Exabeam Advanced Analytics
Integrationsversion: 5.0
Anwendungsbereiche
- Aktive Aktionen ausführen: Beobachtungslisten erstellen/löschen, Entitäten zu Beobachtungslisten hinzufügen, Kommentare zu Entitäten hinzufügen.
- Anreichern – Informationen zu Entitäten mit Informationen von Exabeam anreichern.
Exabeam Advanced Analytics-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Cluster-Authentifizierungstoken generieren
- Wählen Sie in Exabeam Settings> Core > Admin Operations > Cluster Authentication Token aus. Die Seite „Cluster Authorization Token“ (Cluster-Autorisierungstoken) wird angezeigt.
- Klicken Sie auf das Symbol zum Hinzufügen. Das Dialogfeld „Token einrichten“ wird angezeigt.
- Geben Sie den Token-Namen und das Ablaufdatum in die entsprechenden Felder ein.
- Wählen Sie im Bereich Berechtigungsstufe die Option Standardrollen für das Token aus.
- Klicken Sie auf Token hinzufügen. Verwenden Sie die generierte Datei, um die Authentifizierung Ihrer APIs per Token zu ermöglichen.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{api root} | Ja | API-Stammverzeichnis der Exabeam Advanced Analytics-Instanz. |
| API-Token | Secret | – | Ja | API-Token der Exabeam Advanced Analytics-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Exabeam Advanced Analytics-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Exabeam Advanced Analytics mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
|
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen aus Exabeam Advanced Analytics anreichern Unterstützte Einheiten: Hostname, IP-Adresse und Nutzer. Der Parameter für den Ereigniszeitraum funktioniert mit Stunden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zeitachse für die Rückgabe von Entitäten | Kästchen | Wahr | Ja | Wenn diese Option aktiviert ist, gibt die Aktion den Zeitachsendaten für die Entität zurück. |
| Zeitraum für Ereignis | Ganzzahl | 24 | Nein | Geben Sie den Zeitraum für die Ereignisse an, die Sie sehen möchten. |
| Nur Anomalieereignisse | Kästchen | Wahr | Nein | Wenn diese Option aktiviert ist, werden nur Ereignisse zurückgegeben, die als Anomalien gelten. |
| Niedrigste abzurufende Risikobewertung für Ereignisse | Ganzzahl | – | Nein | Geben Sie an, welcher Risikowert das Ereignis mindestens haben muss, damit es erfasst wird. Wenn nichts angegeben ist, führt die Aktion keine Filterung durch. |
| Kommentare zurückgeben | Kästchen | Wahr | Nein | Wenn diese Option aktiviert ist, werden Kommentare zur Entität zurückgegeben. |
| Insight erstellen | Kästchen | Wahr | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion eine Statistik pro Entität erstellt. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | Nein | Geben Sie an, wie viele Ereignisse zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Ereignisse zurückgegeben. | |
| Maximale Anzahl zurückzugebender Kommentare | Ganzzahl | 10 | Nein | Geben Sie an, wie viele Kommentare zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- Nutzer
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis für Nutzer
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"source": "systemd",
"session_id": "root-20201009000110",
"rawlog_time": 1602201670967,
"host": "centos-002",
"session_order": 1,
"hash": 1013256238,
"event_type": "local-logon",
"account": "root",
"time": 1602201670967,
"event_id": "4602@m",
"user": "root",
"event_code": "Started Session",
"nonmachine_user": "root",
"is_session_first": true
}
]
}
JSON-Ergebnis für Asset
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"event_category": [
"user-events",
"asset-events"
],
"source": "UNIX",
"session_id": "sysadmin-20201009125727",
"rawlog_time": 1602248247376,
"host": "centos-002",
"src_ip": "172.30.202.187",
"session_order": 1,
"getvalue('zone_info', src)": "siemplify",
"dest_host": "centos-002",
"hash": 1236616962,
"event_type": "remote-logon",
"src_network_type": "LAN",
"account": "sysadmin",
"time": 1602248247376,
"event_id": "4619@m",
"user": "sysadmin",
"event_code": "ssh",
"nonmachine_user": "sysadmin",
"is_session_first": true,
"entity_asset_id": "asset@centos-002-20201009"
}
]
}
Anreicherung von Entitäten für Nutzer
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| EXBAA_riskScore | Wenn in JSON verfügbar |
| EXBAA_pastScores | Wenn in JSON verfügbar |
| EXBAA_lastSessionId | Wenn in JSON verfügbar |
| EXBAA_firstSeen | Wenn in JSON verfügbar |
| EXBAA_lastSeen | Wenn in JSON verfügbar |
| EXBAA_lastActivityType | Wenn in JSON verfügbar |
| EXBAA_lastActivityTime | Wenn in JSON verfügbar |
| EXBAA_labels | Wenn in JSON verfügbar |
| EXBAA_isExecutive | Wenn in JSON verfügbar |
| EXBAA_commentCount | Wenn in JSON verfügbar |
| EXBAA_accountNames | Wenn in JSON verfügbar |
| EXBAA_isNotable | Wenn in JSON verfügbar |
Entitätsanreicherung für Assets
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| EXBAA_riskScore | Wenn in JSON verfügbar |
| EXBAA_hostname | Wenn in JSON verfügbar |
| EXBAA_ipAddress | Wenn in JSON verfügbar |
| EXBAA_assetType | Wenn in JSON verfügbar |
| EXBAA_lastSessionId | Wenn in JSON verfügbar |
| EXBAA_firstSeen | Wenn in JSON verfügbar |
| EXBAA_lastSeen | Wenn in JSON verfügbar |
| EXBAA_labels | Wenn in JSON verfügbar |
| EXBAA_commentCount | Wenn in JSON verfügbar |
| EXBAA_accountNames | Wenn in JSON verfügbar |
| EXBAA_isNotable | Wenn in JSON verfügbar |
Entitätsinformationen für Nutzer
Entitätsstatistiken für Assets
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Bei Erfolg für einige (is_success = true): „Die Aktion konnte keine Informationen zu den folgenden Entitäten aus Exabeam Advanced Analytics zurückgeben:\n {0}“.format(entity.identifier) Wenn nicht erfolgreich für alle (is_success = false): Es wurden keine Entitäten mit Informationen von Exabeam angereichert. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Die Tabelle „Case Wall“ basiert auf der Anreicherungstabelle, jedoch ohne Präfixe. Die Idee ist, dass wir eine Spalte mit dem Namen „Schlüssel“ und eine zweite Spalte mit dem Namen „Wert“ haben. |
Entität |
Tabelle „Fall-Repository“ Für Nutzerereignisse (falls verfügbar) |
Tabellenname: „{entity.identifier} Events“ Spalten: Zeit Risikobewertung Typ Host Quelle |
Allgemein |
Tabelle „Fall-Repository“ Für Asset-Ereignisse (falls verfügbar) |
Tabellenname: „{entity.identifier} Events“ Spalten: Zeit Typ Nutzer Risikobewertung Quelle |
Allgemein |
Tabelle „Fall-Repository“ Kommentare |
Tabellenname: „{entity.identifier} Comments“ Spalten: Nutzer Kommentar |
Allgemein |
| Link zum Fall-Repository | {link} |
Beobachtungslisten auflisten
Beschreibung
Listet verfügbare Watchlists in Exabeam Advanced Analytics auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender Watchlists | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Watchlists zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
[
{
"watchlistId": "5e66f85c8fe56e9a122ccb45",
"title": "Service Accounts",
"category": "UserLabels"
},
{
"watchlistId": "5e66f85c8fe56e9a122ccb44",
"title": "Executive Users",
"category": "UserLabels"
},
{
"watchlistId": "5ffd9686130b3800072d1bef",
"title": "user watchlist",
"category": "Users"
},
{
"watchlistId": "5ffb0fc0130b3800072d1bd3",
"title": "testdan",
"category": "Assets"
},
{
"watchlistId": "5f7c37a2130b38000701691f",
"title": "linux",
"category": "Assets"
},
{
"watchlistId": "5f7adc46130b38000701690d",
"title": "Test-UBA",
"category": "AssetLabels"
},
{
"watchlistId": "5f22851d130b3800070168ff",
"title": "DM Test",
"category": "Users"
},
{
"watchlistId": "5eb27c20130b3800077954e2",
"title": "PrivilegedUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27ab6130b3800077954df",
"title": "DisabledUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27a92130b3800077954dc",
"title": "ServiceAccountsList-SailPoint",
"category": "Users"
},
{
"watchlistId": "5e9495d8130b380007795476",
"title": "DANOTEST",
"category": "Assets"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Wenn 200 und keine Daten verfügbar sind: „No watchlists were found in Exabeam Advanced Analytics“ (In Exabeam Advanced Analytics wurden keine Beobachtungslisten gefunden). Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen Fehlern: „Fehler beim Ausführen der Aktion ‚List Watchlist Items‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: „Verfügbare Watchlists“ Spalten Beobachtungslisten-ID Titel Kategorie |
Allgemein |
Merklistenelemente auflisten
Beschreibung
Listet verfügbare Elemente in Watchlists aus Exabeam Advanced Analytics auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel in der Beobachtungsliste | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Titel von Merklisten an, für die Sie Elemente zurückgeben möchten. |
| Max. Tage rückwärts | Ganzzahl | 1 | Nein | Geben Sie an, wie viele Tage in der Vergangenheit Watchlists aufgeführt werden sollen. Der Standardwert ist 1. |
| Maximale Anzahl zurückzugebender Elemente | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Elemente der Beobachtungsliste zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"title": "Test-UBA",
"creator": "admin",
"accessControl": "public",
"category": "AssetLabels",
"description": "Testing for dev purpose",
"isOutOfBox": false,
"items": [],
"criteria": [
"Server",
"Workstation",
"LdifFile",
"Domain Controller",
"TopTalker",
"EducatedGuess"
],
"totalNumberOfItems": 3,
"accessControlRoles": [],
"numberOfNotableItems": 0
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
if data is not available for some(is_success = true): "Action wasn't able to retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) Wenn Daten nicht für alle verfügbar sind: „No items were found for the provided watchlists in Exabeam Advanced Analytics“ (Für die angegebenen Watchlists wurden in Exabeam Advanced Analytics keine Elemente gefunden). Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚Watchlists auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Case Wall Table |
Tabellenname: „Watchlists {0} Items“.format(watchlist title) Spalten Nutzername Risikobewertung |
Allgemein |
Case Wall Table |
Tabellenname: „Watchlists {0} Items“.format(watchlist title) Spalten Typ Endpunkt Risikobewertung |
Allgemein |
Entität zur Beobachtungsliste hinzufügen
Beschreibung
Fügen Sie der Beobachtungsliste in Exabeam Advanced Analytics Entitäten hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel der Beobachtungsliste | String | – | Ja | Geben Sie den Titel der Merkliste an, der Sie Entitäten hinzufügen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- Nutzer
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier) if some were not added(is_success = true): "Action wasn't able to add the following entities to the watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier) Wenn keine hinzugefügt wurden: „Der Beobachtungsliste {0} in Exabeam Advanced Analytics wurden keine Entitäten hinzugefügt.“format(watchlist title) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Add Entity To Watchlist‘. Grund: {0}''.format(error.Stacktrace) Wenn die Merkliste nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Add Entity To Watchlist‘“. Grund: Die Merkliste {0} wurde in Exabeam Advanced Analytics nicht gefunden.''.format(watchlist title) Wenn watchlist category == „AssetLabel“ oder „UserLabel“: „Fehler beim Ausführen der Aktion ‚Entität zur Merkliste hinzufügen‘. Grund: Watchlists mit der Kategorie „AssetLabels“ und „UserLabels“ werden in dieser Aktion nicht unterstützt.“ |
Allgemein |
Entität aus der Beobachtungsliste entfernen
Beschreibung
Entfernen Sie Entitäten aus der Beobachtungsliste in Exabeam Advanced Analytics.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel der Beobachtungsliste | String | – | Ja | Geben Sie den Titel der Beobachtungsliste an, aus der Sie Elemente entfernen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- Nutzer
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if removed(is_success = true): "Successfully removed the following entities from the watchlist{0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) if some were not added(is_success = true): "Action wasn't able to remove the following entities from watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) Wenn keine hinzugefügt wurden: „No entities were removed from the watchlist {0} in Exabeam Advanced Analytics“.format(watchlist title) (Es wurden keine Elemente aus der Beobachtungsliste {0} in Exabeam Advanced Analytics entfernt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entität aus der Beobachtungsliste entfernen‘. Grund: {0}''.format(error.Stacktrace) Wenn die Beobachtungsliste nicht gefunden wurde: „Fehler beim Ausführen der Aktion ‚Entität aus Beobachtungsliste entfernen‘. Grund: Die Merkliste {0} wurde in Exabeam Advanced Analytics nicht gefunden.''.format(watchlist title) Wenn watchlist_category == „AssetLabel“ oder „UserLabel“: „Fehler beim Ausführen der Aktion ‚Entität aus Beobachtungsliste entfernen‘. Grund: Watchlists mit der Kategorie „AssetLabels“ und „UserLabels“ werden in dieser Aktion nicht unterstützt.“ |
Allgemein |
Kommentare zu Entität hinzufügen
Beschreibung
Kommentare zu Einheiten in Exabeam Advanced Analytics hinzufügen Unterstützte Einheiten: Hostname, IP-Adresse und Nutzer.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Ja | Geben Sie den Kommentar an, der der Entität hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
- Nutzer
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"newComment": {
"commentId": "6003e6e8130b3800072d1c35",
"commentType": "asset",
"commentObjectId": "centos-002",
"text": "qwe",
"exaUser": "admin",
"createTime": 1610868456906,
"updateTime": 1610868456906,
"edited": false
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) Wenn die Entität nicht gefunden wird: „Action wasn't able to add comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}“.format(entity identifier) Wenn keine Einheiten: „Den angegebenen Einheiten wurden keine Kommentare hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Kommentare zum Rechtssubjekt hinzufügen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Merkliste erstellen
Beschreibung
Erstellen Sie eine Beobachtungsliste in Exabeam Advanced Analytics.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel | String | – | Ja | Geben Sie den Titel für die Merkliste an. |
| Kategorie | DDL | Nutzer Mögliche Werte: Nutzer Asset |
Ja | Geben Sie die Kategorie für die Beobachtungsliste an. |
| Zugriffssteuerung | DDL | Privat Mögliche Werte: Öffentlich |
Ja | Geben Sie die Zugriffssteuerung für die Beobachtungsliste an. |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung für die Beobachtungsliste an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"watchlistId": "6003ed61130b3800072d1c37",
"title": "Keke",
"category": "Users"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) Wenn die Antwort „_apiErrorCode“ enthält (is_success=false): „Mit der Aktion konnte keine Beobachtungsliste in Exabeam Advanced Analytics erstellt werden. Grund: {0}".format(internalError) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Wunschliste erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Beobachtungsliste löschen
Beschreibung
Löschen einer Beobachtungsliste in Exabeam Advanced Analytics
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Titel der Beobachtungsliste | String | – | Wahr | Geben Sie den Titel der Beobachtungsliste an, die gelöscht werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Wunschliste löschen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten