整合 Armis 與 Google SecOps
本文說明如何將 Armis 與 Google Security Operations 整合。
整合版本:12.0
應用實例
- 執行擴充動作。
- 擷取快訊。
- 執行分類動作 (更新快訊狀態)。
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | 是 | Armis API 根層級 | |
| API 密鑰 | 密碼 | 不適用 | 是 | Armis API 密鑰 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連至 Armis 伺服器的連線 SSL 憑證是否有效。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
測試與 Armis 的連線。
參數
不適用
執行日期
動作不會使用實體,也沒有強制輸入參數。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Armis server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Armis 伺服器!) 動作應會失敗並停止執行應對手冊: 如果連線失敗:「Failed to connect to the Armis server! Error is {0}".format(exception.stacktrace) |
一般 |
充實實體
使用 Armis 的資訊擴充實體。支援的實體:IP、Mac 位址。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立端點洞察 | 核取方塊 | 已勾選 | 是 | 如果啟用,這項動作會建立洞察資料,內含端點相關資訊。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- MAC 位址
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"accessSwitch": null,
"category": "Computers",
"dataSources": [
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Example",
"types": [
"Asset & System Management",
"Virtualization"
]
},
{
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"lastSeen": "2021-03-07T04:04:22.562873+00:00",
"name": "Armis Smart Scanner",
"types": [
"Vulnerability Management"
]
}
],
"firstSeen": "2021-03-07T04:04:22.562873+00:00",
"id": 1616,
"ipAddress": "192.0.2.120",
"ipv6": null,
"lastSeen": "2021-03-21T08:05:40.244960+00:00",
"macAddress": "01:23:45:ab:cd:ef",
"manufacturer": "VMware",
"model": "VMware Virtual Platform",
"name": "Example",
"operatingSystem": "CentOS",
"operatingSystemVersion": "6.6",
"purdueLevel": 4.0,
"riskLevel": 5,
"sensor": {
"name": "North conference room",
"type": "Physical Sensor"
},
"site": {
"location": "Palo Alto",
"name": "Palo Alto Offices"
},
"tags": [
"Discover",
"Example"
],
"type": "Virtual Machines",
"user": "",
"visibility": "Full"
}
實體充實
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| category | 以 JSON 格式提供時 |
| id | 以 JSON 格式提供時 |
| ipAddress | 以 JSON 格式提供時 |
| macAddress | 以 JSON 格式提供時 |
| 名稱 | 以 JSON 格式提供時 |
| os | 以 JSON 格式提供時 |
| purdue_level | 以 JSON 格式提供時 |
| risk_level | 以 JSON 格式提供時 |
| 標記 | 以 JSON 格式提供時 |
| 類型 | 以 JSON 格式提供時 |
| 使用者 | 以 JSON 格式提供時 |
| 瀏覽權限 | 以 JSON 格式提供時 |
| 網站 | 以 JSON 格式提供時 |
| 連結 | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if enriched some(is_success = true): "Successfully enriched the following entities using Armis:\n".format(entity.identifier) 如果部分實體未經過擴充 (is_success = true):「Action wasn't able to enriche the following entities using Armis:\n".format(entity.identifier) 如果並非所有實體都已擴充 (is_success = false):「No entities were enriched」(沒有任何實體已擴充)。 動作應會失敗並停止執行劇本: |
一般 |
| 實體資料表 | 實體 |
列出快訊連線
列出 Armis 中與快訊相關的連線。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 整數 | 是 | 指定要擷取連線資料的快訊 ID。 | |
| 要擷取的最低嚴重程度 | DDL | 中 可能的值:
|
否 | 指定擷取連線時應使用的最低嚴重程度。 |
| 要傳回的連線數量上限 | 整數 | 50 | 否 | 指定要傳回的連線數。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"band": null,
"channel": null,
"dhcpAuthenticationDuration": null,
"duration": 12339,
"endTimestamp": "2021-03-18T20:19:31.562873+00:00",
"id": 33355,
"inboundTraffic": 12412512,
"outboundTraffic": 19626489,
"protocol": "Bluetooth",
"radiusAuthenticationDuration": null,
"risk": "Medium",
"rssi": null,
"sensor": {
"name": "EXAMPLE",
"type": "Switch"
},
"site": {
"location": "Location",
"name": "Location HQ"
},
"snr": null,
"sourceId": 2097,
"startTimestamp": "2021-03-18T16:53:52.562873+00:00",
"targetId": 217,
"title": "Connection between Example and user's iPhone",
"totalAssociationDuration": null,
"traffic": 32039001,
"wlanAssociationDuration": null
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if 200 and data is available (is_success = true): "Successfully returned connections related to the alert {alertId} based on the provided criteria in Armis." 如果為 200 且沒有可用資料 (is_success=false):「根據 Armis 中提供的條件,找不到與警報 {alertId} 相關的連線。」 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「Error executing action "List Alert Connections". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 名稱:Available Communications 欄:
|
一般 |
更新快訊狀態
更新 Armis 中快訊的狀態。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 整數 | 是 | 指定要更新狀態的快訊 ID。 | |
| 狀態 | DDL | 未處理 可能的值包括:
|
否 | 指定要為快訊設定的狀態。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if 200 (is_success = true): "Successfully updated status of the alert "{alert id}" to "{status}" in Armis."。 如果 400 (is_success=true):「Alert "{alert id}" already has status "{status}" in Armis. 」 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等):「執行『更新快訊狀態』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果為 404:「執行『更新快訊狀態』動作時發生錯誤。原因:Armis 中找不到警報「{alert id}」。 |
一般 |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Armis - 警報連接器
從 Armis 提取含有相關活動的快訊。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | alert_type | 是 | 儲存產品名稱的欄位名稱。 預設值為 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 決定事件名稱 (子類型) 的欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
Environment Regex Pattern |
字串 | .* | 否 |
要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根層級 | 字串 | https:// | 是 | Armis 執行個體的 API 根層級。 |
| API 密鑰 | 密碼 | 不適用 | 是 | Armis 帳戶的 API 密鑰。 |
| 要擷取的最低嚴重程度 | 低 | 低 | 否 | 用於擷取快訊的最低嚴重性。可能的值:
Low、Medium、High。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 在第一次連接器疊代作業前,要擷取快訊的小時數。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 |
| 要擷取的警告數上限 | 整數 | 10 | 否 | 每個連接器疊代要處理的快訊數量。最大值為 1000。 |
Use whitelist as a blacklist |
核取方塊 | 已勾選 | 是 | 如果選取這個選項,連接器會將動態清單做為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果選取這個選項,整合服務會在連線至 Armis 伺服器時驗證 SSL 憑證。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。