Armis in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Armis in Google Security Operations einbinden.
Integrationsversion: 12.0
Anwendungsbereiche
- Anreicherungsaktionen durchführen
- Benachrichtigungen aufnehmen
- Führen Sie die Triage-Aktion aus (Benachrichtigungsstatus aktualisieren).
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | Ja | Armis-API-Stamm | |
| API-Secret | Passwort | – | Ja | Armis-API-Secret |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Armis-Server gültig ist. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Armis.
Parameter
–
Ausführen am
Für die Aktion werden keine Einheiten oder erforderliche Eingabeparameter verwendet.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Armis server with the provided connection parameters!“ (Die Verbindung zum Armis-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Verbindung zum Armis-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Entitäten anreichern
Entitäten mit Informationen von Armis anreichern Unterstützte Einheiten: IP, MacAddress.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Endpoint Insight erstellen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu den Endpunkten erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- MAC‑Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"accessSwitch": null,
"category": "Computers",
"dataSources": [
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Example",
"types": [
"Asset & System Management",
"Virtualization"
]
},
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Armis Smart Scanner",
"types": [
"Vulnerability Management"
]
}
],
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"id": 1616,
"ipAddress": "192.0.2.120",
"ipv6": null,
"lastSeen": "2021-03-21T08:05:40.244960+00:00",
"macAddress": "01:23:45:ab:cd:ef",
"manufacturer": "VMware",
"model": "VMware Virtual Platform",
"name": "Example",
"operatingSystem": "CentOS",
"operatingSystemVersion": "6.6",
"purdueLevel": 4.0,
"riskLevel": 5,
"sensor": {
"name": "North conference room",
"type": "Physical Sensor"
},
"site": {
"location": "Palo Alto",
"name": "Palo Alto Offices"
},
"tags": [
"Discover",
"Example"
],
"type": "Virtual Machines",
"user": "",
"visibility": "Full"
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Kategorie | Wenn in JSON verfügbar |
| id | Wenn in JSON verfügbar |
| ipAddress | Wenn in JSON verfügbar |
| macAddress | Wenn in JSON verfügbar |
| Name | Wenn in JSON verfügbar |
| os | Wenn in JSON verfügbar |
| purdue_level | Wenn in JSON verfügbar |
| risk_level | Wenn in JSON verfügbar |
| Tags | Wenn in JSON verfügbar |
| Typ | Wenn in JSON verfügbar |
| Nutzer | Wenn in JSON verfügbar |
| visibility | Wenn in JSON verfügbar |
| Website | Wenn in JSON verfügbar |
| Link | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if enriched some(is_success = true): "Successfully enriched the following entities using Armis:\n".format(entity.identifier) Wenn einige nicht angereichert wurden (is_success = true): „Die folgenden Elemente konnten mit Armis nicht angereichert werden:\n“.format(entity.identifier) Wenn nicht alle angereichert wurden (is_success = false): „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Tabelle mit Elementen | Entität |
Benachrichtigungsverbindungen auflisten
Verbindungen im Zusammenhang mit der Benachrichtigung in Armis auflisten.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | Ganzzahl | Ja | Geben Sie die ID der Benachrichtigung an, für die Sie Verbindungsdaten abrufen möchten. | |
| Niedrigster abzurufender Schweregrad | DDL | Mittel Mögliche Werte:
|
Nein | Geben Sie den niedrigsten Schweregrad der Verbindungen an, die beim Abrufen verwendet werden sollen. |
| Maximale Anzahl zurückzugebender Verbindungen | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Verbindungen zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"band": null,
"channel": null,
"dhcpAuthenticationDuration": null,
"duration": 12339,
"endTimestamp": "2021-03-18T20:19:31.562873+00:00",
"id": 33355,
"inboundTraffic": 12412512,
"outboundTraffic": 19626489,
"protocol": "Bluetooth",
"radiusAuthenticationDuration": null,
"risk": "Medium",
"rssi": null,
"sensor": {
"name": "EXAMPLE",
"type": "Switch"
},
"site": {
"location": "Location",
"name": "Location HQ"
},
"snr": null,
"sourceId": 2097,
"startTimestamp": "2021-03-18T16:53:52.562873+00:00",
"targetId": 217,
"title": "Connection between Example and user's iPhone",
"totalAssociationDuration": null,
"traffic": 32039001,
"wlanAssociationDuration": null
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if 200 and data is available (is_success = true): "Successfully returned connections related to the alert {alertId} based on the provided criteria in Armis." Wenn 200 und keine Daten verfügbar sind (is_success=false): „No connections were found related to the alert {alertId} based on the provided criteria in Armis.“ (Es wurden keine Verbindungen im Zusammenhang mit der Benachrichtigung {alertId} auf Grundlage der angegebenen Kriterien in Armis gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Error executing action "List Alert Connections". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Name:Available Communications Spalten:
|
Allgemein |
Benachrichtigungsstatus aktualisieren
Aktualisieren Sie den Status der Benachrichtigung in Armis.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | Ganzzahl | Ja | Geben Sie die ID der Benachrichtigung an, für die Sie den Status aktualisieren möchten. | |
| Status | DDL | Nicht behandelt Mögliche Werte:
|
Nein | Geben Sie an, welcher Status für die Benachrichtigung festgelegt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if 200 (is_success = true): „Der Status der Benachrichtigung {alert id} wurde in Armis erfolgreich auf {status} aktualisiert.“ Wenn 400 (is_success=true): „Die Benachrichtigung {alert id} hat in Armis bereits den Status {status}. " Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Bei 404: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: Die Benachrichtigung „{alert id}“ wurde in Armis nicht gefunden. |
Allgemein |
Connector
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Armis – Alerts Connector
Benachrichtigungen mit zugehörigen Aktivitäten von Armis abrufen.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | alert_type | Ja | Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert |
| Name des Ereignisfelds | String | Typ | Ja | Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
| Name des Umgebungsfelds | String | "" | Nein | Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. |
Environment Regex Pattern |
String | .* | Nein |
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
| API-Stamm | String | https:// | Ja | API-Stammverzeichnis der Armis-Instanz. |
| API-Secret | Passwort | – | Ja | API-Secret des Armis-Kontos. |
| Niedrigster abzurufender Schweregrad | Niedrig | Niedrig | Nein | Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet wird. Mögliche Werte:
Low, Medium, High. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Die Anzahl der Stunden vor der ersten Connector-Iteration, in denen die Benachrichtigungen abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. |
| Max. Anzahl der abzurufenden Benachrichtigungen | Ganzzahl | 10 | Nein | Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist 1000. |
Use whitelist as a blacklist |
Kästchen | Aktiviert | Ja | Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Armis-Server validiert. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten