Integre o Axonius com o Google SecOps
Este documento descreve como integrar o Axonius com o Google Security Operations (Google SecOps).
Versão de integração: 5.0
Exemplos de utilização
Realizar ações de enriquecimento.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{root} | Sim | Raiz da API Axonius |
| Chave de API | String | N/A | Sim | Chave da API Axonius |
| Segredo da API | Palavra-passe | N/A | Sim | Segredo da API Axonius |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Axonius. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Teste a conetividade ao Axonius.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor Axonius estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor Axonius! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Enriqueça as entidades com informações do Axonius. As entidades suportadas incluem: nome do anfitrião, endereço IP, endereço MAC, utilizador e endereços de email (entidades de utilizador que correspondem à expressão regular de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Crie estatísticas de pontos finais | Caixa de verificação | True | Não | Se estiver ativada, a ação cria uma estatística com informações sobre os pontos finais. |
| Crie estatísticas do utilizador | Caixa de verificação | True | Não | Se estiver ativada, a ação cria uma estatística com informações sobre o utilizador. |
| Max Notes To Return | Número inteiro | 50 | Não | Especifique o número de notas a apresentar na tabela do mural de registos. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
- Endereço MAC
- Utilizador
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON – para o ponto final:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Resultado JSON – para utilizadores:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Enriquecimento de entidades – para pontos finais:
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| object_classes | Quando estiver disponível em JSON |
| site_name | Quando estiver disponível em JSON |
| device_disabled | Quando estiver disponível em JSON |
| device_managed_by | Quando estiver disponível em JSON |
| hostname | Quando estiver disponível em JSON |
| ad_distinguished_name | Quando estiver disponível em JSON |
| asset_name | Quando estiver disponível em JSON |
| ips | Quando estiver disponível em JSON |
| os | Quando estiver disponível em JSON |
| id | Quando estiver disponível em JSON |
| link | Quando estiver disponível em JSON |
Enriquecimento de entidades – para utilizadores:
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| account_disabled | Quando estiver disponível em JSON |
| ad_display_name | Quando estiver disponível em JSON |
| ad_distinguished_name | Quando estiver disponível em JSON |
| ad_sid | Quando estiver disponível em JSON |
| employee_id | Quando estiver disponível em JSON |
| is_admin | Quando estiver disponível em JSON |
| is_local | Quando estiver disponível em JSON |
| is_locked | Quando estiver disponível em JSON |
| Quando estiver disponível em JSON | |
| user_telephone_number | Quando estiver disponível em JSON |
| id | Quando estiver disponível em JSON |
| link | Quando estiver disponível em JSON |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) Se não tiver enriquecido algumas (is_success = true): "Não foi possível enriquecer as seguintes entidades com o Axonius:\n".format(entity.identifier) Se não tiver enriquecido tudo (is_success = false): "Nenhuma entidade foi enriquecida". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de entidades | Entidade | |
Tabela de parede da caixa (se os atributos/dados/lista de dados tiverem valores) |
Nome: {entity.identifier}: notas Coluna:
|
Geral |
Adicionar nota
Adicione uma nota a entidades no Axonius. As entidades suportadas incluem: nome do anfitrião, endereço IP, endereço MAC, utilizador e endereços de email (entidades de utilizador que correspondem à expressão regular de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nota | String | N/A | Sim | Especifique a nota que tem de ser adicionada. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
- Endereço MAC
- Utilizador
- Endereço de email
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If at least success for one(is_success = true): "Successfully added note to the following entities in Axonius: {0}".format(entities) If at least fail for one(is_success = true): "Action wasn't able to add a note to the following entities in Axonius: {0}".format(entities) Se falhar para todas as entidades (is_success = false): "Não foi adicionada nenhuma nota às entidades fornecidas.". A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar nota". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicione etiquetas
Adicione etiquetas a entidades no Axonius. Entidades suportadas: nome de anfitrião, IP, endereço MAC, utilizador, endereços de email (entidades de utilizador que correspondem à expressão regular de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Etiquetas | CSV | Sim | Especifique uma lista de etiquetas separadas por vírgulas que têm de ser adicionadas às entidades. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
- Endereço MAC
- Utilizador
- Endereço de email
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If at least success for one(is_success = true): "Successfully added tags to the following entities in Axonius: {0}".format(entities) If at least fail for one(is_success = true): "Action wasn't able to add tags to the following entities in Axonius: {0}".format(entities) Se falhar para todas (is_success = false): "As etiquetas não foram adicionadas às entidades fornecidas.". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar etiquetas". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Remova etiquetas
Remova etiquetas de entidades no Axonius. Entidades suportadas: nome do anfitrião, IP, endereço MAC, utilizador, endereços de email (entidades de utilizador que correspondem à regex de email).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Etiquetas | CSV | Sim | Especifique uma lista de etiquetas separadas por vírgulas que têm de ser removidas das entidades. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
- Endereço MAC
- Utilizador
- Endereço de email
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If at least success for one(is_success = true): "As etiquetas foram removidas com êxito das seguintes entidades no Axonius: {0}".format(entities) if at least fail for one(is_success = true): "Não foi possível remover etiquetas das seguintes entidades no Axonius: {0}".format(entities) Se falhar para todas (is_success = false): "As etiquetas não foram removidas das entidades fornecidas.". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Remover etiquetas". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.