Cyberint
Integrationsversion: 4.0
Cyberint-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{instance}.cyberint.io | Ja | API-Stammverzeichnis der Cyberint-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel der Cyberint-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Cyberint-Server gültig ist. |
Anwendungsbereiche
Aufnahme von Benachrichtigungen
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Cyberint mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Für die Aktion werden keine Einheiten oder erforderliche Eingabeparameter verwendet.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung\* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Cyberint server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum Cyberint-Server hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Cyberint-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Benachrichtigung ändern
Beschreibung
Benachrichtigung in Cyberint aktualisieren
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | Name | – | Ja | Geben Sie die ID der Benachrichtigung an, deren Status aktualisiert werden soll. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Status für das Ereignis an. Hinweis:Wenn „Geschlossen“ ausgewählt ist, muss auch der Parameter „Grund für die Schließung“ angegeben werden. |
| Grund für Schließen | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Grund für die Schließung an, wenn der Status „Geschlossen“ lautet. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success = true): „Successfully updated the alert with ID {alert_id} in Cyberint.“ (Die Benachrichtigung mit der ID „{alert_id}“ wurde in Cyberint aktualisiert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn „Auswählen“ angezeigt wird: „Fehler beim Ausführen der Aktion ‚Warnungsstatus aktualisieren‘. Grund: „Status“ muss angegeben werden.“ Wenn der Parameter „Status“ auf „Geschlossen“ gesetzt ist, der Parameter „Grund für Schließung“ aber nicht angegeben wird: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: Wenn der „Status“ „Geschlossen“ ist, müssen Sie einen „Grund für die Schließung“ angeben.“ |
Allgemein |
Connectors
Cyberint – Alerts Connector
Beschreibung
Informationen zu Benachrichtigungen von Cyberint abrufen
Cyberint – Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{instance}.cyberint.io | Ja | API-Stammverzeichnis der Cyberint-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel der Cyberint-Instanz. |
| Niedrigster abzurufender Schweregrad | Ganzzahl | – | Nein | Das niedrigste Risiko, das zum Abrufen von Benachrichtigungen verwendet werden muss. Mögliche Werte: Niedrig, Mittel, Hoch, Sehr hoch. Wenn nichts angegeben ist, werden Warnungen mit allen Schweregraden aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| Max. Anzahl der abzurufenden Benachrichtigungen | Ganzzahl | 100 | Nein | Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert is 100. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Cyberint-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxy.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten