Cyberint
Versión de integración: 4.0
Configura la integración de Cyberint en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{instance}.cyberint.io | Sí | Es la raíz de la API de la instancia de Cyberint. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la instancia de Cyberint. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Cyberint sea válido. |
Casos de uso
Ingestión de alertas
Acciones
Ping
Descripción
Prueba la conectividad con Cyberint con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
La acción no usa entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida\* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Cyberint server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de Cyberint. Error is {0}".format(exception.stacktrace) |
General |
Actualizar alerta
Descripción
Se actualizó la alerta en Cyberint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Nombre | N/A | Sí | Especifica el ID de la alerta cuyo estado se debe actualizar. |
| Estado | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el estado del evento. Nota: Si se selecciona "Cerrado", también se debe proporcionar el parámetro "Motivo del cierre". |
| Motivo del cierre | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el motivo del cierre para el estado cerrado. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success = true): "Se actualizó correctamente la alerta con el ID "{alert_id}" en Cyberint". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Actualizar el estado de la alerta". Reason: {0}''.format(error.Stacktrace) Si se proporciona "Seleccionar uno": "Error al ejecutar la acción "Actualizar estado de alerta". Motivo: Se debe proporcionar el "Estado"." Si el parámetro "Estado" se establece en "Cerrado", pero no se proporciona el parámetro "Motivo de cierre": "Error al ejecutar la acción "Actualizar estado de alerta". Motivo: Si el "Estado" es "Cerrado", debes proporcionar el "Motivo de cierre".'' |
General |
Conectores
Cyberint: conector de alertas
Descripción
Extrae información sobre las alertas de Cyberint.
Configura el conector de alertas de Cyberint en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | tipo | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{instance}.cyberint.io | Sí | Es la raíz de la API de la instancia de Cyberint. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la instancia de Cyberint. |
| Gravedad más baja que se recuperará | Número entero | N/A | No | Es el riesgo más bajo que se debe usar para recuperar alertas. Valores posibles: Bajo, Medio, Alto y Muy alto. Si no se especifica nada, el conector transferirá alertas con todos los niveles de gravedad. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan las alertas. |
| Cantidad máxima de alertas para recuperar | Número entero | 100 | No | Cantidad de alertas que se procesarán por iteración del conector. El valor predeterminado es 100. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Cyberint sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.