整合 Axonius 與 Google SecOps
本文說明如何將 Axonius 與 Google Security Operations (Google SecOps) 整合。
整合版本:5.0
應用實例
執行擴充動作。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{root} | 是 | Axonius API 根層級 |
| API 金鑰 | 字串 | 不適用 | 是 | Axonius API 金鑰 |
| API 密鑰 | 密碼 | 不適用 | 是 | Axonius API 密鑰 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果選取這個選項,整合服務會在連線至 Axonius 伺服器時驗證 SSL 憑證。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
測試與 Axonius 的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Axonius server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Axonius 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the Axonius server! Error is {0}".format(exception.stacktrace) |
一般 |
充實實體
使用 Axonius 的資訊擴充實體。支援的實體包括主機名稱、IP 位址、MAC 位址、使用者和電子郵件地址 (符合電子郵件規則運算式的使用者實體)。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立端點洞察 | 核取方塊 | 是 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含端點相關資訊。 |
| 建立使用者洞察資料 | 核取方塊 | 是 | 否 | 啟用後,這項動作會建立含有使用者資訊的洞察資料。 |
| 要傳回的附註數量上限 | 整數 | 50 | 否 | 指定要在案件牆表格中顯示的附註數量。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- MAC 位址
- 使用者
- 電子郵件
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果 - 適用於端點:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
JSON 結果 - 適用於使用者:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
實體擴充 - 適用於端點:
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| object_classes | 以 JSON 格式提供時 |
| site_name | 以 JSON 格式提供時 |
| device_disabled | 以 JSON 格式提供時 |
| device_managed_by | 以 JSON 格式提供時 |
| 主機名稱 | 以 JSON 格式提供時 |
| ad_distinguished_name | 以 JSON 格式提供時 |
| asset_name | 以 JSON 格式提供時 |
| ips | 以 JSON 格式提供時 |
| os | 以 JSON 格式提供時 |
| id | 以 JSON 格式提供時 |
| 連結 | 以 JSON 格式提供時 |
實體擴充 - 使用者:
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| account_disabled | 以 JSON 格式提供時 |
| ad_display_name | 以 JSON 格式提供時 |
| ad_distinguished_name | 以 JSON 格式提供時 |
| ad_sid | 以 JSON 格式提供時 |
| employee_id | 以 JSON 格式提供時 |
| is_admin | 以 JSON 格式提供時 |
| is_local | 以 JSON 格式提供時 |
| is_locked | 以 JSON 格式提供時 |
| 以 JSON 格式提供時 | |
| user_telephone_number | 以 JSON 格式提供時 |
| id | 以 JSON 格式提供時 |
| 連結 | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: If enriched some(is_success = true): "Successfully enriched the following entities using Axonius:\n".format(entity.identifier) 如果無法擴充部分項目 (is_success = true):「Action wasn't able to enriche the following entities using Axonius:\n".format(entity.identifier) 如果並非所有實體都已擴充 (is_success = false):「No entities were enriched」(沒有任何實體已擴充)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 實體資料表 | 實體 | |
案件總覽表格 (如果屬性/資料/資料清單有值) |
名稱:{entity.identifier}:附註 欄:
|
一般 |
新增附註
在 Axonius 中為實體新增附註。支援的實體包括主機名稱、IP 位址、MAC 位址、使用者和電子郵件地址 (符合電子郵件規則運算式的使用者實體)。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 注意事項 | 字串 | 不適用 | 是 | 指定要新增的附註。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- MAC 位址
- 使用者
- 電子郵件地址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個成功 (is_success = true):「Successfully added note to the following entities in Axonius: {0}」(已成功將附註新增至 Axonius 中的下列實體:{0})。format(entities) 如果至少有一個失敗(is_success = true):「無法在 Axonius 中為下列實體新增附註:{0}」。format(entities) 如果全部失敗 (is_success = false):「Note wasn't added to the provided entities.」(附註未新增至提供的實體)。 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『新增記事』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
新增標記
在 Axonius 中為實體新增標記。支援的實體:主機名稱、IP、MAC 位址、使用者、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記 | CSV | 是 | 指定以半形逗號分隔的標記清單,這些標記必須新增至實體。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- MAC 位址
- 使用者
- 電子郵件地址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個成功 (is_success = true):「Successfully added tags to the following entities in Axonius: {0}」(已成功將標記新增至 Axonius 中的下列實體:{0})。format(entities) If at least fail for one(is_success = true): "Action wasn't able to add tags to the following entities in Axonius: {0}".format(entities) 如果全部失敗 (is_success = false):「系統未將標記新增至所提供的實體。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『新增代碼』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
移除標記
從 Axonius 中的實體移除標記。支援的實體:主機名稱、IP、MAC 位址、使用者、電子郵件地址 (符合電子郵件規則運算式的使用者實體)。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記 | CSV | 是 | 指定要從實體中移除的標記清單 (以半形逗號分隔)。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- MAC 位址
- 使用者
- 電子郵件地址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一項成功 (is_success = true):「Successfully removed tags from the following entities in Axonius: {0}」(已成功從 Axonius 中的下列實體移除標記:{0})。format(entities) if at least fail for one(is_success = true): "Action wasn't able to remove tags from the following entities in Axonius: {0}".format(entities) 如果全部失敗 (is_success = false):「Tags weren't removed from the provided entities.」(標記未從提供的實體中移除)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『移除代碼』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。