Esta página foi traduzida pela API Cloud Translation.

Exabeam Advanced Analytics

Versão de integração: 5.0

Exemplos de utilização

Executar ações ativas: criar/eliminar listas de visualização, adicionar entidades a listas de visualização, adicionar comentários a entidades.
Realizar o enriquecimento: enriquecer informações sobre entidades com informações do Exabeam.

Configure a integração do Exabeam Advanced Analytics no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Gere um símbolo de autenticação de cluster

No Exabeam, selecione Definições > Core > Operações de administração > Token de autenticação do cluster. É apresentada a página Cluster Authorization Token.
Clique no símbolo de adição. É apresentada a caixa de diálogo Token de configuração.
Introduza o nome do token e a data de validade nos campos relevantes.
Na secção Nível de autorização, selecione Funções predefinidas para o token.
1. Clique em Adicionar token. Use o ficheiro gerado para permitir que as suas APIs se autentiquem por token.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da API	String	https://{api root}	Sim	Raiz da API da instância do Exabeam Advanced Analytics.
Chave da API	Secreto	N/A	Sim	Símbolo da API da instância do Exabeam Advanced Analytics.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do Exabeam Advanced Analytics é válido.

Ações

Tchim-tchim

Descrição

Teste a conetividade ao Exabeam Advanced Analytics com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se for bem-sucedida: "Ligação estabelecida com êxito ao servidor Logpoint com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um playbook: se não for bem-sucedida: "Não foi possível estabelecer ligação ao servidor Logpoint! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se for bem-sucedida: "Ligação estabelecida com êxito ao servidor Logpoint com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um playbook:
se não for bem-sucedida: "Não foi possível estabelecer ligação ao servidor Logpoint! O erro é {0}".format(exception.stacktrace)

Geral

Enriquecer entidades

Descrição

Enriqueça as entidades com as informações do Exabeam Advanced Analytics. Entidades suportadas: nome de anfitrião, IP e utilizador. O parâmetro de intervalo de tempo do evento funciona com horas.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Return Entity Timeline	Caixa de verificação	True	Sim	Se estiver ativada, a ação devolve a cronologia da entidade.
Intervalo de tempo do evento	Número inteiro	24	Não	Especifique o período dos eventos que quer ver em horas.
Apenas eventos de anomalia	Caixa de verificação	True	Não	Se estiver ativada, a ação só devolve eventos considerados anomalias.
Pontuação de risco do evento mais baixa a obter	Número inteiro	N/A	Não	Especifique qual deve ser a pontuação de risco mais baixa do evento para o ingerir. Se não for especificado nada, a ação não aplica qualquer filtro.
Devolver comentários	Caixa de verificação	True	Não	Se estiver ativada, a ação devolve comentários relacionados com a entidade.
Crie estatísticas	Caixa de verificação	True	Não	Se estiver ativada, a ação cria uma estatística por entidade.
Máximo de eventos a devolver	Número inteiro		Não	Especifique quantos eventos devem ser devolvidos. Se nada for especificado, a ação devolve todos os eventos.
Máximo de comentários a devolver	Número inteiro	10	Não	Especifique o número de comentários a devolver.

Executar em

Esta ação é executada nas seguintes entidades:

Nome do anfitrião
Endereço IP
Utilizador

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON para o utilizador

{
    "username": "root",
    "userInfo": {
        "username": "root",
        "riskScore": 0.0,
        "averageRiskScore": 0.0,
        "pastScores": [
            0.0,
            0.0,
            0.0,
            0.0,
            0.0,
            0.0
        ],
        "lastSessionId": "root-20201010000111",
        "firstSeen": 1601510468890,
        "lastSeen": 1602298872682,
        "lastActivityType": "Account deleted",
        "lastActivityTime": 1602288071248,
        "info": {},
        "labels": [
            "service_account"
        ],
        "pendingRiskTransfers": []
    },
    "isExecutive": false,
    "accountNames": [],
    "peerGroupFieldName": "Peer Groups",
    "peerGroupType": "",
    "isMultiPeerGroup": true,
    "commentCount": 0,
    "isOnWatchlist": false,
    "hasDisabledModel": false,
    "hasDisabledEventType": false,
    "comments": [
        {
            "commentId": "6002d31b130b3800072d1c1d",
            "commentType": "user",
            "commentObjectId": "sysadmin",
            "text": "asd",
            "exaUser": "admin",
            "createTime": 1610797851298,
            "updateTime": 1610797851298,
            "edited": false
        }
    ],
    "events": [
        {
            "risk_score": "{value if available}",
            "source": "systemd",
            "session_id": "root-20201009000110",
            "rawlog_time": 1602201670967,
            "host": "centos-002",
            "session_order": 1,
            "hash": 1013256238,
            "event_type": "local-logon",
            "account": "root",
            "time": 1602201670967,
            "event_id": "4602@m",
            "user": "root",
            "event_code": "Started Session",
            "nonmachine_user": "root",
            "is_session_first": true
        }
    ]
}

Resultado JSON para o recurso

{
    "username": "root",
    "userInfo": {
        "username": "root",
        "riskScore": 0.0,
        "averageRiskScore": 0.0,
        "pastScores": [
            0.0,
            0.0,
            0.0,
            0.0,
            0.0,
            0.0
        ],
        "lastSessionId": "root-20201010000111",
        "firstSeen": 1601510468890,
        "lastSeen": 1602298872682,
        "lastActivityType": "Account deleted",
        "lastActivityTime": 1602288071248,
        "info": {},
        "labels": [
            "service_account"
        ],
        "pendingRiskTransfers": []
    },
    "isExecutive": false,
    "accountNames": [],
    "peerGroupFieldName": "Peer Groups",
    "peerGroupType": "",
    "isMultiPeerGroup": true,
    "commentCount": 0,
    "isOnWatchlist": false,
    "hasDisabledModel": false,
    "hasDisabledEventType": false,
    "comments": [
        {
            "commentId": "6002d31b130b3800072d1c1d",
            "commentType": "user",
            "commentObjectId": "sysadmin",
            "text": "asd",
            "exaUser": "admin",
            "createTime": 1610797851298,
            "updateTime": 1610797851298,
            "edited": false
        }
    ],
    "events": [
        {
            "risk_score": "{value if available}",
            "event_category": [
                "user-events",
                "asset-events"
            ],
            "source": "UNIX",
            "session_id": "sysadmin-20201009125727",
            "rawlog_time": 1602248247376,
            "host": "centos-002",
            "src_ip": "172.30.202.187",
            "session_order": 1,
            "getvalue('zone_info', src)": "siemplify",
            "dest_host": "centos-002",
            "hash": 1236616962,
            "event_type": "remote-logon",
            "src_network_type": "LAN",
            "account": "sysadmin",
            "time": 1602248247376,
            "event_id": "4619@m",
            "user": "sysadmin",
            "event_code": "ssh",
            "nonmachine_user": "sysadmin",
            "is_session_first": true,
            "entity_asset_id": "asset@centos-002-20201009"
        }
    ]
}

Enriquecimento de entidades para o utilizador

Nome do campo de enriquecimento	Lógica: quando aplicar
EXBAA_riskScore	Quando estiver disponível em JSON
EXBAA_pastScores	Quando estiver disponível em JSON
EXBAA_lastSessionId	Quando estiver disponível em JSON
EXBAA_firstSeen	Quando estiver disponível em JSON
EXBAA_lastSeen	Quando estiver disponível em JSON
EXBAA_lastActivityType	Quando estiver disponível em JSON
EXBAA_lastActivityTime	Quando estiver disponível em JSON
EXBAA_labels	Quando estiver disponível em JSON
EXBAA_isExecutive	Quando estiver disponível em JSON
EXBAA_commentCount	Quando estiver disponível em JSON
EXBAA_accountNames	Quando estiver disponível em JSON
EXBAA_isNotable	Quando estiver disponível em JSON

Enriquecimento de entidades para recursos

Nome do campo de enriquecimento	Lógica: quando aplicar
EXBAA_riskScore	Quando estiver disponível em JSON
EXBAA_hostname	Quando estiver disponível em JSON
EXBAA_ipAddress	Quando estiver disponível em JSON
EXBAA_assetType	Quando estiver disponível em JSON
EXBAA_lastSessionId	Quando estiver disponível em JSON
EXBAA_firstSeen	Quando estiver disponível em JSON
EXBAA_lastSeen	Quando estiver disponível em JSON
EXBAA_labels	Quando estiver disponível em JSON
EXBAA_commentCount	Quando estiver disponível em JSON
EXBAA_accountNames	Quando estiver disponível em JSON
EXBAA_isNotable	Quando estiver disponível em JSON

Estatísticas de entidades para o utilizador

Exemplo
de estatísticas

Estatísticas da entidade para o recurso

Exemplo
de estatísticas

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guião: se tiver êxito para as entidades (is_success = true): "Successfully returned information about the following entities from Exabeam Advanced Analytics:\n{0}".format(entity.identifier) Se não for bem-sucedido para alguns (is_success = true): "Action wasn't able to return information about the following entities from Exabeam Advanced Analytics:\n {0}".format(entity.identifier) Se não for bem-sucedido para todos (is_success = false): nenhuma entidade foi enriquecida com informações do Exabeam. A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela de parede da caixa	Tabela Case Wall baseada na tabela de enriquecimento, mas sem prefixos. A ideia é ter uma coluna denominada "Chave" e uma segunda coluna denominada "Valor"	Entidade
Tabela de parede da caixa Para eventos do utilizador (se disponíveis)	Nome da tabela: "Eventos {entity.identifier}" Colunas: Hora Pontuação de risco Tipo Anfitrião Origem	Geral
Tabela de parede da caixa Para eventos de recursos (se disponíveis)	Nome da tabela: "Eventos {entity.identifier}" Colunas: Hora Tipo Utilizador Pontuação de risco Origem	Geral
Tabela de parede da caixa Para comentários	Nome da tabela: "{entity.identifier} Comments" Colunas: Utilizador Comentário	Geral
Link da capa de parede	{link}

Listar listas de visualização

Descrição

Liste as listas de observação disponíveis no Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Máximo de listas de visualização a devolver	Número inteiro	100	Não	Especifique o número de listas de visualização a devolver.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

[
    {
        "watchlistId": "5e66f85c8fe56e9a122ccb45",
        "title": "Service Accounts",
        "category": "UserLabels"
    },
    {
        "watchlistId": "5e66f85c8fe56e9a122ccb44",
        "title": "Executive Users",
        "category": "UserLabels"
    },
    {
        "watchlistId": "5ffd9686130b3800072d1bef",
        "title": "user watchlist",
        "category": "Users"
    },
    {
        "watchlistId": "5ffb0fc0130b3800072d1bd3",
        "title": "testdan",
        "category": "Assets"
    },
    {
        "watchlistId": "5f7c37a2130b38000701691f",
        "title": "linux",
        "category": "Assets"
    },
    {
        "watchlistId": "5f7adc46130b38000701690d",
        "title": "Test-UBA",
        "category": "AssetLabels"
    },
    {
        "watchlistId": "5f22851d130b3800070168ff",
        "title": "DM Test",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27c20130b3800077954e2",
        "title": "PrivilegedUsers-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27ab6130b3800077954df",
        "title": "DisabledUsers-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27a92130b3800077954dc",
        "title": "ServiceAccountsList-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5e9495d8130b380007795476",
        "title": "DANOTEST",
        "category": "Assets"
    }
]

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um manual de procedimentos: se 200 e os dados estiverem disponíveis(is_success = true): "Successfully retrieve available watchlists from Exabeam Advanced Analytics". se 200 e os dados não estiverem disponíveis: "Não foram encontradas listas de observação no Exabeam Advanced Analytics". A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro crítico, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Listar itens da lista de visualização". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela de parede da caixa	Nome da tabela: "Listas de visualização disponíveis" Colunas ID da lista de visualizações Título Categoria	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de procedimentos:
se 200 e os dados estiverem disponíveis(is_success = true): "Successfully retrieve available watchlists from Exabeam Advanced Analytics".

se 200 e os dados não estiverem disponíveis: "Não foram encontradas listas de observação no Exabeam Advanced Analytics".

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro crítico, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Listar itens da lista de visualização". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela de parede da caixa

Nome da tabela: "Listas de visualização disponíveis"

Colunas

ID da lista de visualizações

Título

Categoria

Geral

Listar itens da lista de visualização

Descrição

Liste os itens disponíveis nas listas de observação do Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Títulos da lista de visualização	CSV	N/A	Sim	Especifique uma lista de títulos da lista de visualização separados por vírgulas para os quais quer devolver itens.
Máximo de dias para trás	Número inteiro	1	Não	Especifique quantos dias para trás quer listar as listas de visualização. Predefinição: 1.
Máximo de artigos a devolver	Número inteiro	100	Não	Especifique quantos itens da lista de observação devem ser devolvidos.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "title": "Test-UBA",
    "creator": "admin",
    "accessControl": "public",
    "category": "AssetLabels",
    "description": "Testing for dev purpose",
    "isOutOfBox": false,
    "items": [],
    "criteria": [
        "Server",
        "Workstation",
        "LdifFile",
        "Domain Controller",
        "TopTalker",
        "EducatedGuess"
    ],
    "totalNumberOfItems": 3,
    "accessControlRoles": [],
    "numberOfNotableItems": 0
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se os dados estiverem disponíveis(is_success = true): "Successfully retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) if data is not available for some(is_success = true): "Action wasn't able to retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) Se os dados não estiverem disponíveis para todos: "Não foram encontrados itens para as listas de observação fornecidas no Exabeam Advanced Analytics". A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro crítico, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Listar listas de visualização". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela de parede de caixa (para utilizadores)	Nome da tabela: "Listas de visualização {0} itens".format(título da lista de visualização) Colunas Nome de utilizador Pontuação de risco	Geral
Mesa de parede de caixa (para recursos)	Nome da tabela: "{0} artigos na lista de visualização".format(título da lista de visualização) Colunas Tipo Ponto final Pontuação de risco	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se os dados estiverem disponíveis(is_success = true): "Successfully retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles)

if data is not available for some(is_success = true): "Action wasn't able to retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles)

Se os dados não estiverem disponíveis para todos: "Não foram encontrados itens para as listas de observação fornecidas no Exabeam Advanced Analytics".

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro crítico, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Listar listas de visualização". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela de parede de caixa
(para utilizadores)

Nome da tabela: "Listas de visualização {0} itens".format(título da lista de visualização)

Colunas

Nome de utilizador

Pontuação de risco

Geral

Mesa de parede de caixa
(para recursos)

Nome da tabela: "{0} artigos na lista de visualização".format(título da lista de visualização)

Colunas

Tipo

Ponto final

Pontuação de risco

Geral

Adicionar entidade à lista de visualização

Descrição

Adicione entidades à lista de visualização no Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Título da lista de visualização	String	N/A	Sim	Especifique o título da lista de visualização à qual quer adicionar entidades.

Executar em

Esta ação é executada nas seguintes entidades:

Nome do anfitrião
Endereço IP
Utilizador

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier) if some were not added(is_success = true): "Action wasn't able to add the following entities to the watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier) Se não tiver sido adicionada nenhuma: "Não foram adicionadas entidades à lista de visualização {0} no Exabeam Advanced Analytics".format(watchlist title) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar entidade à lista de visualização". Motivo: {0}''.format(error.Stacktrace) Se a lista de visualização não for encontrada: "Erro ao executar a ação "Adicionar entidade à lista de visualização". Motivo: não foi encontrada a lista de observação {0} no Exabeam Advanced Analytics''.format(watchlist title) If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Add Entity To Watchlist". Motivo: as listas de observação com a categoria "AssetLabels" e "UserLabels" não são suportadas nesta ação.''	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier)

if some were not added(is_success = true): "Action wasn't able to add the following entities to the watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier)

Se não tiver sido adicionada nenhuma: "Não foram adicionadas entidades à lista de visualização {0} no Exabeam Advanced Analytics".format(watchlist title)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar entidade à lista de visualização". Motivo: {0}''.format(error.Stacktrace)

Se a lista de visualização não for encontrada: "Erro ao executar a ação "Adicionar entidade à lista de visualização". Motivo: não foi encontrada a lista de observação {0} no Exabeam Advanced Analytics''.format(watchlist title)

If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Add Entity To Watchlist". Motivo: as listas de observação com a categoria "AssetLabels" e "UserLabels" não são suportadas nesta ação.''

Geral

Remova a entidade da lista de visualização

Descrição

Remova entidades da lista de observação no Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Título da lista de visualização	String	N/A	Sim	Especifique o título da lista de observação da qual quer remover entidades.

Executar em

Esta ação é executada nas seguintes entidades:

Nome do anfitrião
Endereço IP
Utilizador

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if removed(is_success = true): "Successfully removed the following entities from the watchlist{0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) if some were not added(is_success = true): "Action wasn't able to remove the following entities from watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) Se não tiver sido adicionada nenhuma: "Não foram removidas entidades da lista de visualizações {0} no Exabeam Advanced Analytics".format(watchlist title) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Remover entidade da lista de observação". Motivo: {0}''.format(error.Stacktrace) Se a lista de visualização não for encontrada: "Erro ao executar a ação "Remover entidade da lista de visualização". Motivo: não foi encontrada a lista de observação {0} no Exabeam Advanced Analytics''.format(watchlist title) If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Remove Entity From Watchlist". Motivo: as listas de observação com a categoria "AssetLabels" e "UserLabels" não são suportadas nesta ação.''	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if removed(is_success = true): "Successfully removed the following entities from the watchlist{0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier)

if some were not added(is_success = true): "Action wasn't able to remove the following entities from watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier)

Se não tiver sido adicionada nenhuma: "Não foram removidas entidades da lista de visualizações {0} no Exabeam Advanced Analytics".format(watchlist title)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Remover entidade da lista de observação". Motivo: {0}''.format(error.Stacktrace)

Se a lista de visualização não for encontrada: "Erro ao executar a ação "Remover entidade da lista de visualização". Motivo: não foi encontrada a lista de observação {0} no Exabeam Advanced Analytics''.format(watchlist title)

If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Remove Entity From Watchlist". Motivo: as listas de observação com a categoria "AssetLabels" e "UserLabels" não são suportadas nesta ação.''

Geral

Adicione comentários à entidade

Descrição

Adicione comentários a entidades no Exabeam Advanced Analytics. Entidades suportadas: Nome de anfitrião, IP e utilizador.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Comentário	String	N/A	Sim	Especifique o comentário que tem de ser adicionado à entidade.

Executar em

Esta ação é executada nas seguintes entidades:

Nome do anfitrião
Endereço IP
Utilizador

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "newComment": {
        "commentId": "6003e6e8130b3800072d1c35",
        "commentType": "asset",
        "commentObjectId": "centos-002",
        "text": "qwe",
        "exaUser": "admin",
        "createTime": 1610868456906,
        "updateTime": 1610868456906,
        "edited": false
    }
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) Se a entidade não for encontrada: "Não foi possível adicionar o comentário às seguintes entidades {0} no Exabeam Advanced Analytics:\n{1}".format(identificador da entidade) Se não existirem entidades: "Não foram adicionados comentários às entidades fornecidas." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar comentários à entidade". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier)

Se a entidade não for encontrada: "Não foi possível adicionar o comentário às seguintes entidades {0} no Exabeam Advanced Analytics:\n{1}".format(identificador da entidade)

Se não existirem entidades: "Não foram adicionados comentários às entidades fornecidas."

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar comentários à entidade". Motivo: {0}''.format(error.Stacktrace)

Geral

Crie uma lista de visualização

Descrição

Crie uma lista de visualização no Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Título	String	N/A	Sim	Especifique o título da lista de visualização.
Categoria	LDD	Utilizador Valores possíveis: Utilizador Recurso	Sim	Especifique a categoria da lista de visualização.
Controlo de acesso	LDD	Privado Valores possíveis: Público	Sim	Especifique o controlo de acesso para a lista de observação.
Descrição	String	N/A	Não	Especifique uma descrição para a lista de visualização.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "watchlistId": "6003ed61130b3800072d1c37",
    "title": "Keke",
    "category": "Users"
}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) Se a resposta contiver "_apiErrorCode" (is_success=false): "Não foi possível criar uma lista de observação no Exabeam Advanced Analytics. Motivo: {0}".format(internalError) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Criar lista de visualização". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title)

Se a resposta contiver "_apiErrorCode" (is_success=false): "Não foi possível criar uma lista de observação no Exabeam Advanced Analytics. Motivo: {0}".format(internalError)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Criar lista de visualização". Motivo: {0}''.format(error.Stacktrace)

Geral

Elimine a lista de visualização

Descrição

Elimine uma lista de visualização no Exabeam Advanced Analytics.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Título da lista de visualização	String	N/A	True	Especifique o título da lista de visualização que tem de ser eliminada.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Eliminar lista de visualização". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Eliminar lista de visualização". Motivo: {0}''.format(error.Stacktrace)

Geral

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.