Intégrer Axonius à Google SecOps
Ce document explique comment intégrer Axonius à Google Security Operations (Google SecOps).
Version de l'intégration : 5.0
Cas d'utilisation
Effectuer des actions d'enrichissement
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{root} | Oui | Racine de l'API Axonius |
| Clé API | Chaîne | N/A | Oui | Clé API Axonius |
| Code secret de l'API | Mot de passe | N/A | Oui | Code secret de l'API Axonius |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Axonius. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ping
Testez la connectivité à Axonius.
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Axonius établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Axonius. Error is {0}".format(exception.stacktrace) |
Général |
Enrichir les entités
Enrichissez les entités à l'aide des informations d'Axonius. Les entités compatibles incluent le nom d'hôte, l'adresse IP, l'adresse MAC, l'utilisateur et les adresses e-mail (entités utilisateur correspondant à l'expression régulière de l'adresse e-mail).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight de point de terminaison | Case à cocher | Vrai | Non | Si cette option est activée, l'action créera un insight contenant des informations sur les points de terminaison. |
| Créer un insight utilisateur | Case à cocher | Vrai | Non | Si cette option est activée, l'action créera un insight contenant des informations sur l'utilisateur. |
| Nombre maximal de notes à renvoyer | Integer | 50 | Non | Spécifiez le nombre de notes à afficher dans le tableau du mur de notes. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
- Adresse MAC
- Utilisateur
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON pour le point de terminaison :
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Résultat JSON pour les utilisateurs :
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Enrichissement d'entités pour les points de terminaison :
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| object_classes | Lorsqu'il est disponible au format JSON |
| site_name | Lorsqu'il est disponible au format JSON |
| device_disabled | Lorsqu'il est disponible au format JSON |
| device_managed_by | Lorsqu'il est disponible au format JSON |
| nom d'hôte | Lorsqu'il est disponible au format JSON |
| ad_distinguished_name | Lorsqu'il est disponible au format JSON |
| asset_name | Lorsqu'il est disponible au format JSON |
| ips | Lorsqu'il est disponible au format JSON |
| os | Lorsqu'il est disponible au format JSON |
| id | Lorsqu'il est disponible au format JSON |
| lien | Lorsqu'il est disponible au format JSON |
Enrichissement des entités pour les utilisateurs :
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| account_disabled | Lorsqu'il est disponible au format JSON |
| ad_display_name | Lorsqu'il est disponible au format JSON |
| ad_distinguished_name | Lorsqu'il est disponible au format JSON |
| ad_sid | Lorsqu'il est disponible au format JSON |
| employee_id | Lorsqu'il est disponible au format JSON |
| is_admin | Lorsqu'il est disponible au format JSON |
| is_local | Lorsqu'il est disponible au format JSON |
| is_locked | Lorsqu'il est disponible au format JSON |
| Lorsqu'il est disponible au format JSON | |
| user_telephone_number | Lorsqu'il est disponible au format JSON |
| id | Lorsqu'il est disponible au format JSON |
| lien | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur/Description | Type (entité \ général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) Si l'enrichissement n'a pas été effectué pour certaines entités (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide d'Axonius :\n".format(entity.identifier) Si l'enrichissement n'a pas été effectué pour toutes les entités (is_success = false) : "Aucune entité n'a été enrichie". L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau des entités | Entité | |
Tableau du mur des cas (si les attributs/données/liste de données ont des valeurs) |
Nom : {entity.identifier} : notes Colonne :
|
Général |
Ajouter une note
Ajoutez une note aux entités dans Axonius. Les entités compatibles incluent le nom d'hôte, l'adresse IP, l'adresse MAC, l'utilisateur et les adresses e-mail (entités utilisateur correspondant à l'expression régulière de l'adresse e-mail).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Remarque | Chaîne | N/A | Oui | Indiquez la note à ajouter. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
- Adresse MAC
- Utilisateur
- Adresse e-mail
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type (entité \ général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins une entité a été traitée avec succès(is_success = true) : "La note a bien été ajoutée aux entités suivantes dans Axonius : {0}".format(entities) Si au moins une entité échoue(is_success = true) : "L'action n'a pas pu ajouter de note aux entités suivantes dans Axonius : {0}".format(entities) Si l'opération échoue pour toutes les entités (is_success = false) : "La note n'a pas été ajoutée aux entités fournies.". L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Ajouter une note". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter des tags
Ajoutez des tags aux entités dans Axonius. Entités acceptées : nom d'hôte, adresse IP, adresse MAC, utilisateur, adresses e-mail (entités utilisateur correspondant à l'expression régulière des adresses e-mail).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Tags | CSV | Oui | Spécifiez une liste de tags séparés par une virgule qui doivent être ajoutés aux entités. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
- Adresse MAC
- Utilisateur
- Adresse e-mail
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur/Description | Type (entité \ général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins une entité a été taguée(is_success = true) : "Des tags ont été ajoutés aux entités suivantes dans Axonius : {0}".format(entities) Si au moins une action échoue(is_success = true) : "L'action n'a pas pu ajouter de tags aux entités suivantes dans Axonius : {0}".format(entities) Si l'opération échoue pour toutes les entités (is_success = false) : "Les tags n'ont pas été ajoutés aux entités fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter des tags". Raison : {0}''.format(error.Stacktrace) |
Général |
Supprimer des tags
Supprimez les tags des entités dans Axonius. Entités acceptées : nom d'hôte, adresse IP, adresse MAC, utilisateur, adresses e-mail (entités utilisateur correspondant à l'expression régulière des adresses e-mail).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Tags | CSV | Oui | Spécifiez une liste de tags séparés par une virgule qui doivent être supprimés des entités. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
- Adresse MAC
- Utilisateur
- Adresse e-mail
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur/Description | Type (entité \ général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins une opération a réussi(is_success = true) : "Les tags ont bien été supprimés des entités suivantes dans Axonius : {0}".format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) Si l'opération échoue pour toutes les entités (is_success = false) : "Les tags n'ont pas été supprimés des entités fournies." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Supprimer les tags". Raison : {0}''.format(error.Stacktrace) |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.