Cyberint
統合バージョン: 4.0
Google Security Operations で Cyberint の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{instance}.cyberint.io | はい | Cyberint インスタンスの API ルート。 |
| API キー | パスワード | なし | はい | Cyberint インスタンスの API キー。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Cyberint サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
ユースケース
アラートの取り込み
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Cyberint への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティを使用せず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 型 |
|---|---|---|
| 出力メッセージ \* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Cyberint サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Cyberint サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
アラートを更新
説明
Cyberint でアラートを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 名前 | なし | はい | ステータスの更新が必要なアラートの ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
いいえ | イベントのステータスを指定します。 注: 「Closed」を選択した場合は、「Closure Reason」パラメータも指定する必要があります。 |
| 終了理由 | DDL | 1 つ選択 有効な値:
|
いいえ | ステータスが [Closed] の場合は、終了理由を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success = true): 「Cyberint で ID "{alert_id}" のアラートが正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラート ステータスの更新」の実行エラー。理由: {0}」.format(error.Stacktrace) 「1 つ選択」が指定されている場合:「アクション「アラート ステータスの更新」の実行エラー。理由: "ステータス" を指定する必要があります。'' 「ステータス」パラメータが「Closed」に設定されているが、「Closure Reason」パラメータが指定されていない場合:「アクション「アラートのステータスの更新」の実行エラー。理由: 「ステータス」が「クローズ」の場合は、「クローズの理由」を指定する必要があります。」 |
全般 |
コネクタ
Cyberint - Alerts Connector
説明
Cyberint からアラートに関する情報を pull します。
Google SecOps で Cyberint - Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance}.cyberint.io | はい | Cyberint インスタンスの API ルート。 |
| API キー | パスワード | なし | はい | Cyberint インスタンスの API キー。 |
| 取得する最も低い重大度 | Integer | なし | いいえ | アラートの取得に必要なリスクが最も低い。有効な値: Low、Medium、High、Very High。何も指定しないと、コネクタはすべての重大度のアラートを取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点からアラートを取得するかの時間数。 |
| 取得するアラートの最大数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で対応するアラートの数。デフォルト: 100。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合は、Cyberint サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。