Digital Shadows
Integrationsversion: 9.0
Anwendungsfälle
Die Digital Shadows-Integration wird als Quelle für Benachrichtigungen und zur Anreicherung von Entitäten verwendet.
Vorbereitung
Für die Verwendung der Digital Shadows API ist der API-Schlüssel erforderlich.
Für Anfragen an alle Vorgangs-Endpunkte ist die HTTP-Basisauthentifizierung und ein spezielles (mit hoher Entropie) API-Anmeldedatenpaar erforderlich, das normalerweise aus einem Schlüssel mit 6 Zeichen und einem Secret mit 32 Zeichen besteht.
Digital Shadows in Google Security Operations einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationseingaben
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parameter | |
|---|---|
Instance Name |
Optional
Name der Instanz, für die Sie die Integration konfigurieren möchten. |
Description |
Optional
Instanzbeschreibung. |
API Key |
Erforderlich Digital Shadow API-Schlüssel. |
API Secret |
Optional Digital Shadow API-Secret. |
Run Remotely |
Optional Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angeklickt haben, wird die Option angezeigt, mit der Sie den Remote-Nutzer (Kundenservicemitarbeiter) auswählen können. Diese Option ist standardmäßig nicht angeklickt. |
Aktionen
CVE anreichern
Eine CVE mit Informationen von Digital Shadows anreichern.
Analysten können diese Aktion verwenden, um weitere Informationen zum jeweiligen CVE zu erhalten, was für die Untersuchung nützlich ist.
Entitäten
Diese Aktion wird für die CVE-Entität ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Logik |
|---|---|---|
DigitalShadows_Exploit_title |
entity/title |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Exploit_type |
entity/type |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Exploit_platform |
entity/platform |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Exploit_source |
entity/sourceUri |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_sourceURL |
entity/sourceUri |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_description |
entity/description |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_score |
entity/cvss2Score/baseScore |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_authentication |
entity/cvss2Score/authentication |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_accessVector |
entity/cvss2Score/accessVector |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_accessComplexity |
entity/cvss2Score/accessComplexity |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_confidentialityImpact |
entity/cvss2Score/confidentialityImpact |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_integrityImpact |
entity/cvss2Score/integrityImpact |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_Vulnerability_availabilityImpact |
entity/cvss2Score/availabilityImpact |
Sofern im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"content": [
{
"entity": {
"cveIdentifier": "CVE-2011-0489",
"created": "2011-01-18T18:03:00.000Z",
"updated": "2017-08-17T01:33:00.000Z",
"sourceUri": "https://nvd.nist.gov/vuln/detail/CVE-2011-0489",
"description": "The server components in Example_DB 10.0 do not require authentication for administrative commands, which allows remote attackers to modify data, obtain sensitive information, or cause a denial of service by sending requests over TCP to (1) the Lock Server or (2) the Advanced Multithreaded Server, as demonstrated by commands that are ordinarily sent by the (a) ookillls and (b) oostopams applications. NOTE: some of these details are obtained from third party information.",
"relatedCPEs": [
"cpe:/a:example:example%2fdb:10.0"
],
"cvss2Score": {
"baseScore": 7.5,
"authentication": "NONE",
"accessVector": "NETWORK",
"accessComplexity": "LOW",
"confidentialityImpact": "PARTIAL",
"integrityImpact": "PARTIAL",
"availabilityImpact": "PARTIAL"
}
},
"type": "VULNERABILITY",
"snippet": "CVE ID: CVE-2011-0489</em><br><br>",
"sortDate": "2017-08-17T01:33:00.000Z"
},
{
"entity": {
"id": "f75754b5-65a3-46ee-bea7-e0f015a5283d",
"uri": "http://example.com",
"pasted": "2018-01-05T09:10:02.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 0,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 100,
"exceededMaximum": true
}
},
"screenshot": {
"id": "3ab6b3cb-349d-4ed7-b150-773454a11908",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "7529cf75-5ddb-4e2d-8fc9-f3531e33704e",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": ""\n ], \n "CVE-2002-1656": [\n "3043"\n ], \n "CVE-2003-0347": [\n "23094"\n ], \n "<em>CVE</em>-<em>2011</em>-<em>0489</em>": [\n "15988",
"sortDate": "2018-01-05T09:10:02.000Z"
},
"type": "PASTE",
"snippet": ") sequences in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do ... in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do not require ... request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>] The server components in Example_DB 10.0 do not require ... files via "../\\" (dot dot forward-slash backslash) sequences in a crafted request.\n| [<em>CVE</em>-<em>2011</em>-<em>0489</em>",
"sortDate": "2019-07-23T21:35:39.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 4,
"facets": {}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Enrich CVE".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Links im Fall-Repository
Wenn
TYPE=Exploitin der JSON-Antwort verfügbar ist:Titel: Exploit Source URL
Link:
entity/sourceUriWenn
TYPE=Vulnerabilityin der JSON-Antwort verfügbar ist:Titel: URL der Sicherheitslücke:
Link:
entity/sourceUriFür alle Entitäten, für die Daten zurückgegeben wurden:
Titel: Vollständiges Suchergebnis für den digitalen Schatten
Link:
https://portal-digitalshadows.com/search?q=ENTITY
Hash anreichern (eingestellt)
Einen Hash mit Informationen von Digital Shadows anreichern.
Anwendungsfälle
Analysten können mit dieser Aktion zusätzliche Details erfassen, z. B. ob es sich um einen sicheren Hash handelt, der für die Untersuchung von Vorteil wäre.
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| DigitalShadows_CylanceFileHash_generalScore | entity/fileHashInfo/generalScore | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_CylanceFileHash_classifier_ml | entity/fileHashInfo/classifiers/ml | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_CylanceFileHash_classifier_industry | entity/fileHashInfo/classifiers/industry | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_CylanceFileHash_classifier_human | entity/fileHashInfo/classifiers/human | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootFileHash_category | Entität/Kategorie | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootFileHash_malwareCategory | entity/malwareCategory | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootFileHash_fileSizeBytes | entity/fileSizeBytes | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootFileHash_fileLastSeen | entity/fileLastSeen | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootFileHash_sourceUrls | entity/sourceUrls | Wenn Daten im JSON-Ergebnis verfügbar sind. Leere Listen sollten ignoriert werden. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"content": [
{
"entity": {
"requestedHash": "617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98",
"status": 0,
"fileHashInfo": {
"status": "COMPLETE",
"statusCode": 1,
"generalScore": -1.0,
"classifiers": {
"ml": 1.0,
"industry": -1.0,
"human": -1.0
},
"hashes": {
"sha256": "617F7301FD67E8B5D8AD42D4E94E02CB313FE5AD51770EF93323C6115E52FE98",
"sha1": "CF0743ED381ADE69BBA3D1DD3D357A8300BCD4AE",
"md5": "8FE94843A3E655209C57AF587849AC3A"
}
}
},
"type": "CYLANCE_FILE_HASH"
},
{
"entity": {
"id": "7ab729ab-2176-4072-8fcc-483410e7949d",
"uri": "http://example.com",
"title": "Malware hashes",
"pasted": "2019-12-07T04:01:21.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 45,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "a358a7fd-ce76-4ac0-a338-7a17c5affcca",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "2a98b417-1846-47ca-835f-b4be580cfdc2",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98\n137e17ed0c693f5ba23c3f3bf252f7edc29548d97f426625a4e0c5fea0558e45",
"sortDate": "2019-12-07T04:01:21.000Z"
},
{
"entity": {
"id": "e05f1f61-5996-4ff9-b656-5d7fe856e459",
"uri": "http://example.com",
"pasted": "2017-12-27T08:53:14.000Z",
"observableCounts": {
"ipV4": {
"count": 0,
"exceededMaximum": false
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 100,
"exceededMaximum": true
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "d41fd1d9-aa0c-411d-87f5-824d036e9843",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "ab91eba6-f8fd-4a7e-a3b4-6b100ee50789",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "617F7301FD67E8B5D8AD42D4E94E02CB313FE5AD51770EF93323C6115E52FE98",
"sortDate": "2017-12-27T08:53:14.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 25
},
"total": 4,
"facets": {}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: Wenn keine Fehler und zurückgegebenen Daten für Entitäten:
Wenn keine Fehler aufgetreten sind und keine Daten für Entitäten zurückgegeben wurden: Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei Fehler: Gibt „Error executing action ‚Enrich Hash‘“ (Fehler beim Ausführen der Aktion ‚Hash anreichern‘) aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Links | Für alle Entitäten, für die Daten zurückgegeben wurden: Titel:Vollständiges Suchergebnis für Digital Shadows Link:https://portal-digitalshadows.com/search?q= |
Entität |
IP-Adresse anreichern (eingestellt)
Eine IP-Adresse mit Informationen von Digital Shadows anreichern.
Anwendungsfälle
Analysten können diese Aktion verwenden, um weitere Informationen zur IP-Adresse zu erhalten, was für die Untersuchung nützlich ist.
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| DigitalShadows_WebrootIP_reputationScore | entity/reputationScore | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_asn | entity/asn | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_currentlyClassifiedAsThreat | entity/currentlyClassifiedAsThreat | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_ipThreatHistory | entity/ipThreatHistory | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_country | entity/ipGeoInfo/country | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_region | entity/ipGeoInfo/region | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_state | entity/ipGeoInfo/state | Falls im JSON-Ergebnis verfügbar. |
| DigitalShadows_WebrootIP_city | entity/ipGeoInfo/city | Falls im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"content": [
{
"entity": {
"ipAddress": "192.0.2.1",
"updatedDateTime": "2020-02-21T01:10:01.000Z",
"reputationScore": 18,
"asn": 13335,
"currentlyClassifiedAsThreat": false,
"threatCategories": [],
"ipThreatHistory": [],
"ipReputationHistory": [
{
"timestamp": "2020-02-21T01:10:01.000Z",
"reputation": 18
},
{
"timestamp": "2020-02-07T01:10:02.000Z",
"reputation": 29
}
],
"ipIncidentHistory": [
{
"classifiedAsThreat": false,
"startDateTime": "2019-07-15T00:37:12.000Z",
"durationSeconds": 0,
"numberOfAttempts": 0,
"eventType": "Phishing IPs",
"threatType": "Phishing",
"eventDescription": "IP hosts phishing sites",
"applications": [],
"hostingPhishUrls": [
"example.net"
],
"scanDetails": [],
"attackDetails": []
},
{
"classifiedAsThreat": false,
"startDateTime": "2018-07-21T00:23:27.000Z",
"durationSeconds": 0,
"numberOfAttempts": 0,
"eventType": "Phishing IPs",
"threatType": "Phishing",
"eventDescription": "IP hosts phishing sites",
"applications": [],
"hostingPhishUrls": [
"example.net"
],
"scanDetails": [],
"attackDetails": []
}
],
"ipGeoInfo": {
"country": "united states",
"region": "mid atlantic",
"state": "new jersey",
"city": "newark",
"latitude": "40.73873",
"longitude": "-74.19453",
"organization": "example inc.",
"carrier": "example",
"tld": "",
"sld": "",
"asn": "example_isn"
}
},
"type": "WEBROOT_IP"
},
{
"entity": {
"id": "0007b64b-ef21-4b5f-a0c2-1e469ceb6896",
"uri": "http://example.com",
"pasted": "2019-10-23T13:32:46.000Z",
"observableCounts": {
"ipV4": {
"count": 100,
"exceededMaximum": true
},
"email": {
"count": 0,
"exceededMaximum": false
},
"md5": {
"count": 0,
"exceededMaximum": false
},
"sha1": {
"count": 0,
"exceededMaximum": false
},
"sha256": {
"count": 0,
"exceededMaximum": false
},
"host": {
"count": 0,
"exceededMaximum": false
},
"cve": {
"count": 0,
"exceededMaximum": false
}
},
"screenshot": {
"id": "b019cfcf-2d36-4bcd-9bf3-69fa67b5ec6d",
"link": "https://example.com"
},
"screenshotThumbnail": {
"id": "57af6550-6690-478f-8ba5-640a5560311a",
"link": "https://example.com"
}
},
"type": "PASTE",
"snippet": "192.0.2.1\n192.0.2.2\n192.0.2.3\n192.0.2.4\n192.0.2.5\n192.0.2.6\n192.0.2.7",
"sortDate": "2019-10-23T13:32:46.000Z"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 10,
"facets": {}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: Wenn keine Fehler und zurückgegebene Daten für Entitäten: Wenn keine Fehler aufgetreten sind und keine Daten für die Einheiten zurückgegeben wurden: Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei Fehler: Gibt „Error executing action ‚Enrich IP‘“ (Fehler beim Ausführen der Aktion „IP anreichern“) aus. Grund: {0}''. format(error.Stacktrace) |
Allgemein |
| Links | Für alle Entitäten, für die Daten zurückgegeben wurden: Titel:Vollständiges Suchergebnis für Digital Shadows Link:https://portal-digitalshadows.com/search?q=
|
Entität |
URL anreichern
Eine URL mit Informationen von Digital Shadows anreichern.
Analysten können diese Aktion verwenden, um weitere Informationen zur jeweiligen URL-Adresse zu erhalten, was für die Untersuchung hilfreich ist.
Entitäten
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Logik |
|---|---|---|
DigitalShadows_WebrootDomain_timesLabeledAsThreat |
entity/threatHistory |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_WebrootDomain_age |
entity/age |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_WebrootIP_popularity |
entity/popularity |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_WebrootIP_reputation |
entity/reputation |
Sofern im JSON-Ergebnis verfügbar. |
DigitalShadows_WebrootIP_threatCategories |
entity/threatCategories |
Sofern im JSON-Ergebnis verfügbar. |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
JSON-Ergebnis
{
"content": [
{
"entity": {
"domainOrUrl": "www.example.com",
"lastUpdated": "2020-02-25T12:08:20.944Z",
"threatCategories": [
{
"confidence": 93,
"group": "Security",
"name": "Malware Sites"
}
],
"reputation": 10,
"popularity": "UNRANKED",
"age": 82,
"threatHistory": 1,
"webrootCrawlHistory": [],
"domainHostedHashes": []
},
"type": "WEBROOT_DOMAIN"
}
],
"currentPage": {
"offset": 0,
"size": 50
},
"total": 66,
"facets": {}
}
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Enrich URL".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Link zum Fall‑Repository
Für alle Entitäten, für die Daten zurückgegeben wurden:
Titel: Vollständiges Suchergebnis für den digitalen Schatten
Link: https://portal-digitalshadows.com/search?q=ENTITY
Ping
Testen Sie die Verbindung zu Digital Shadows mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Diese Aktion kann manuell ausgeführt werden und wird nicht in Playbooks verwendet.
Entitäten
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
–
Aktionsausgaben
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | – |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | – |
| Anreicherungstabelle | – |
| JSON-Ergebnis | – |
| Scriptergebnis | Verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wert |
|---|---|
| is_success | Wahr/falsch |
Fall-Repository
Die Aktion gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Digital Shadows with the provided
connection parameters! |
Aktion erfolgreich. |
Error executing action "Ping".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Link zum Fall‑Repository
Für alle Entitäten, für die Daten zurückgegeben wurden:
Titel: Vollständiges Suchergebnis für den digitalen Schatten
Link: https://portal-digitalshadows.com/search?q=ENTITY
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Digital Shadows – Incident Connector
Vorgänge aus Digital Shadows in Google SecOps aufnehmen.
Connector-Eingaben
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Geben Sie den Namen des Quellfelds ein, um den Der Standardwert ist |
Event Field Name |
Erforderlich
Geben Sie den Namen des Quellfelds ein, um den Namen Der Standardwert ist |
Environment Field Name |
Optional
Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert Mit dem Parameter können Sie das Feld „environment“ (Umgebung) mithilfe der Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, wird die Standardumgebung verwendet. |
Script Timeout (Seconds) |
Erforderlich Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 180 Sekunden. |
API Key |
Erforderlich
Digital Shadow API-Schlüssel. |
API secret |
Erforderlich
Digital Shadow API-Secret. |
Client Secret |
Erforderlich
Clientschlüssel des CrowdStrike-Kontos. |
Fetch Max Hours Backwards |
Optional
Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Vorfälle abgerufen werden sollen. Der Standardwert ist 1 Stunde. |
Lowest Severity To Fetch |
Erforderlich
Niedrigster Schweregrad der abzurufenden Vorfälle. Folgende Werte sind möglich:
Der Standardwert ist |
Incident Type Filter |
Optional
Durch Kommas getrennte Liste der Vorfallstypen, die in Google SecOps aufgenommen werden sollen. Standardmäßig ruft der Connector alle Arten von Vorfällen ab. Folgende Werte sind möglich:
|
Max Incidents To Fetch |
Optional
Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 50. |
Use whitelist as a blacklist |
Erforderlich
Wenn diese Option aktiviert ist, wird die dynamische Liste als Blockierliste verwendet. Diese Option ist standardmäßig nicht angeklickt. |
Verify SSL |
Erforderlich
Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht angeklickt. |
Proxy Server Address |
Optional
Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten