将 Axonius 与 Google SecOps 集成

本文档介绍了如何将 Axonius 与 Google Security Operations (Google SecOps) 集成。

使用场景

执行丰富化操作。

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 为必需参数 说明
API 根 字符串 https://{root} Axonius API 根
API 密钥 字符串 不适用 Axonius API 密钥
API 密钥 密码 不适用 Axonius API 密钥
验证 SSL 复选框 勾选 如果选择此选项,集成会在连接到 Axonius 服务器时验证 SSL 证书。

如需了解如何在 Google SecOps 中配置集成,请参阅配置集成

如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例

操作

如需详细了解操作,请参阅 在工作台页面中处理待处理的操作执行人工处置措施

Ping

测试与 Axonius 的连接。

Run On

该操作不针对实体运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功:“Successfully connected to the Axonius server with the provided connection parameters!”

操作应失败并停止 playbook 执行

如果不成功:“Failed to connect to the Axonius server! 错误为 {0}".format(exception.stacktrace)

 常规

丰富实体

使用 Axonius 中的信息丰富实体。支持的实体包括主机名、IP 地址、MAC 地址、用户和电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数显示名称 类型 默认值 为必需参数 说明
创建端点数据洞见 复选框 True 如果启用,操作将创建包含有关端点信息的洞见。
创建用户分析数据 复选框 True 如果启用,操作将创建包含用户相关信息的分析。
要返回的笔记数量上限 整数 50 指定要在支持请求墙表格中显示的备注数量。

Run On

此操作适用于以下实体:

  • 主机名
  • IP 地址
  • MAC 地址
  • 用户
  • 电子邮件

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True

JSON 结果 - 适用于端点:

{
    "adapters": [
        {
            "accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
            "client_used": "DOMAIN\\axoniusSvc",
            "raw": {
                "ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
                "ad_object_class": [
                    "top",
                    "person",
                    "organizationalperson",
                    "user",
                    "computer"
                ],
                "ad_sAMAccountName": "",
                "ad_site_location": "Richmond",
                "ad_site_name": "",
                "device_disabled": false,
                "device_managed_by": "Example User",
                "domain": "example.example",
                "hostname": "HOSTNAME",
                "id": "CN=ID,OU=Computers,DC=demo,DC=local",
                "last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
                "name": "NAME",
                "network_interfaces": [
                    {
                        "ips": [
                            "IP"
                        ],
                        "ips_raw": [
                            "IP_RAW"
                        ],
                        "ips_v4": [
                            "IP_V4"
                        ],
                        "ips_v4_raw": [
                            "IP_V4_RAW"
                        ]
                    }
                ],
                "os": {
                    "bitness": 64,
                    "distribution": "10",
                    "is_windows_server": false,
                    "os_str": "windows 10 pro 64-bit",
                    "type": "Windows",
                    "type_distribution": "Windows 10"
                },
                "part_of_domain": true
            },
            "plugin_name": "",
            "plugin_type": "Adapter",
            "plugin_unique_name": "",
            "quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
            "type": "entitydata"
        },
        {
            "accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
            "client_used": "https://DOMAIN",
            "raw": {
                "hostname": "HOSTNAME",
                "id": "ID",
                "last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
                "name": "NAME",
                "network_id": "NETWORK_ID",
                "network_interfaces": [
                    {
                        "ips": [
                            "IP"
                        ],
                        "ips_raw": [
                            "IP_RAW"
                        ],
                        "ips_v4": [
                            "IP_V4"
                        ],
                        "ips_v4_raw": [
                            "IP_V4_RAW"
                        ],
                        "mac": "01:23:45:AB:CD:EF",
                        "manufacturer": "(Intel Corporate)"
                    }
                ]
            },
            "plugin_name": "Example",
            "plugin_type": "Adapter",
            "plugin_unique_name": "Example",
            "quick_id": "ID",
            "type": "entitydata"
        }
    ],
"Notes": [],
    "internal_axon_id": "",
    "labels": []
}

JSON 结果 - 针对用户:

{
    "adapters": [
        {
            "accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
            "client_used": "DOMAIN\\axoniusSvc",
            "raw": {
                "account_disabled": false,
                "ad_display_name": "",
                "ad_distinguished_name": "CN=example, DC=example",
                "ad_sid": "S-1-5-21-70119-3234025",
                "ad_uac_dont_expire_password": false,
                "ad_uac_password_not_required": false,
                "display_name": "",
                "domain": "example.example",
                "employee_id": "ID",
                "first_name": "Example",
                "id": "CN=example, DC=example",
                "is_admin": false,
                "is_local": false,
                "is_locked": false,
                "last_name": "Example",
                "last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
                "last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
                "mail": "email@example.com",
                "password_never_expires": false,
                "password_not_required": false,
                "user_city": "Boston",
                "user_telephone_number": "(800) 555-0175",
                "username": "user@example.com"
            },
            "user_city": "Boston",
            "user_telephone_number": "(800) 555-0175",
            "username": "user@example.com",
            "plugin_name": "active_directory_adapter",
            "plugin_type": "Adapter",
            "plugin_unique_name": "active_directory_adapter_0",
            "quick_id": "active_directory_adapter_0!CN=example,DC=example",
            "type": "entitydata"
        }
    ],
"Notes": [],
    "internal_axon_id": "",
    "labels": []
}

实体丰富化 - 适用于端点:

扩充项字段名称 逻辑 - 应用场景
object_classes 以 JSON 格式提供时
site_name 以 JSON 格式提供时
device_disabled 以 JSON 格式提供时
device_managed_by 以 JSON 格式提供时
主机名 以 JSON 格式提供时
ad_distinguished_name 以 JSON 格式提供时
asset_name 以 JSON 格式提供时
IP 地址 以 JSON 格式提供时
os 以 JSON 格式提供时
id 以 JSON 格式提供时
链接 以 JSON 格式提供时

实体丰富化 - 针对用户:

扩充项字段名称 逻辑 - 应用场景
account_disabled 以 JSON 格式提供时
ad_display_name 以 JSON 格式提供时
ad_distinguished_name 以 JSON 格式提供时
ad_sid 以 JSON 格式提供时
employee_id 以 JSON 格式提供时
is_admin 以 JSON 格式提供时
is_local 以 JSON 格式提供时
is_locked 以 JSON 格式提供时
mail 以 JSON 格式提供时
user_telephone_number 以 JSON 格式提供时
id 以 JSON 格式提供时
链接 以 JSON 格式提供时
案例墙
结果类型 值/说明 类型(实体\常规)
输出消息*

操作不应失败,也不应停止 playbook 执行

如果丰富了某些实体(is_success = true):“已使用 Axonius 成功丰富以下实体:\n”.format(entity.identifier)

如果未扩充某些实体(is_success = true):"Action wasn't able to enriche the following entities using Axonius:\n".format(entity.identifier)

如果未丰富所有实体(is_success = false):“未丰富任何实体”。

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace)

 常规
实体表 实体

“案例墙”表格

(如果属性/数据/数据列表有值)

名称:{entity.identifier}:备注

  • 用户名
  • 注意
  • 时间
 常规

添加备注

向 Axonius 中的实体添加备注。支持的实体包括主机名、IP 地址、MAC 地址、用户和电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数显示名称 类型 默认值 为必需参数 说明
注意 字符串 不适用 指定需要添加的备注。

Run On

此操作适用于以下实体:

  • 主机名
  • IP 地址
  • MAC 地址
  • 用户
  • 电子邮件地址

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True

JSON 结果

{
    "data": {
        "attributes": {
            "accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
            "note": "example",
            "user_id": "",
            "user_name": "internal/apiNAME",
            "uuid": ""
        },
        "type": "notes_details_schema"
    }
}
案例墙
结果类型 值/说明 类型(实体\常规)
输出消息*

操作不应失败,也不应停止 playbook 执行

如果至少有一个成功(is_success = true):“已成功将备注添加到 Axonius 中的以下实体:{0}”.format(entities)

如果至少有一个失败(is_success = true):“无法在 Axonius 中为以下实体添加备注:{0}”。format(entities)

如果所有实体都失败(is_success = false):“未将注释添加到所提供的实体。”。

操作应失败并停止 playbook 执行

如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘添加注释’时出错。原因:{0}''.format(error.Stacktrace)

 常规

添加标记

向 Axonius 中的实体添加标记。支持的实体:主机名、IP、MAC 地址、用户、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数

参数显示名称 类型 默认值 为必需参数 说明
标记 CSV 指定必须添加到实体的标记的英文逗号分隔列表。

Run On

此操作适用于以下实体:

  • 主机名
  • IP 地址
  • MAC 地址
  • 用户
  • 电子邮件地址

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值/说明 类型(实体\常规)
输出消息*

操作不应失败,也不应停止 playbook 执行

如果至少有一个成功(is_success = true):“已成功将标记添加到 Axonius 中的以下实体:{0}”。format(entities)

如果至少有一个失败(is_success = true):“无法将标签添加到 Axonius 中的以下实体:{0}”。format(entities)

如果所有操作都失败(is_success = false):“未向所提供的实体添加标记。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器等):“执行操作‘添加标记’时出错。原因:{0}''.format(error.Stacktrace)

 常规

移除标记

从 Axonius 中的实体移除标记。支持的实体:主机名、IP、MAC 地址、用户、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。

参数
参数显示名称 类型 默认值 为必需参数 说明
标记 CSV 指定必须从实体中移除的标记的逗号分隔列表。

Run On

此操作适用于以下实体:

  • 主机名
  • IP 地址
  • MAC 地址
  • 用户
  • 电子邮件地址

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值/说明 类型(实体\常规)
输出消息*

操作不应失败,也不应停止 playbook 执行

如果至少有一个成功(is_success = true):“已成功从 Axonius 中的以下实体移除标记:{0}”。format(entities)

如果至少有一个失败(is_success = true):“无法从 Axonius 中的以下实体移除标记:{0}”。format(entities)

如果所有操作都失败(is_success = false):“未从所提供的实体中移除标记。”。

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Remove Tags". 原因:{0}''.format(error.Stacktrace)

 常规

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。