Cyberint
Versione integrazione: 4.0
Configurare l'integrazione di Cyberint in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{instance}.cyberint.io | Sì | Radice dell'API dell'istanza Cyberint. |
| Chiave API | Password | N/D | Sì | Chiave API dell'istanza Cyberint. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Cyberint sia valido. |
Casi d'uso
Inserimento degli avvisi
Azioni
Dindin
Descrizione
Testa la connettività a Cyberint con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
L'azione non utilizza entità né ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Cyberint riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Cyberint. Error is {0}".format(exception.stacktrace) |
Generale |
Aggiorna avviso
Descrizione
Aggiorna l'avviso in Cyberint.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Nome | N/D | Sì | Specifica l'ID dell'avviso di cui è necessario aggiornare lo stato. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato dell'evento. Nota:se è selezionato "Chiuso", è necessario fornire anche il parametro "Motivo della chiusura". |
| Motivo della chiusura | DDL | Selezionane uno Valori possibili:
|
No | Specifica il motivo della chiusura per lo stato Chiuso. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success = true): "Successfully updated the alert with ID "{alert_id}" in Cyberint.". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna stato avviso". Motivo: {0}''.format(error.Stacktrace) Se viene fornito "Seleziona uno": "Errore durante l'esecuzione dell'azione "Aggiorna stato avviso". Motivo: è necessario fornire lo "Stato".'' Se il parametro "Stato" è impostato su "Chiuso", ma il parametro "Motivo della chiusura" non è fornito: "Errore durante l'esecuzione dell'azione "Aggiorna stato avviso". Motivo: se lo "Stato" è "Chiuso", devi fornire il "Motivo della chiusura".'' |
Generale |
Connettori
Cyberint - Alerts Connector
Descrizione
Recupera informazioni sugli avvisi da Cyberint.
Configura il connettore Cyberint - Alerts in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | tipo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance}.cyberint.io | Sì | Radice dell'API dell'istanza Cyberint. |
| Chiave API | Password | N/D | Sì | Chiave API dell'istanza Cyberint. |
| Gravità minima da recuperare | Numero intero | N/D | No | Il rischio più basso da utilizzare per recuperare gli avvisi. Valori possibili: Basso, Medio, Alto, Molto alto. Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. |
| Numero massimo di avvisi da recuperare | Numero intero | 100 | No | Numero di avvisi da elaborare per ogni iterazione del connettore. Valore predefinito: 100. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Cyberint sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.