Mengintegrasikan Armis dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Armis dengan Google Security Operations.

Versi integrasi: 12.0

Kasus Penggunaan

  1. Lakukan tindakan pengayaan.
  2. Lakukan penyerapan pemberitahuan.
  3. Lakukan tindakan triase (Perbarui Status Notifikasi).

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Root API String Ya Root Armis API
Rahasia API Sandi T/A Ya Rahasia API Armis
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Armis valid.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Ping

Uji konektivitas ke Armis.

Parameter

T/A

Dijalankan pada

Tindakan tidak menggunakan entity, dan tidak memiliki parameter input wajib.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil: "Berhasil terhubung ke server Armis dengan parameter koneksi yang diberikan!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika tidak berhasil: "Gagal terhubung ke server Armis! Error adalah {0}".format(exception.stacktrace)

 Umum

Memperkaya Entitas

Memperkaya entity menggunakan informasi dari Armis. Entitas yang didukung: IP, Alamat Mac.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Membuat Insight Endpoint Kotak centang Dicentang Ya Jika diaktifkan, tindakan ini akan membuat insight yang berisi informasi tentang endpoint.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • Alamat MAC

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False

Hasil JSON

{
    "accessSwitch": null,
    "category": "Computers",
    "dataSources": [
        {
            "firstSeen": "2021-03-07T04:04:22.562873+00:00",
            "lastSeen": "2021-03-07T04:04:22.562873+00:00",
            "name": "Example",
            "types": [
                "Asset & System Management",
                "Virtualization"
            ]
        },
        {
            "firstSeen": "2021-03-07T04:04:22.562873+00:00",
            "lastSeen": "2021-03-07T04:04:22.562873+00:00",
            "name": "Armis Smart Scanner",
            "types": [
                "Vulnerability Management"
            ]
        }
    ],
    "firstSeen": "2021-03-07T04:04:22.562873+00:00",
    "id": 1616,
    "ipAddress": "192.0.2.120",
    "ipv6": null,
    "lastSeen": "2021-03-21T08:05:40.244960+00:00",
    "macAddress": "01:23:45:ab:cd:ef",
    "manufacturer": "VMware",
    "model": "VMware Virtual Platform",
    "name": "Example",
    "operatingSystem": "CentOS",
    "operatingSystemVersion": "6.6",
    "purdueLevel": 4.0,
    "riskLevel": 5,
    "sensor": {
        "name": "North conference room",
        "type": "Physical Sensor"
    },
    "site": {
        "location": "Palo Alto",
        "name": "Palo Alto Offices"
    },
    "tags": [
        "Discover",
        "Example"
    ],
    "type": "Virtual Machines",
    "user": "",
    "visibility": "Full"
}

Pengayaan entitas

Nama kolom pengayaan Logika - Kapan harus diterapkan
category Jika tersedia dalam JSON
id Jika tersedia dalam JSON
ipAddress Jika tersedia dalam JSON
macAddress Jika tersedia dalam JSON
nama Jika tersedia dalam JSON
os Jika tersedia dalam JSON
purdue_level Jika tersedia dalam JSON
risk_level Jika tersedia dalam JSON
tags Jika tersedia dalam JSON
jenis Jika tersedia dalam JSON
pengguna Jika tersedia dalam JSON
visibilitas Jika tersedia dalam JSON
situs Jika tersedia dalam JSON
link Jika tersedia dalam JSON
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

if enriched some(is_success = true): "Berhasil memperkaya entitas berikut menggunakan Armis:\n".format(entity.identifier)

Jika tidak memperkaya beberapa (is_success = true): "Tindakan tidak dapat memperkaya entitas berikut menggunakan Armis:\n".format(entity.identifier)

Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Entitas Entity

Mencantumkan Koneksi Pemberitahuan

Mencantumkan koneksi yang terkait dengan notifikasi di Armis.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pemberitahuan Bilangan bulat Ya Tentukan ID pemberitahuan yang datanya ingin Anda tarik.
Tingkat Keparahan Terendah yang Akan Diambil DDL

Sedang

Nilai yang Mungkin:

  • Rendah
  • Sedang
  • Tinggi
 Tidak Tentukan tingkat keparahan terendah koneksi yang harus digunakan saat mengambilnya.
Jumlah Koneksi Maksimum yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah koneksi yang akan ditampilkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False

Hasil JSON

{
    "band": null,
    "channel": null,
    "dhcpAuthenticationDuration": null,
    "duration": 12339,
    "endTimestamp": "2021-03-18T20:19:31.562873+00:00",
    "id": 33355,
    "inboundTraffic": 12412512,
    "outboundTraffic": 19626489,
    "protocol": "Bluetooth",
    "radiusAuthenticationDuration": null,
    "risk": "Medium",
    "rssi": null,
    "sensor": {
        "name": "EXAMPLE",
        "type": "Switch"
    },
    "site": {
        "location": "Location",
        "name": "Location HQ"
    },
    "snr": null,
    "sourceId": 2097,
    "startTimestamp": "2021-03-18T16:53:52.562873+00:00",
    "targetId": 217,
    "title": "Connection between Example and user's iPhone",
    "totalAssociationDuration": null,
    "traffic": 32039001,
    "wlanAssociationDuration": null
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

if 200 and data is available (is_success = true): "Successfully returned connections related to the alert {alertId} based on the provided criteria in Armis." (Berhasil menampilkan koneksi terkait pemberitahuan {alertId} berdasarkan kriteria yang diberikan di Armis.)

Jika 200 dan tidak ada data yang tersedia (is_success=false): "Tidak ada koneksi yang ditemukan terkait dengan pemberitahuan {alertId} berdasarkan kriteria yang diberikan di Armis."

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "List Alert Connections". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Nama: Komunikasi yang Tersedia

Kolom:

  • Judul
  • Protokol
  • Keparahan
  • Waktu Mulai
  • Waktu Berakhir
 Umum

Memperbarui Status Notifikasi

Perbarui status pemberitahuan di Armis.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pemberitahuan Bilangan bulat Ya Tentukan ID pemberitahuan yang statusnya ingin Anda perbarui.
Status DDL

Tidak ditangani

Nilai yang memungkinkan:

  • Tidak ditangani
  • Dihentikan
  • Selesai
 Tidak Tentukan status yang harus ditetapkan untuk notifikasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

if 200 (is_success = true): "Successfully updated status of the alert "{alert id}" to "{status}" in Armis.".

Jika 400 (is_success=true): "Peringatan "{alert id}" sudah memiliki status "{status}" di Armis. "

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Perbarui Status Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

Jika 404: "Error executing action "Update Alert Status". Alasan: peringatan "{alert id}" tidak ditemukan di Armis.'

 Umum

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Armis - Alerts Connector

Tarik pemberitahuan dengan aktivitas terkait dari Armis.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Kolom Produk String alert_type Ya

Nama kolom tempat nama produk disimpan.

Nilai defaultnya adalah alert_type.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default alert_type di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.
Nama Kolom Peristiwa String jenis Ya

Nama kolom yang menentukan nama peristiwa (subjenis).
Nama Kolom Lingkungan String "" Tidak

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.
Environment Regex Pattern String .* Tidak

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.
Root API String https:// Ya Root API instance Armis.
Rahasia API Sandi T/A Ya Rahasia API akun Armis.
Tingkat Keparahan Terendah yang Akan Diambil Rendah Rendah Tidak Tingkat keparahan terendah yang akan digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: Low, Medium, High.
Maks. Jam Mundur Bilangan bulat 1 Tidak

Jumlah jam sebelum iterasi konektor pertama untuk mengambil pemberitahuan.

Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.
Jumlah Maksimum Pemberitahuan yang Akan Diambil Bilangan bulat 10 Tidak Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. Nilai maksimumnya adalah 1000.
Use whitelist as a blacklist Kotak centang Dicentang Ya

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.
Verifikasi SSL Kotak centang Tidak dicentang Ya Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Armis.
Alamat Server Proxy String Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi Tidak Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.