Cyberint
Version de l'intégration : 4.0
Configurer l'intégration de Cyberint dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{instance}.cyberint.io | Oui | Racine de l'API de l'instance Cyberint. |
| Clé API | Mot de passe | N/A | Oui | Clé API de l'instance Cyberint. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Cyberint est valide. |
Cas d'utilisation
Ingestion des alertes
Actions
Ping
Description
Testez la connectivité à Cyberint avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
L'action n'utilise pas d'entités ni de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie\* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Cyberint réussie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Cyberint. Error is {0}".format(exception.stacktrace) |
Général |
Mettre à jour l'alerte
Description
Mettez à jour l'alerte dans Cyberint.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Nom | N/A | Oui | Spécifiez l'ID de l'alerte dont l'état doit être modifié. |
| État | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez l'état de l'événement. Remarque : Si "Clôturée" est sélectionné, le paramètre "Motif de clôture" doit également être fourni. |
| Motif de la clôture | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez le motif de la fermeture pour l'état "Fermé". |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success = true) : "L'alerte avec l'ID "{alert_id}" a bien été mise à jour dans Cyberint.". L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Raison : {0}''.format(error.Stacktrace) Si l'option "Sélectionner" est proposée : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Motif : "l'état" doit être indiqué. Si le paramètre "État" est défini sur "Fermé", mais que le paramètre "Raison de la fermeture" n'est pas fourni : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Motif : si l'état est "Fermé", vous devez indiquer le motif de clôture.'' |
Général |
Connecteurs
Connecteur d'alertes Cyberint
Description
Extraire des informations sur les alertes de Cyberint.
Configurer le connecteur Cyberint - Alerts dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | type | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{instance}.cyberint.io | Oui | Racine de l'API de l'instance Cyberint. |
| Clé API | Mot de passe | N/A | Oui | Clé API de l'instance Cyberint. |
| Gravité la plus faible à récupérer | Integer | N/A | Non | Risque le plus faible à utiliser pour récupérer les alertes. Valeurs possibles : faible, moyenne, élevée, très élevée. Si rien n'est spécifié, le connecteur ingère les alertes de tous les niveaux de gravité. |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel récupérer les alertes. |
| Nombre maximal d'alertes à récupérer | Integer | 100 | Non | Nombre d'alertes à traiter par itération de connecteur. Valeur par défaut : 100. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Cyberint est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.