Integrar o Axonius ao Google SecOps
Neste documento, descrevemos como integrar o Axonius ao Google Security Operations (Google SecOps).
Versão da integração: 5.0
Casos de uso
Realizar ações de enriquecimento.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{root} | Sim | Raiz da API do Axonius. |
| Chave de API | String | N/A | Sim | Chave da API Axonius |
| Chave secreta da API | Senha | N/A | Sim | Chave secreta da API Axonius |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Axonius. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Axonius.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor Axonius usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for concluída: "Não foi possível se conectar ao servidor do Axonius! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Aprimore entidades usando informações do Axonius. As entidades compatíveis incluem nome do host, endereço IP, endereço MAC, usuário e endereços de e-mail (entidades de usuário que correspondem à expressão regular de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight de endpoint | Caixa de seleção | Verdadeiro | Não | Se ativada, a ação vai criar um insight com informações sobre os endpoints. |
| Criar insights do usuário | Caixa de seleção | Verdadeiro | Não | Se ativada, a ação vai criar um insight com informações sobre o usuário. |
| Número máximo de observações a serem retornadas | Número inteiro | 50 | Não | Especifique quantas observações mostrar na tabela de bloqueio de caso. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
- Endereço MAC
- Usuário
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado em JSON para o endpoint:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Resultado em JSON para usuários:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
Enriquecimento de entidades para endpoints:
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| object_classes | Quando disponível em JSON |
| site_name | Quando disponível em JSON |
| device_disabled | Quando disponível em JSON |
| device_managed_by | Quando disponível em JSON |
| nome do host | Quando disponível em JSON |
| ad_distinguished_name | Quando disponível em JSON |
| asset_name | Quando disponível em JSON |
| IPs | Quando disponível em JSON |
| os | Quando disponível em JSON |
| ID | Quando disponível em JSON |
| link | Quando disponível em JSON |
Enriquecimento de entidade para usuários:
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| account_disabled | Quando disponível em JSON |
| ad_display_name | Quando disponível em JSON |
| ad_distinguished_name | Quando disponível em JSON |
| ad_sid | Quando disponível em JSON |
| employee_id | Quando disponível em JSON |
| is_admin | Quando disponível em JSON |
| is_local | Quando disponível em JSON |
| is_locked | Quando disponível em JSON |
| carta | Quando disponível em JSON |
| user_telephone_number | Quando disponível em JSON |
| ID | Quando disponível em JSON |
| link | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) Se não enriquecer alguns (is_success = true): "Não foi possível enriquecer as seguintes entidades usando o Axonius:\n".format(entity.identifier) Se não enriquecer tudo (is_success = false): "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de entidades | Entidade | |
Tabela do painel de casos (se atributos/dados/lista de dados tiver valores) |
Nome: {entity.identifier}: observações Coluna:
|
Geral |
Adicionar nota
Adicione uma nota às entidades no Axonius. As entidades compatíveis incluem nome do host, endereço IP, endereço MAC, usuário e endereços de e-mail (entidades de usuário que correspondem à expressão regular de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Observação | String | N/A | Sim | Especifique qual observação precisa ser adicionada. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
- Endereço MAC
- Usuário
- Endereço de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se houver pelo menos um sucesso(is_success = true): "A observação foi adicionada às seguintes entidades no Axonius: {0}".format(entities) Se pelo menos uma falha(is_success = true): "Não foi possível adicionar uma observação às seguintes entidades no Axonius: {0}".format(entities) Se falhar para todos (is_success = false): "A observação não foi adicionada às entidades fornecidas". A ação precisa falhar e interromper a execução de um playbook: Se for um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar observação". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar tags
Adicione tags a entidades no Axonius. Entidades compatíveis: nome de host, IP, endereço MAC, usuário, endereços de e-mail (entidades de usuário que correspondem à expressão regular de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tags | CSV | Sim | Especifique uma lista separada por vírgulas de tags que precisam ser adicionadas às entidades. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
- Endereço MAC
- Usuário
- Endereço de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se houver pelo menos um sucesso(is_success = true): "As tags foram adicionadas às seguintes entidades no Axonius: {0}".format(entities) Se pelo menos uma falhar(is_success = true): "Não foi possível adicionar tags às seguintes entidades no Axonius: {0}".format(entities) Se falhar para todos (is_success = false): "As tags não foram adicionadas às entidades fornecidas". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Adicionar tags". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Remover tags
Remova tags de entidades no Axonius. Entidades compatíveis: nome do host, IP, endereço MAC, usuário, endereços de e-mail (entidades de usuário que correspondem a regex de e-mail).
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tags | CSV | Sim | Especifique uma lista separada por vírgulas de tags que precisam ser removidas das entidades. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
- Endereço MAC
- Usuário
- Endereço de e-mail
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se houver pelo menos um sucesso(is_success = true): "As tags foram removidas das seguintes entidades no Axonius: {0}".format(entities) if at least fail for one(is_success = true): "Não foi possível remover tags das seguintes entidades no Axonius: {0}".format(entities) Se falhar para todos (is_success = false): "As tags não foram removidas das entidades fornecidas". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Remover tags". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.