Integrare Axonius con Google SecOps
Questo documento descrive come integrare Axonius con Google Security Operations (Google SecOps).
Casi d'uso
Eseguire azioni di arricchimento.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{root} | Sì | Root API Axonius |
| Chiave API | Stringa | N/D | Sì | Chiave API Axonius |
| API secret | Password | N/D | Sì | Axonius API Secret |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Axonius. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supporto di più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Testa la connettività ad Axonius.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Axonius riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso contrario: "Impossibile connettersi al server Axonius. Error is {0}".format(exception.stacktrace) |
Generale |
Arricchisci le entità
Arricchisci le entità utilizzando le informazioni di Axonius. Le entità supportate includono nome host, indirizzo IP, indirizzo MAC, utente e indirizzi email (entità utente che corrispondono all'espressione regolare dell'email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento sull'endpoint | Casella di controllo | Vero | No | Se attivata, l'azione creerà un approfondimento contenente informazioni sugli endpoint. |
| Crea approfondimento utente | Casella di controllo | Vero | No | Se attivata, l'azione creerà un insight contenente informazioni sull'utente. |
| Numero massimo di note da restituire | Numero intero | 50 | No | Specifica il numero di note da mostrare nella tabella della bacheca della richiesta. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- Indirizzo MAC
- Utente
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON - per l'endpoint:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Risultato JSON - per gli utenti:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Arricchimento delle entità - per gli endpoint:
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| object_classes | Se disponibile in formato JSON |
| site_name | Se disponibile in formato JSON |
| device_disabled | Se disponibile in formato JSON |
| device_managed_by | Se disponibile in formato JSON |
| nome host | Se disponibile in formato JSON |
| ad_distinguished_name | Se disponibile in formato JSON |
| asset_name | Se disponibile in formato JSON |
| ips | Se disponibile in formato JSON |
| os | Se disponibile in formato JSON |
| id | Se disponibile in formato JSON |
| link | Se disponibile in formato JSON |
Arricchimento delle entità - per gli utenti:
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| account_disabled | Se disponibile in formato JSON |
| ad_display_name | Se disponibile in formato JSON |
| ad_distinguished_name | Se disponibile in formato JSON |
| ad_sid | Se disponibile in formato JSON |
| employee_id | Se disponibile in formato JSON |
| is_admin | Se disponibile in formato JSON |
| is_local | Se disponibile in formato JSON |
| is_locked | Se disponibile in formato JSON |
| posta | Se disponibile in formato JSON |
| user_telephone_number | Se disponibile in formato JSON |
| id | Se disponibile in formato JSON |
| link | Se disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) Se non è stato eseguito l'arricchimento di alcuni (is_success = true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando Axonius:\n".format(entity.identifier) Se non è stato eseguito l'arricchimento di tutte le entità (is_success = false): "Nessuna entità è stata arricchita". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella entità | Entità | |
Tabella Bacheca casi (se gli attributi/i dati/l'elenco di dati hanno valori) |
Nome: {entity.identifier}: note Colonna:
|
Generale |
Aggiungi nota
Aggiungi una nota alle entità in Axonius. Le entità supportate includono nome host, indirizzo IP, indirizzo MAC, utente e indirizzi email (entità utente che corrispondono all'espressione regolare dell'email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nota | Stringa | N/D | Sì | Specifica la nota da aggiungere. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- Indirizzo MAC
- Utente
- Indirizzo email
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se almeno un'operazione è riuscita(is_success = true): "Nota aggiunta correttamente alle seguenti entità in Axonius: {0}".format(entities) If at least fail for one(is_success = true): "Action wasn't able to add a note to the following entities in Axonius: {0}".format(entities) If fail for all (is_success = false): "Note wasn't added to the provided entities.". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Aggiungi nota". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiungi tag
Aggiungi tag alle entità in Axonius. Entità supportate: nome host, IP, indirizzo Mac, utente, indirizzi email (entità utente che corrispondono all'espressione regolare per le email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tag | CSV | Sì | Specifica un elenco separato da virgole di tag da aggiungere alle entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- Indirizzo MAC
- Utente
- Indirizzo email
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If at least success for one(is_success = true): "Successfully added tags to the following entities in Axonius: {0}".format(entities) Se almeno un'operazione non va a buon fine(is_success = true): "L'azione non è riuscita ad aggiungere tag alle seguenti entità in Axonius: {0}".format(entities) If fail for all (is_success = false): "Tags weren't added to the provided entities.". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi tag". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Rimuovi tag
Rimuovere i tag dalle entità in Axonius. Entità supportate: nome host, IP, indirizzo Mac, utente, indirizzi email (entità utente che corrispondono all'espressione regolare dell'email).
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tag | CSV | Sì | Specifica un elenco separato da virgole di tag da rimuovere dalle entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
- Indirizzo MAC
- Utente
- Indirizzo email
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If at least success for one(is_success = true): "Successfully removed tags from the following entities in Axonius: {0}".format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) Se l'operazione non va a buon fine per tutte le entità (is_success = false): "I tag non sono stati rimossi dalle entità fornite". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Rimuovi tag". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.