将 Axonius 与 Google SecOps 集成
本文档介绍了如何将 Axonius 与 Google Security Operations (Google SecOps) 集成。
集成版本:5.0
使用场景
执行丰富化操作。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{root} | 是 | Axonius API 根 |
| API 密钥 | 字符串 | 不适用 | 是 | Axonius API 密钥 |
| API 密钥 | 密码 | 不适用 | 是 | Axonius API 密钥 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果选择此选项,集成会在连接到 Axonius 服务器时验证 SSL 证书。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
测试与 Axonius 的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Axonius server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Axonius server! 错误为 {0}".format(exception.stacktrace) |
常规 |
丰富实体
使用 Axonius 中的信息丰富实体。支持的实体包括主机名、IP 地址、MAC 地址、用户和电子邮件地址(与电子邮件正则表达式匹配的用户实体)。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 创建端点数据洞见 | 复选框 | 正确 | 否 | 如果启用,操作将创建包含有关端点信息的洞见。 |
| 创建用户分析数据 | 复选框 | 正确 | 否 | 如果启用,操作将创建包含用户相关信息的分析。 |
| 要返回的笔记数量上限 | 整数 | 50 | 否 | 指定要在支持请求墙表格中显示的备注数量。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- MAC 地址
- 用户
- 电子邮件
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果 - 适用于端点:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
JSON 结果 - 针对用户:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
实体丰富化 - 适用于端点:
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| object_classes | 以 JSON 格式提供时 |
| site_name | 以 JSON 格式提供时 |
| device_disabled | 以 JSON 格式提供时 |
| device_managed_by | 以 JSON 格式提供时 |
| 主机名 | 以 JSON 格式提供时 |
| ad_distinguished_name | 以 JSON 格式提供时 |
| asset_name | 以 JSON 格式提供时 |
| IP 地址 | 以 JSON 格式提供时 |
| os | 以 JSON 格式提供时 |
| id | 以 JSON 格式提供时 |
| 链接 | 以 JSON 格式提供时 |
实体扩充 - 针对用户:
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| account_disabled | 以 JSON 格式提供时 |
| ad_display_name | 以 JSON 格式提供时 |
| ad_distinguished_name | 以 JSON 格式提供时 |
| ad_sid | 以 JSON 格式提供时 |
| employee_id | 以 JSON 格式提供时 |
| is_admin | 以 JSON 格式提供时 |
| is_local | 以 JSON 格式提供时 |
| is_locked | 以 JSON 格式提供时 |
| 以 JSON 格式提供时 | |
| user_telephone_number | 以 JSON 格式提供时 |
| id | 以 JSON 格式提供时 |
| 链接 | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值/说明 | 类型(实体\常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果丰富了某些实体(is_success = true):“已使用 Axonius 成功丰富以下实体:\n”.format(entity.identifier) 如果未扩充某些实体(is_success = true):“操作无法使用 Axonius 扩充以下实体:\n”.format(entity.identifier) 如果未丰富所有实体(is_success = false):“未丰富任何实体”。 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) |
常规 |
| 实体表 | 实体 | |
“案例墙”表格 (如果属性/数据/数据列表有值) |
名称:{entity.identifier}:备注 列:
|
常规 |
添加备注
向 Axonius 中的实体添加备注。支持的实体包括主机名、IP 地址、MAC 地址、用户和电子邮件地址(与电子邮件正则表达式匹配的用户实体)。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 注意 | 字符串 | 不适用 | 是 | 指定需要添加的备注。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- MAC 地址
- 用户
- 电子邮件地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
案例墙
| 结果类型 | 值/说明 | 类型(实体\常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个成功(is_success = true):“已成功将备注添加到 Axonius 中的以下实体:{0}”.format(entities) 如果至少有一个失败(is_success = true):“无法在 Axonius 中为以下实体添加备注:{0}”。format(entities) 如果所有实体都失败(is_success = false):“未将注释添加到所提供的实体。”。 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘添加注释’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
添加标记
向 Axonius 中的实体添加标记。支持的实体:主机名、IP、MAC 地址、用户、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标记 | CSV | 是 | 指定必须添加到实体的标记的英文逗号分隔列表。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- MAC 地址
- 用户
- 电子邮件地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值/说明 | 类型(实体\常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个成功(is_success = true):“已成功将标记添加到 Axonius 中的以下实体:{0}”。format(entities) 如果至少有一个失败(is_success = true):“无法将标记添加到 Axonius 中的以下实体:{0}”。format(entities) 如果所有操作都失败(is_success = false):“未向所提供的实体添加标记。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等),请执行以下操作:“Error executing action "Add Tags". 原因:{0}''.format(error.Stacktrace) |
常规 |
移除标记
从 Axonius 中的实体移除标记。支持的实体:主机名、IP、MAC 地址、用户、电子邮件地址(与电子邮件正则表达式匹配的用户实体)。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标记 | CSV | 是 | 指定必须从实体中移除的标记的逗号分隔列表。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- MAC 地址
- 用户
- 电子邮件地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值/说明 | 类型(实体\常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个成功(is_success = true):“已成功从 Axonius 中的以下实体移除标记:{0}”。format(entities) 如果至少有一个失败(is_success = true):“无法从 Axonius 中的以下实体移除标记:{0}”。format(entities) 如果所有操作都失败(is_success = false):“未从所提供的实体中移除标记。”。 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Remove Tags". 原因:{0}''.format(error.Stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。