Integra Axonius con Google SecOps
En este documento, se describe cómo integrar Axonius con Google Security Operations (Google SecOps).
Versión de integración: 5.0
Casos de uso
Realizar acciones de enriquecimiento
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{root} | Sí | Raíz de la API de Axonius |
| Clave de API | String | N/A | Sí | Clave de API de Axonius |
| Secreto de API | Contraseña | N/A | Sí | Secreto de la API de Axonius |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Axonius. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Prueba la conectividad con Axonius.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Axonius server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de Axonius. Error is {0}".format(exception.stacktrace) |
General |
Enriquece entidades
Enriquece las entidades con la información de Axonius. Las entidades admitidas incluyen nombres de host, direcciones IP, direcciones MAC, usuarios y direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crea una estadística de extremo | Casilla de verificación | Verdadero | No | Si está habilitada, la acción creará una estadística que contiene información sobre los extremos. |
| Crea estadísticas del usuario | Casilla de verificación | Verdadero | No | Si está habilitada, la acción creará una estadística que contiene información sobre el usuario. |
| Cantidad máxima de notas que se pueden devolver | Número entero | 50 | No | Especifica cuántas notas se mostrarán en la tabla del muro de casos. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON para el extremo:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Resultado en JSON para los usuarios:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Enriquecimiento de entidades para Endpoints:
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| object_classes | Cuando está disponible en JSON |
| site_name | Cuando está disponible en JSON |
| device_disabled | Cuando está disponible en JSON |
| device_managed_by | Cuando está disponible en JSON |
| Nombre de host | Cuando está disponible en JSON |
| ad_distinguished_name | Cuando está disponible en JSON |
| asset_name | Cuando está disponible en JSON |
| ips | Cuando está disponible en JSON |
| os | Cuando está disponible en JSON |
| id | Cuando está disponible en JSON |
| vínculo | Cuando está disponible en JSON |
Enriquecimiento de entidades: para usuarios
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| account_disabled | Cuando está disponible en JSON |
| ad_display_name | Cuando está disponible en JSON |
| ad_distinguished_name | Cuando está disponible en JSON |
| ad_sid | Cuando está disponible en JSON |
| employee_id | Cuando está disponible en JSON |
| is_admin | Cuando está disponible en JSON |
| is_local | Cuando está disponible en JSON |
| is_locked | Cuando está disponible en JSON |
| Cuando está disponible en JSON | |
| user_telephone_number | Cuando está disponible en JSON |
| id | Cuando está disponible en JSON |
| vínculo | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se enriqueció some(is_success = true): "Se enriquecieron correctamente las siguientes entidades con Axonius:\n".format(entity.identifier) Si no se enriquecieron algunas (is_success = true): "No se pudieron enriquecer las siguientes entidades con Axonius:\n".format(entity.identifier) If didn't enrich all (is_success = false): "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla de entidades | Entidad | |
Tabla del muro de casos (si los atributos, los datos o la lista de datos tienen valores) |
Nombre: {entity.identifier}: Notas Columna:
|
General |
Agregar nota
Agrega una nota a las entidades en Axonius. Las entidades admitidas incluyen nombres de host, direcciones IP, direcciones MAC, usuarios y direcciones de correo electrónico (entidades de usuario que coinciden con la expresión regular de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nota | String | N/A | Sí | Especifica qué nota se debe agregar. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una operación se realizó correctamente(is_success = true): "Se agregó correctamente la nota a las siguientes entidades en Axonius: {0}".format(entities) If at least fail for one(is_success = true): "Action wasn't able to add a note to the following entities in Axonius: {0}".format(entities) If fail for all (is_success = false): "Note wasn't added to the provided entities.". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Agregar nota"". Reason: {0}''.format(error.Stacktrace) |
General |
Agregar etiquetas
Agrega etiquetas a las entidades en Axonius. Entidades admitidas: Nombre de host, IP, dirección MAC, usuario, direcciones de correo electrónico (entidades de usuario que coinciden con la regex de correo electrónico)
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Etiquetas | CSV | Sí | Especifica una lista de etiquetas separadas por comas que se deben agregar a las entidades. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una operación se realizó correctamente(is_success = true): "Se agregaron correctamente etiquetas a las siguientes entidades en Axonius: {0}".format(entities) If at least fail for one(is_success = true): "Action wasn't able to add tags to the following entities in Axonius: {0}".format(entities) Si falla para todas las entidades (is_success = false): "No se agregaron etiquetas a las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Add Tags"". Reason: {0}''.format(error.Stacktrace) |
General |
Cómo quitar etiquetas
Quita etiquetas de entidades en Axonius. Entidades admitidas: Nombre de host, IP, dirección MAC, usuario, direcciones de correo electrónico (entidades de usuario que coinciden con la regex de correo electrónico).
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Etiquetas | CSV | Sí | Especifica una lista de etiquetas separadas por comas que se deben quitar de las entidades. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
- Dirección MAC
- Usuario
- Dirección de correo electrónico
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si al menos una operación se realizó correctamente(is_success = true): "Se quitaron correctamente las etiquetas de las siguientes entidades en Axonius: {0}".format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) Si falla para todos (is_success = false): "No se quitaron las etiquetas de las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Remove Tags". Reason: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.