Axonius と Google SecOps を統合する
このドキュメントでは、Axonius を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 5.0
ユースケース
拡充アクションを実行します。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{root} | はい | Axonius API ルート |
| API キー | 文字列 | なし | はい | Axonius API キー |
| API Secret | パスワード | なし | はい | Axonius API Secret |
| SSL を確認する | チェックボックス | オン | はい | 選択すると、Axonius サーバーに接続するときに SSL 証明書が検証されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
Axonius への接続をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Axonius サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Axonius サーバーに接続できませんでした。エラーは {0}」.format(exception.stacktrace) |
一般 |
エンティティの拡充
Axonius からの情報を使用してエンティティを拡充します。サポートされているエンティティには、ホスト名、IP アドレス、MAC アドレス、ユーザー、メールアドレス(メールの正規表現に一致するユーザー エンティティ)などがあります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| エンドポイント インサイトを作成する | チェックボックス | 正しい | いいえ | 有効にすると、アクションによってエンドポイントに関する情報を含む分析情報が作成されます。 |
| ユーザー インサイトを作成する | チェックボックス | 正しい | いいえ | 有効にすると、アクションによってユーザーに関する情報を含む分析情報が作成されます。 |
| 返されるメモの最大数 | 整数 | 50 | いいえ | ケースウォール テーブルに表示するメモの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- MAC アドレス
- ユーザー
- メール
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果 - エンドポイントの場合:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
JSON の結果 - ユーザーの場合:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
エンティティ拡充 - エンドポイントの場合:
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| object_classes | JSON で利用可能な場合 |
| site_name | JSON で利用可能な場合 |
| device_disabled | JSON で利用可能な場合 |
| device_managed_by | JSON で利用可能な場合 |
| hostname | JSON で利用可能な場合 |
| ad_distinguished_name | JSON で利用可能な場合 |
| asset_name | JSON で利用可能な場合 |
| ips | JSON で利用可能な場合 |
| os | JSON で利用可能な場合 |
| id | JSON で利用可能な場合 |
| リンク | JSON で利用可能な場合 |
エンティティ拡充 - ユーザー向け:
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| account_disabled | JSON で利用可能な場合 |
| ad_display_name | JSON で利用可能な場合 |
| ad_distinguished_name | JSON で利用可能な場合 |
| ad_sid | JSON で利用可能な場合 |
| employee_id | JSON で利用可能な場合 |
| is_admin | JSON で利用可能な場合 |
| is_local | JSON で利用可能な場合 |
| is_locked | JSON で利用可能な場合 |
| JSON で利用可能な場合 | |
| user_telephone_number | JSON で利用可能な場合 |
| id | JSON で利用可能な場合 |
| リンク | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 一部を拡充した場合(is_success = true): 「Axonius を使用して次のエンティティを拡充しました:\n".format(entity.identifier) 一部が拡充されなかった場合(is_success = true): 「アクションで Axonius を使用して次のエンティティを拡充できませんでした:\n".format(entity.identifier) すべて拡充しなかった場合(is_success = false): 「拡充されたエンティティはありません」。 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| エンティティ テーブル | エンティティ | |
Case Wall テーブル (属性/データ/データリストに値がある場合) |
名前: {entity.identifier}: メモ 列:
|
全般 |
メモを追加
Axonius のエンティティにメモを追加します。サポートされているエンティティには、ホスト名、IP アドレス、MAC アドレス、ユーザー、メールアドレス(メールの正規表現に一致するユーザー エンティティ)などがあります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 注 | 文字列 | なし | はい | 追加する必要があるメモを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- MAC アドレス
- ユーザー
- メールアドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つが成功した場合(is_success = true): 「Axonius の次のエンティティにメモが正常に追加されました: {0}」.format(entities) 少なくとも 1 つが失敗した場合(is_success = true): 「Axonius で次のエンティティにメモを追加できませんでした: {0}」.format(entities) すべて失敗した場合(is_success = false): 「指定されたエンティティにメモは追加されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「メモを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
タグの追加
Axonius のエンティティにタグを追加します。サポートされるエンティティ: ホスト名、IP、MAC アドレス、ユーザー、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | CSV | はい | エンティティに追加する必要があるタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- MAC アドレス
- ユーザー
- メールアドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つが成功した場合(is_success = true): 「Axonius の次のエンティティにタグが正常に追加されました: {0}」.format(entities) 少なくとも 1 つが失敗した場合(is_success = true): 「Axonius で次のエンティティにタグを追加できませんでした: {0}」.format(entities) すべて失敗した場合(is_success = false): 「指定されたエンティティにタグが追加されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「タグを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
タグを削除する
Axonius のエンティティからタグを削除します。サポートされるエンティティ: ホスト名、IP、MAC アドレス、ユーザー、メールアドレス(メールの正規表現に一致するユーザー エンティティ)。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ | CSV | はい | エンティティから削除する必要があるタグのカンマ区切りのリストを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
- MAC アドレス
- ユーザー
- メールアドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つが成功した場合(is_success = true): 「Axonius の次のエンティティからタグが正常に削除されました: {0}」.format(entities) 少なくとも 1 つが失敗した場合(is_success = true): 「アクションは Axonius の次のエンティティからタグを削除できませんでした: {0}」.format(entities) すべて失敗した場合(is_success = false): 「指定されたエンティティからタグが削除されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「タグを削除」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。