Axonius in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Axonius in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 5.0
Anwendungsbereiche
Anreicherungsaktionen durchführen
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{root} | Ja | Axonius-API-Stamm |
| API-Schlüssel | String | – | Ja | Axonius-API-Schlüssel |
| API-Secret | Passwort | – | Ja | Axonius-API-Secret |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Axonius-Server validiert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Axonius.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Axonius server with the provided connection parameters!“ (Die Verbindung zum Axonius-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Failed to connect to the Axonius server! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Entitäten anreichern
Entitäten mit Informationen von Axonius anreichern Zu den unterstützten Entitäten gehören Hostname, IP-Adresse, MAC-Adresse, Nutzer und E-Mail-Adressen (Nutzerentitäten, die dem regulären Ausdruck für E-Mail-Adressen entsprechen).
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Endpoint Insight erstellen | Kästchen | Wahr | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu den Endpunkten erstellt. |
| Nutzerstatistiken erstellen | Kästchen | Wahr | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zum Nutzer erstellt. |
| Maximale Anzahl der zurückzugebenden Notizen | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Notizen in der Fallwandtabelle angezeigt werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- MAC‑Adresse
- Nutzer
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis – für Endpunkt:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
JSON-Ergebnis – für Nutzer:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Entity Enrichment – für Endpoints:
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| object_classes | Wenn in JSON verfügbar |
| site_name | Wenn in JSON verfügbar |
| device_disabled | Wenn in JSON verfügbar |
| device_managed_by | Wenn in JSON verfügbar |
| Hostname | Wenn in JSON verfügbar |
| ad_distinguished_name | Wenn in JSON verfügbar |
| asset_name | Wenn in JSON verfügbar |
| ips | Wenn in JSON verfügbar |
| os | Wenn in JSON verfügbar |
| id | Wenn in JSON verfügbar |
| Link | Wenn in JSON verfügbar |
Entitätsanreicherung – für Nutzer:
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| account_disabled | Wenn in JSON verfügbar |
| ad_display_name | Wenn in JSON verfügbar |
| ad_distinguished_name | Wenn in JSON verfügbar |
| ad_sid | Wenn in JSON verfügbar |
| employee_id | Wenn in JSON verfügbar |
| is_admin | Wenn in JSON verfügbar |
| is_local | Wenn in JSON verfügbar |
| is_locked | Wenn in JSON verfügbar |
| Wenn in JSON verfügbar | |
| user_telephone_number | Wenn in JSON verfügbar |
| id | Wenn in JSON verfügbar |
| Link | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) Wenn einige nicht angereichert wurden (is_success = true): „Die folgenden Elemente konnten mit Axonius nicht angereichert werden:\n“.format(entity.identifier) Wenn nicht alle angereichert wurden (is_success = false): „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle mit Elementen | Entität | |
Tabelle „Fall-Repository“ (falls Attribute/Daten/Datenliste Werte enthält) |
Name: {entity.identifier}: Notizen Spalte:
|
Allgemein |
Notiz hinzufügen
Notizen zu Entitäten in Axonius hinzufügen Zu den unterstützten Entitäten gehören Hostname, IP-Adresse, MAC-Adresse, Nutzer und E-Mail-Adressen (Nutzerentitäten, die dem regulären Ausdruck für E-Mail-Adressen entsprechen).
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Hinweis | String | – | Ja | Geben Sie an, welche Notiz hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- MAC‑Adresse
- Nutzer
- E-Mail-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Erfolg(is_success = true): „Successfully added note to the following entities in Axonius: {0}“.format(entities) Wenn mindestens ein Fehler auftritt(is_success = true): „Die Aktion konnte den folgenden Entitäten in Axonius keine Notiz hinzufügen: {0}“.format(entities) Wenn alle fehlgeschlagen sind (is_success = false): „Die Anmerkung wurde den angegebenen Entitäten nicht hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem schwerwiegenden Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Notiz hinzufügen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Tags hinzufügen
Fügen Sie Entitäten in Axonius Tags hinzu. Unterstützte Einheiten: Hostname, IP-Adresse, MAC-Adresse, Nutzer, E-Mail-Adressen (Nutzerentitäten, die mit dem E-Mail-Regulären Ausdruck übereinstimmen).
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tags | CSV | Ja | Geben Sie eine durch Kommas getrennte Liste von Tags an, die den Einheiten hinzugefügt werden müssen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- MAC‑Adresse
- Nutzer
- E-Mail-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Erfolg(is_success = true): „Tags wurden den folgenden Entitäten in Axonius hinzugefügt: {0}“.format(entities) Wenn mindestens ein Fehler auftritt(is_success = true): „Die Aktion konnte den folgenden Entitäten in Axonius keine Tags hinzufügen: {0}“.format(entities) Wenn alle fehlgeschlagen sind (is_success = false): „Tags wurden den angegebenen Einheiten nicht hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags hinzufügen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Tags entfernen
Entfernen Sie Tags aus Entitäten in Axonius. Unterstützte Entitäten: Hostname, IP-Adresse, MAC-Adresse, Nutzer, E-Mail-Adressen (Nutzerentitäten, die mit dem regulären Ausdruck für E-Mail-Adressen übereinstimmen).
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tags | CSV | Ja | Geben Sie eine durch Kommas getrennte Liste von Tags an, die aus den Einheiten entfernt werden müssen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- MAC‑Adresse
- Nutzer
- E-Mail-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Erfolg(is_success = true): „Tags wurden erfolgreich aus den folgenden Entitäten in Axonius entfernt: {0}“.format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) Wenn alle fehlgeschlagen sind (is_success = false): „Tags weren't removed from the provided entities.“ (Tags wurden nicht aus den angegebenen Einheiten entfernt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Tags entfernen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten