Integrar Axonius con Google SecOps
En este documento se describe cómo integrar Axonius con Google Security Operations (Google SecOps).
Versión de integración: 5.0
Casos prácticos
Realiza acciones de enriquecimiento.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{root} | Sí | Raíz de la API de Axonius |
| Clave de API | Cadena | N/A | Sí | Clave de API de Axonius |
| Secreto de API | Contraseña | N/A | Sí | Secreto de API de Axonius |
| Verificar SSL | Casilla | Marcada | Sí | Si se selecciona, la integración valida el certificado SSL al conectarse al servidor de Axonius. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad con Axonius.
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se establece correctamente: "Successfully connected to the Axonius server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Axonius con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "Failed to connect to the Axonius server! Error: {0}".format(exception.stacktrace) |
General |
Enriquecer entidades
Enriquece las entidades con información de Axonius. Entre las entidades admitidas se incluyen Hostname, IP Address, Mac Address, User y Email Addresses (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadísticas de endpoint | Casilla | Verdadero | No | Si se habilita, la acción creará una estadística que contenga información sobre los endpoints. |
| Crear estadísticas de usuarios | Casilla | Verdadero | No | Si se habilita, la acción creará una estadística que contenga información sobre el usuario. |
| Número máximo de notas que se devolverán | Entero | 50 | No | Especifica cuántas notas quieres que se muestren en la tabla del panel de casos. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON del endpoint:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Resultado en JSON para usuarios:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Enriquecimiento de entidades para endpoints:
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| object_classes | Cuando esté disponible en JSON |
| site_name | Cuando esté disponible en JSON |
| device_disabled | Cuando esté disponible en JSON |
| device_managed_by | Cuando esté disponible en JSON |
| nombre de host | Cuando esté disponible en JSON |
| ad_distinguished_name | Cuando esté disponible en JSON |
| asset_name | Cuando esté disponible en JSON |
| ips | Cuando esté disponible en JSON |
| os | Cuando esté disponible en JSON |
| id | Cuando esté disponible en JSON |
| enlace | Cuando esté disponible en JSON |
Enriquecimiento de entidades para usuarios:
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| account_disabled | Cuando esté disponible en JSON |
| ad_display_name | Cuando esté disponible en JSON |
| ad_distinguished_name | Cuando esté disponible en JSON |
| ad_sid | Cuando esté disponible en JSON |
| employee_id | Cuando esté disponible en JSON |
| is_admin | Cuando esté disponible en JSON |
| is_local | Cuando esté disponible en JSON |
| is_locked | Cuando esté disponible en JSON |
| Cuando esté disponible en JSON | |
| user_telephone_number | Cuando esté disponible en JSON |
| id | Cuando esté disponible en JSON |
| enlace | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha enriquecido algún elemento(is_success = true): "Se han enriquecido correctamente las siguientes entidades con Axonius:\n".format(entity.identifier) Si no se ha enriquecido alguna (is_success = true): "No se ha podido enriquecer las siguientes entidades con Axonius:\n".format(entity.identifier) Si no se ha enriquecido todo (is_success = false): "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla de entidades | Entidad | |
Tabla del panel de casos (si los atributos, los datos o la lista de datos tienen valores) |
Nombre: {entity.identifier}: Notas Columna:
|
General |
Añadir nota
Añadir una nota a las entidades de Axonius. Entre las entidades admitidas se incluyen Hostname, IP Address, Mac Address, User y Email Addresses (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nota | Cadena | N/A | Sí | Especifica qué nota se debe añadir. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una de las operaciones se ha completado correctamente(is_success = true): "Se ha añadido la nota a las siguientes entidades de Axonius: {0}".format(entities) Si se produce un error en al menos una(is_success = true): "No se ha podido añadir una nota a las siguientes entidades de Axonius: {0}".format(entities) Si falla en todos los casos (is_success = false): "No se ha añadido la nota a las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Añadir nota". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir etiquetas
Añade etiquetas a las entidades de Axonius. Entidades admitidas: nombre de host, IP, dirección MAC, usuario y direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Etiquetas | CSV | Sí | Especifica una lista separada por comas de las etiquetas que se deben añadir a las entidades. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una operación se ha completado correctamente(is_success = true): "Se han añadido correctamente etiquetas a las siguientes entidades de Axonius: {0}".format(entities) Si se produce un error en al menos una de las acciones(is_success = true): "No se han podido añadir etiquetas a las siguientes entidades de Axonius: {0}".format(entities) Si falla en todos los casos (is_success = false): "No se han añadido etiquetas a las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir etiquetas". Motivo: {0}''.format(error.Stacktrace) |
General |
Quitar etiquetas
Quitar etiquetas de entidades en Axonius. Entidades admitidas: nombre de host, IP, dirección MAC, usuario y direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Etiquetas | CSV | Sí | Especifica una lista separada por comas de las etiquetas que se deben quitar de las entidades. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una de las operaciones se ha completado correctamente(is_success = true): "Se han quitado las etiquetas de las siguientes entidades de Axonius: {0}".format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) Si falla en todos los casos (is_success = false): "No se han quitado las etiquetas de las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Quitar etiquetas". Motivo: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.