | 字串 | 中 | 是 | 用於擷取指標的最低嚴重程度。 可能的值包括:
|
| 要擷取的最低信賴度 | 整數 | 0 | 否 | 用於擷取指標的最低可信度。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取指標的時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 |
| 要擷取的指標數量上限 | 整數 | 50 | 否 | 每個連接器疊代要處理的指標數量。 |
Use whitelist as a blacklist |
核取方塊 | 已取消勾選 | 是 | 如果選取這個選項,連接器會將動態清單做為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 選取後,整合服務會在連線至 Anomali STAXX 伺服器時驗證 SSL 憑證。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。