Google SecOps와 Armis 통합
이 문서에서는 Armis를 Google Security Operations와 통합하는 방법을 설명합니다.
통합 버전: 12.0
사용 사례
- 보강 작업을 수행합니다.
- 알림 수집을 실행합니다.
- 트리아지 작업 (알림 상태 업데이트)을 실행합니다.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | 예 | Armis API 루트 | |
| API 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Armis API 보안 비밀 |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Armis 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Armis와의 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
작업이 항목을 사용하지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Armis 서버에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Armis 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
항목 보강
Armis의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: IP, Mac 주소
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 엔드포인트 통계 만들기 | 체크박스 | 선택 | 예 | 사용 설정하면 작업에서 엔드포인트에 관한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- Mac 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"accessSwitch": null,
"category": "Computers",
"dataSources": [
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Example",
"types": [
"Asset & System Management",
"Virtualization"
]
},
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Armis Smart Scanner",
"types": [
"Vulnerability Management"
]
}
],
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"id": 1616,
"ipAddress": "192.0.2.120",
"ipv6": null,
"lastSeen": "2021-03-21T08:05:40.244960+00:00",
"macAddress": "01:23:45:ab:cd:ef",
"manufacturer": "VMware",
"model": "VMware Virtual Platform",
"name": "Example",
"operatingSystem": "CentOS",
"operatingSystemVersion": "6.6",
"purdueLevel": 4.0,
"riskLevel": 5,
"sensor": {
"name": "North conference room",
"type": "Physical Sensor"
},
"site": {
"location": "Palo Alto",
"name": "Palo Alto Offices"
},
"tags": [
"Discover",
"Example"
],
"type": "Virtual Machines",
"user": "",
"visibility": "Full"
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 카테고리 | JSON으로 제공되는 경우 |
| id | JSON으로 제공되는 경우 |
| ipAddress | JSON으로 제공되는 경우 |
| macAddress | JSON으로 제공되는 경우 |
| name | JSON으로 제공되는 경우 |
| os | JSON으로 제공되는 경우 |
| purdue_level | JSON으로 제공되는 경우 |
| risk_level | JSON으로 제공되는 경우 |
| tags | JSON으로 제공되는 경우 |
| 유형 | JSON으로 제공되는 경우 |
| 사용자 | JSON으로 제공되는 경우 |
| visibility | JSON으로 제공되는 경우 |
| 사이트 | JSON으로 제공되는 경우 |
| 링크 | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 일부 보강된 경우(is_success = true): 'Armis를 사용하여 다음 항목을 성공적으로 보강했습니다.\n'.format(entity.identifier) 일부 항목을 보강하지 않은 경우 (is_success = true): '작업이 Armis를 사용하여 다음 항목을 보강할 수 없었습니다.\n'.format(entity.identifier) 모두 보강하지 않은 경우 (is_success = false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 항목 테이블 | 항목 |
알림 연결 나열
Armis의 알림과 관련된 연결을 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 정수 | 예 | 연결 데이터를 가져오려는 알림의 ID를 지정합니다. | |
| 가져올 가장 낮은 심각도 | DDL | 보통 가능한 값은 다음과 같습니다.
|
아니요 | 연결을 가져올 때 사용해야 하는 연결의 가장 낮은 심각도를 지정합니다. |
| 반환할 최대 연결 수 | 정수 | 50 | 아니요 | 반환할 연결 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"band": null,
"channel": null,
"dhcpAuthenticationDuration": null,
"duration": 12339,
"endTimestamp": "2021-03-18T20:19:31.562873+00:00",
"id": 33355,
"inboundTraffic": 12412512,
"outboundTraffic": 19626489,
"protocol": "Bluetooth",
"radiusAuthenticationDuration": null,
"risk": "Medium",
"rssi": null,
"sensor": {
"name": "EXAMPLE",
"type": "Switch"
},
"site": {
"location": "Location",
"name": "Location HQ"
},
"snr": null,
"sourceId": 2097,
"startTimestamp": "2021-03-18T16:53:52.562873+00:00",
"targetId": 217,
"title": "Connection between Example and user's iPhone",
"totalAssociationDuration": null,
"traffic": 32039001,
"wlanAssociationDuration": null
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200이고 데이터를 사용할 수 있는 경우 (is_success = true): 'Armis에서 제공된 기준에 따라 {alertId} 알림과 관련된 연결을 반환했습니다.' 200이고 데이터를 사용할 수 없는 경우 (is_success=false): 'Armis에서 제공된 기준에 따라 알림 {alertId}와 관련된 연결을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''알림 연결 목록' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 이름: 사용 가능한 커뮤니케이션 열:
|
일반 |
알림 상태 업데이트
Armis에서 알림 상태를 업데이트합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 정수 | 예 | 상태를 업데이트할 알림의 ID를 지정합니다. | |
| 상태 | DDL | 처리되지 않음 가능한 값은 다음과 같습니다.
|
아니요 | 알림에 설정할 상태를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 (is_success = true인 경우): 'Armis에서 '{alert id}' 알림의 상태를 '{status}'로 업데이트했습니다.' 400인 경우 (is_success=true): '알림 '{alert id}'의 상태가 Armis에서 이미 '{status}'입니다. " 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''알림 상태 업데이트' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 404인 경우: "Error executing action "Update Alert Status". 이유: Armis에 '{alert id}' 알림이 없습니다.' |
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Armis - Alerts Connector
Armis에서 관련 활동이 있는 알림을 가져옵니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | alert_type | 예 | 제품 이름이 저장된 필드의 이름입니다. 기본값은 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. |
Environment Regex Pattern |
문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 문자열 | https:// | 예 | Armis 인스턴스의 API 루트입니다. |
| API 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Armis 계정의 API 비밀번호입니다. |
| 가져올 가장 낮은 심각도 | 낮음 | 낮음 | 아니요 | 알림을 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값: Low, Medium, High. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 첫 번째 커넥터 반복 전에 알림을 가져올 시간(시간)입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. |
| 가져올 최대 알림 수 | 정수 | 10 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. 최댓값은 1000입니다. |
Use whitelist as a blacklist |
체크박스 | 선택 | 예 | 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 선택하면 Armis 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. |
| 프록시 서버 주소 | 문자열 | 아니요 | 사용할 프록시 서버의 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 아니요 | 인증할 프록시 사용자 이름입니다. | |
| 프록시 비밀번호 | 비밀번호 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.