Esta página foi traduzida pela API Cloud Translation.

Cyberint

Versão da integração: 4.0

Configurar a integração com a Cyberint no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Raiz da API	String	https://{instance}.cyberint.io	Sim	Raiz da API da instância do Cyberint.
Chave de API	Senha	N/A	Sim	Chave de API da instância do Cyberint.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativada, verifique se o certificado SSL da conexão com o servidor da Cyberint é válido.

Casos de uso

Assimilação de alertas

Ações

Ping

Descrição

Teste a conectividade com a Cyberint usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".

Parâmetros

N/A

Executar em

A ação não usa entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída\*	A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "A conexão com o servidor da Cyberint foi estabelecida com sucesso usando os parâmetros fornecidos". A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor da Cyberint. O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída\*

A ação não pode falhar nem interromper a execução de um playbook:

Se tudo der certo: "A conexão com o servidor da Cyberint foi estabelecida com sucesso usando os parâmetros fornecidos".

A ação precisa falhar e interromper a execução de um playbook:

Se não der certo: "Não foi possível se conectar ao servidor da Cyberint. O erro é {0}".format(exception.stacktrace)

Geral

Atualizar alerta

Descrição

Atualize o alerta na Cyberint.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Código de alerta	Nome	N/A	Sim	Especifique o ID do alerta que precisa ter o status atualizado.
Status	DDL	Selecione uma opção. Valores possíveis: Abrir Acknowledged Fechado	Não	Especifique o status do evento. Observação:se "Fechado" estiver selecionado, o parâmetro "Motivo do encerramento" também precisará ser fornecido.
Motivo do encerramento	DDL	Selecione uma opção. Valores possíveis: Resolvido Irrelevante Falso Positivo	Não	Especifique o motivo do fechamento para o status "Fechado".

Nome de exibição do parâmetro

Tipo

Valor padrão

É obrigatório

Descrição

Código de alerta

Nome

N/A

Sim

Especifique o ID do alerta que precisa ter o status atualizado.

Status

DDL

Selecione uma opção.

Valores possíveis:

Abrir
Acknowledged
Fechado

Não

Especifique o status do evento.

Observação:se "Fechado" estiver selecionado, o parâmetro "Motivo do encerramento" também precisará ser fornecido.

Motivo do encerramento

DDL

Selecione uma opção.

Valores possíveis:

Resolvido
Irrelevante
Falso
Positivo

Não

Especifique o motivo do fechamento para o status "Fechado".

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success = true): "O alerta com ID "{alert_id}" foi atualizado com sucesso na Cyberint.". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Atualizar status do alerta". Motivo: {0}''.format(error.Stacktrace) Se a opção "Selecione uma" for fornecida: "Erro ao executar a ação "Atualizar status do alerta". Motivo: é necessário informar o "Status". Se o parâmetro "Status" estiver definido como "Closed", mas o parâmetro "Closure Reason" não for fornecido: "Error executing action "Update Alert Status". Motivo: se o "Status" for "Fechado", você precisará informar o "Motivo do encerramento".''	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status 200 for informado (is_success = true): "O alerta com ID "{alert_id}" foi atualizado com sucesso na Cyberint.".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Atualizar status do alerta". Motivo: {0}''.format(error.Stacktrace)

Se a opção "Selecione uma" for fornecida: "Erro ao executar a ação "Atualizar status do alerta". Motivo: é necessário informar o "Status".

Se o parâmetro "Status" estiver definido como "Closed", mas o parâmetro "Closure Reason" não for fornecido: "Error executing action "Update Alert Status". Motivo: se o "Status" for "Fechado", você precisará informar o "Motivo do encerramento".''

Geral

Conectores

Cyberint: conector de alertas

Descrição

Extrai informações sobre alertas da Cyberint.

Configurar o conector de alertas da Cyberint no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento	String	tipo	Sim	Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente	String	""	Não	Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos)	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://{instance}.cyberint.io	Sim	Raiz da API da instância do Cyberint.
Chave de API	Senha	N/A	Sim	Chave de API da instância do Cyberint.
Menor gravidade a ser buscada	Número inteiro	N/A	Não	O risco mais baixo que precisa ser usado para buscar alertas. Valores possíveis: "Baixa", "Média", "Alta" e "Muito alta". Se nada for especificado, o conector vai ingerir alertas de todas as gravidades.
Máximo de horas para trás	Número inteiro	1	Não	Número de horas de onde buscar alertas.
Número máximo de alertas a serem buscados	Número inteiro	100	Não	Quantos alertas processar por iteração de conector. Padrão: 100;
Usar a lista de permissões como uma lista de proibições	Caixa de seleção	Desmarcado	Sim	Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativada, verifique se o certificado SSL da conexão com o servidor da Cyberint é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a ser usado.
Nome de usuário do proxy	String	N/A	Não	O nome de usuário do proxy para autenticação.
Senha do proxy	Senha	N/A	Não	A senha do proxy para autenticação.

Regras de conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.