Halaman ini diterjemahkan oleh Cloud Translation API.

Cyberint

Versi integrasi: 4.0

Mengonfigurasi integrasi Cyberint di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Root API	String	https://{instance}.cyberint.io	Ya	Root API instance Cyberint.
Kunci API	Sandi	T/A	Ya	Kunci API instance Cyberint.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Cyberint valid.

Kasus Penggunaan

Penyerapan pemberitahuan

Tindakan

Ping

Deskripsi

Uji konektivitas ke Cyberint dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan tidak menggunakan entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output\*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Cyberint server with the provided connection parameters!" (Berhasil terhubung ke server Cyberint dengan parameter koneksi yang diberikan). Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Cyberint! Error adalah {0}".format(exception.stacktrace)	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output\*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the Cyberint server with the provided connection parameters!" (Berhasil terhubung ke server Cyberint dengan parameter koneksi yang diberikan).

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil: "Gagal terhubung ke server Cyberint! Error adalah {0}".format(exception.stacktrace)

Umum

Perbarui Notifikasi

Deskripsi

Perbarui pemberitahuan di Cyberint.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
ID pemberitahuan	Nama	T/A	Ya	Tentukan ID pemberitahuan yang statusnya perlu diperbarui.
Status	DDL	Pilih Satu Nilai yang Mungkin: Buka Dikonfirmasi Tutup	Tidak	Tentukan status untuk acara. Catatan: Jika "Ditutup" dipilih, parameter "Alasan Penutupan" juga harus diberikan.
Alasan Penutupan	DDL	Pilih Satu Nilai yang Mungkin: Selesai Tidak relevan Salah Positive	Tidak	Tentukan alasan penutupan untuk status tutup.

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

ID pemberitahuan

Nama

T/A

Tentukan ID pemberitahuan yang statusnya perlu diperbarui.

Status

DDL

Pilih Satu

Nilai yang Mungkin:

Buka
Dikonfirmasi
Tutup

Tidak

Tentukan status untuk acara.

Catatan: Jika "Ditutup" dipilih, parameter "Alasan Penutupan" juga harus diberikan.

Alasan Penutupan

DDL

Pilih Satu

Nilai yang Mungkin:

Selesai
Tidak relevan
Salah
Positive

Tidak

Tentukan alasan penutupan untuk status tutup.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Repositori Kasus

Jenis hasil	Nilai/Deskripsi	Jenis
Pesan output*	Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success = true): "Berhasil memperbarui pemberitahuan dengan ID "{alert_id}" di Cyberint". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Status Notifikasi". Alasan: {0}''.format(error.Stacktrace) Jika "Pilih Salah Satu" diberikan: "Error saat menjalankan tindakan "Perbarui Status Pemberitahuan". Alasan: "Status" harus diberikan.'' Jika parameter "Status" ditetapkan ke "Closed", tetapi parameter "Closure Reason" tidak diberikan: "Error executing action "Update Alert Status". Alasan: jika "Status" adalah "Ditutup", Anda harus memberikan "Alasan Penutupan".''	Umum

Jenis hasil

Nilai/Deskripsi

Jenis

Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 200 dilaporkan (is_success = true): "Berhasil memperbarui pemberitahuan dengan ID "{alert_id}" di Cyberint".

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Status Notifikasi". Alasan: {0}''.format(error.Stacktrace)

Jika "Pilih Salah Satu" diberikan: "Error saat menjalankan tindakan "Perbarui Status Pemberitahuan". Alasan: "Status" harus diberikan.''

Jika parameter "Status" ditetapkan ke "Closed", tetapi parameter "Closure Reason" tidak diberikan: "Error executing action "Update Alert Status". Alasan: jika "Status" adalah "Ditutup", Anda harus memberikan "Alasan Penutupan".''

Umum

Konektor

Cyberint - Alerts Connector

Deskripsi

Mengambil informasi tentang peringatan dari Cyberint.

Mengonfigurasi Konektor Pemberitahuan Cyberint di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa	String	jenis	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan	String	""	Tidak	Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan	String	.*	Tidak	Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	180	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	https://{instance}.cyberint.io	Ya	Root API instance Cyberint.
Kunci API	Sandi	T/A	Ya	Kunci API instance Cyberint.
Tingkat Keparahan Terendah yang Akan Diambil	Bilangan bulat	T/A	Tidak	Risiko terendah yang perlu digunakan untuk mengambil pemberitahuan. Kemungkinan nilai: Rendah, Sedang, Tinggi, Sangat Tinggi. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.
Maks. Jam Mundur	Bilangan bulat	1	Tidak	Jumlah jam dari tempat pengambilan pemberitahuan.
Jumlah Maksimum Pemberitahuan yang Akan Diambil	Bilangan bulat	100	Tidak	Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. Default: 100.
Menggunakan daftar yang diizinkan sebagai daftar blokir	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir.
Verifikasi SSL	Kotak centang	Dicentang	Ya	Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Cyberint valid.
Alamat Server Proxy	String	T/A	Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String	T/A	Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi	T/A	Tidak	Sandi proxy untuk mengautentikasi.

Aturan Konektor

Dukungan Proxy

Konektor mendukung Proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.