Cyberint
整合版本:4.0
在 Google Security Operations 中設定 Cyberint 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{instance}.cyberint.io | 是 | Cyberint 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Cyberint 執行個體的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 Cyberint 伺服器的 SSL 憑證有效。 |
應用實例
擷取快訊
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Cyberint 的連線。
參數
不適用
執行時間
動作不會使用實體,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息\* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Cyberint server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Cyberint 伺服器!) 動作應會失敗並停止執行應對手冊: 如果無法成功連線:「Failed to connect to the Cyberint server! Error is {0}".format(exception.stacktrace) |
一般 |
更新警告內容
說明
更新 Cyberint 中的快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 名稱 | 不適用 | 是 | 指定需要更新狀態的快訊 ID。 |
| 狀態 | DDL | 請選取一項 可能的值:
|
否 | 指定活動的狀態。 注意:如果選取「已關閉」,則必須提供「關閉原因」參數。 |
| 關閉原因 | DDL | 選取一個 可能的值:
|
否 | 指定停業狀態的停業原因。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 200 狀態碼 (is_success = true):「Successfully updated the alert with ID "{alert_id}" in Cyberint.」(已在 Cyberint 中成功更新 ID 為「{alert_id}」的快訊)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『更新快訊狀態』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果提供「選取一項」:「執行動作『更新快訊狀態』時發生錯誤。原因:必須提供「狀態」。 如果「狀態」參數設為「已結案」,但未提供「結案原因」參數:「執行動作『更新快訊狀態』時發生錯誤。原因:如果「狀態」為「已結案」,則必須提供「結案原因」。'' |
一般 |
連接器
Cyberint - Alerts Connector
說明
從 Cyberint 提取快訊相關資訊。
在 Google SecOps 中設定 Cyberint - Alerts 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{instance}.cyberint.io | 是 | Cyberint 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Cyberint 執行個體的 API 金鑰。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 用於擷取快訊的最低風險。可能的值:低、中、高、極高。如未指定,連接器會擷取所有嚴重程度的快訊。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 要擷取的警告數上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的快訊數量。預設值為 100。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 Cyberint 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。