Esta página foi traduzida pela API Cloud Translation.

Análises avançadas do Exabeam

Versão da integração: 5.0

Casos de uso

Realizar ações ativas: criar/excluir listas de interesses, adicionar entidades a listas de interesses, adicionar comentários a entidades.
Realizar o enriquecimento: aprimore as informações sobre entidades usando dados do Exabeam.

Configurar a integração do Exabeam Advanced Analytics no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Gerar token de autenticação do cluster

No Exabeam, selecione Configurações > Core > Operações de administrador > Token de autenticação do cluster. A página "Token de autorização do cluster" é exibida.
Clique no símbolo de adição. A caixa de diálogo "Token de configuração" é exibida.
Insira o nome do token e a data de validade nos campos relevantes.
Na seção Nível de permissão, selecione Funções padrão para o token.
1. Clique em Adicionar token. Use o arquivo gerado para permitir que suas APIs se autentiquem por token.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Raiz da API	String	https://{api root}	Sim	Raiz da API da instância do Exabeam Advanced Analytics.
Token da API	Secret	N/A	Sim	Token da API da instância do Exabeam Advanced Analytics.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativada, verifica se o certificado SSL da conexão com o servidor do Exabeam Advanced Analytics é válido.

Ações

Ping

Descrição

Teste a conectividade com o Exabeam Advanced Analytics usando os parâmetros fornecidos na página de configuração da integração, na guia "Google Security Operations Marketplace".

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: se for bem-sucedida: "Conexão bem-sucedida com o servidor do Logpoint usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: se não for bem-sucedida: "Não foi possível se conectar ao servidor do Logpoint. O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se for bem-sucedida: "Conexão bem-sucedida com o servidor do Logpoint usando os parâmetros de conexão fornecidos!"

A ação precisa falhar e interromper a execução de um playbook:
se não for bem-sucedida: "Não foi possível se conectar ao servidor do Logpoint. O erro é {0}".format(exception.stacktrace)

Geral

Enriquecer entidades

Descrição

Aprimore as entidades usando as informações do Exabeam Advanced Analytics. Entidades compatíveis: nome do host, IP e usuário. O parâmetro de período do evento funciona com horas.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Linha do tempo da entidade de retorno	Caixa de seleção	Verdadeiro	Sim	Se ativada, a ação vai retornar a linha do tempo da entidade.
Período do evento	Número inteiro	24	Não	Especifique o período dos eventos que você quer ver em horas.
Somente eventos de anomalia	Caixa de seleção	Verdadeiro	Não	Se ativada, a ação só vai retornar eventos considerados anomalias.
Menor pontuação de risco de evento a ser buscada	Número inteiro	N/A	Não	Especifique qual deve ser a pontuação de risco mais baixa do evento para que ele seja ingerido. Se nada for especificado, a ação não vai fazer nenhuma filtragem.
Retornar comentários	Caixa de seleção	Verdadeiro	Não	Se ativado, a ação vai retornar comentários relacionados à entidade.
Criar insight	Caixa de seleção	Verdadeiro	Não	Se ativada, a ação vai criar um insight por entidade.
Número máximo de eventos a serem retornados	Número inteiro		Não	Especifique quantos eventos devem ser retornados. Se nada for especificado, a ação vai retornar todos os eventos.
Número máximo de comentários a serem retornados	Número inteiro	10	Não	Especifique quantos comentários serão retornados.

Executar em

Essa ação é executada nas seguintes entidades:

Nome do host
Endereço IP
Usuário

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON para o usuário

{
    "username": "root",
    "userInfo": {
        "username": "root",
        "riskScore": 0.0,
        "averageRiskScore": 0.0,
        "pastScores": [
            0.0,
            0.0,
            0.0,
            0.0,
            0.0,
            0.0
        ],
        "lastSessionId": "root-20201010000111",
        "firstSeen": 1601510468890,
        "lastSeen": 1602298872682,
        "lastActivityType": "Account deleted",
        "lastActivityTime": 1602288071248,
        "info": {},
        "labels": [
            "service_account"
        ],
        "pendingRiskTransfers": []
    },
    "isExecutive": false,
    "accountNames": [],
    "peerGroupFieldName": "Peer Groups",
    "peerGroupType": "",
    "isMultiPeerGroup": true,
    "commentCount": 0,
    "isOnWatchlist": false,
    "hasDisabledModel": false,
    "hasDisabledEventType": false,
    "comments": [
        {
            "commentId": "6002d31b130b3800072d1c1d",
            "commentType": "user",
            "commentObjectId": "sysadmin",
            "text": "asd",
            "exaUser": "admin",
            "createTime": 1610797851298,
            "updateTime": 1610797851298,
            "edited": false
        }
    ],
    "events": [
        {
            "risk_score": "{value if available}",
            "source": "systemd",
            "session_id": "root-20201009000110",
            "rawlog_time": 1602201670967,
            "host": "centos-002",
            "session_order": 1,
            "hash": 1013256238,
            "event_type": "local-logon",
            "account": "root",
            "time": 1602201670967,
            "event_id": "4602@m",
            "user": "root",
            "event_code": "Started Session",
            "nonmachine_user": "root",
            "is_session_first": true
        }
    ]
}

Resultado JSON para recurso

{
    "username": "root",
    "userInfo": {
        "username": "root",
        "riskScore": 0.0,
        "averageRiskScore": 0.0,
        "pastScores": [
            0.0,
            0.0,
            0.0,
            0.0,
            0.0,
            0.0
        ],
        "lastSessionId": "root-20201010000111",
        "firstSeen": 1601510468890,
        "lastSeen": 1602298872682,
        "lastActivityType": "Account deleted",
        "lastActivityTime": 1602288071248,
        "info": {},
        "labels": [
            "service_account"
        ],
        "pendingRiskTransfers": []
    },
    "isExecutive": false,
    "accountNames": [],
    "peerGroupFieldName": "Peer Groups",
    "peerGroupType": "",
    "isMultiPeerGroup": true,
    "commentCount": 0,
    "isOnWatchlist": false,
    "hasDisabledModel": false,
    "hasDisabledEventType": false,
    "comments": [
        {
            "commentId": "6002d31b130b3800072d1c1d",
            "commentType": "user",
            "commentObjectId": "sysadmin",
            "text": "asd",
            "exaUser": "admin",
            "createTime": 1610797851298,
            "updateTime": 1610797851298,
            "edited": false
        }
    ],
    "events": [
        {
            "risk_score": "{value if available}",
            "event_category": [
                "user-events",
                "asset-events"
            ],
            "source": "UNIX",
            "session_id": "sysadmin-20201009125727",
            "rawlog_time": 1602248247376,
            "host": "centos-002",
            "src_ip": "172.30.202.187",
            "session_order": 1,
            "getvalue('zone_info', src)": "siemplify",
            "dest_host": "centos-002",
            "hash": 1236616962,
            "event_type": "remote-logon",
            "src_network_type": "LAN",
            "account": "sysadmin",
            "time": 1602248247376,
            "event_id": "4619@m",
            "user": "sysadmin",
            "event_code": "ssh",
            "nonmachine_user": "sysadmin",
            "is_session_first": true,
            "entity_asset_id": "asset@centos-002-20201009"
        }
    ]
}

Aprimoramento de entidade para usuário

Nome do campo de enriquecimento	Lógica: quando aplicar
EXBAA_riskScore	Quando disponível em JSON
EXBAA_pastScores	Quando disponível em JSON
EXBAA_lastSessionId	Quando disponível em JSON
EXBAA_firstSeen	Quando disponível em JSON
EXBAA_lastSeen	Quando disponível em JSON
EXBAA_lastActivityType	Quando disponível em JSON
EXBAA_lastActivityTime	Quando disponível em JSON
EXBAA_labels	Quando disponível em JSON
EXBAA_isExecutive	Quando disponível em JSON
EXBAA_commentCount	Quando disponível em JSON
EXBAA_accountNames	Quando disponível em JSON
EXBAA_isNotable	Quando disponível em JSON

Enriquecimento de entidade para recurso

Nome do campo de enriquecimento	Lógica: quando aplicar
EXBAA_riskScore	Quando disponível em JSON
EXBAA_hostname	Quando disponível em JSON
EXBAA_ipAddress	Quando disponível em JSON
EXBAA_assetType	Quando disponível em JSON
EXBAA_lastSessionId	Quando disponível em JSON
EXBAA_firstSeen	Quando disponível em JSON
EXBAA_lastSeen	Quando disponível em JSON
EXBAA_labels	Quando disponível em JSON
EXBAA_commentCount	Quando disponível em JSON
EXBAA_accountNames	Quando disponível em JSON
EXBAA_isNotable	Quando disponível em JSON

Insight de entidade para usuário

Exemplo de insight

Insight de entidade para recurso

Exemplo de insight

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if success for entities (is_success = true): "Successfully returned information about the following entities from Exabeam Advanced Analytics:\n{0}".format(entity.identifier) Se houver falha para algumas (is_success = true): "A ação não pôde retornar informações sobre as seguintes entidades do Exabeam Advanced Analytics:\n {0}".format(entity.identifier) Se não houver sucesso para todos (is_success = false): nenhuma entidade foi enriquecida usando informações do Exabeam. A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela do painel de casos	Tabela de quadro de casos com base na tabela de enriquecimento, mas sem prefixos. A ideia é que tenhamos uma coluna chamada "Chave" e outra chamada "Valor".	Entidade
Tabela do painel de casos Para eventos do usuário (se disponível)	Nome da tabela: "Eventos de {entity.identifier}" Colunas: Hora Pontuação de risco Tipo Host Origem	Geral
Tabela do painel de casos Para eventos de recursos (se disponíveis)	Nome da tabela: "Eventos de {entity.identifier}" Colunas: Hora Tipo Usuário Pontuação de risco Origem	Geral
Tabela do painel de casos Para comentários	Nome da tabela: "Comentários de {entity.identifier}" Colunas: Usuário Comentário	Geral
Link do Painel de casos	{link}

Listar listas de interesses

Descrição

Lista as watchlists disponíveis no Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Número máximo de listas de interesses a serem retornadas	Número inteiro	100	Não	Especifique quantas listas de observação devem ser retornadas.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

[
    {
        "watchlistId": "5e66f85c8fe56e9a122ccb45",
        "title": "Service Accounts",
        "category": "UserLabels"
    },
    {
        "watchlistId": "5e66f85c8fe56e9a122ccb44",
        "title": "Executive Users",
        "category": "UserLabels"
    },
    {
        "watchlistId": "5ffd9686130b3800072d1bef",
        "title": "user watchlist",
        "category": "Users"
    },
    {
        "watchlistId": "5ffb0fc0130b3800072d1bd3",
        "title": "testdan",
        "category": "Assets"
    },
    {
        "watchlistId": "5f7c37a2130b38000701691f",
        "title": "linux",
        "category": "Assets"
    },
    {
        "watchlistId": "5f7adc46130b38000701690d",
        "title": "Test-UBA",
        "category": "AssetLabels"
    },
    {
        "watchlistId": "5f22851d130b3800070168ff",
        "title": "DM Test",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27c20130b3800077954e2",
        "title": "PrivilegedUsers-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27ab6130b3800077954df",
        "title": "DisabledUsers-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5eb27a92130b3800077954dc",
        "title": "ServiceAccountsList-SailPoint",
        "category": "Users"
    },
    {
        "watchlistId": "5e9495d8130b380007795476",
        "title": "DANOTEST",
        "category": "Assets"
    }
]

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if 200 and data is available(is_success = true): "Successfully retrieve available watchlists from Exabeam Advanced Analytics". if 200 and data is not available: "No watchlists were found in Exabeam Advanced Analytics". A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Listar itens da lista de observação". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela do painel de casos	Nome da tabela: "Available Watchlists" Colunas ID da lista de interesses Título Categoria	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if 200 and data is available(is_success = true): "Successfully retrieve available watchlists from Exabeam Advanced Analytics".

if 200 and data is not available: "No watchlists were found in Exabeam Advanced Analytics".

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Listar itens da lista de observação". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela do painel de casos

Nome da tabela: "Available Watchlists"

Colunas

ID da lista de interesses

Título

Categoria

Geral

Listar itens da lista de interesses

Descrição

Lista os itens disponíveis nas listas de observação do Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Títulos da lista de interesses	CSV	N/A	Sim	Especifique uma lista separada por vírgulas de títulos de lista de observação para os quais você quer retornar itens.
Número máximo de dias para retroceder	Número inteiro	1	Não	Especifique quantos dias para trás as listas de observação serão listadas. Padrão: 1;
Número máximo de itens a serem retornados	Número inteiro	100	Não	Especifique quantos itens da lista de observação devem ser retornados.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

{
    "title": "Test-UBA",
    "creator": "admin",
    "accessControl": "public",
    "category": "AssetLabels",
    "description": "Testing for dev purpose",
    "isOutOfBox": false,
    "items": [],
    "criteria": [
        "Server",
        "Workstation",
        "LdifFile",
        "Domain Controller",
        "TopTalker",
        "EducatedGuess"
    ],
    "totalNumberOfItems": 3,
    "accessControlRoles": [],
    "numberOfNotableItems": 0
}

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if data is available(is_success = true): "Successfully retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) if data is not available for some(is_success = true): "Não foi possível recuperar os itens disponíveis para as seguintes listas de observação no Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) Se os dados não estiverem disponíveis para todos: "Nenhum item foi encontrado nas listas de observação fornecidas no Exabeam Advanced Analytics". A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "List Watchlists". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela do Painel de casos (para usuários)	Nome da tabela: "Itens das listas de observação {0}".format(título da lista de observação) Colunas Nome de usuário Pontuação de risco	Geral
Tabela do Painel de casos (para recursos)	Nome da tabela: "Itens das listas de observação {0}".format(título da lista de observação) Colunas Tipo Endpoint Pontuação de risco	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if data is available(is_success = true): "Successfully retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles)

if data is not available for some(is_success = true): "Não foi possível recuperar os itens disponíveis para as seguintes listas de observação no Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles)

Se os dados não estiverem disponíveis para todos: "Nenhum item foi encontrado nas listas de observação fornecidas no Exabeam Advanced Analytics".

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "List Watchlists". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela do Painel de casos
(para usuários)

Nome da tabela: "Itens das listas de observação {0}".format(título da lista de observação)

Colunas

Nome de usuário

Pontuação de risco

Geral

Tabela do Painel de casos
(para recursos)

Nome da tabela: "Itens das listas de observação {0}".format(título da lista de observação)

Colunas

Tipo

Endpoint

Pontuação de risco

Geral

Adicionar entidade à lista de interesses

Descrição

Adicione entidades à lista de sites de interesse no Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título da lista de interesses	String	N/A	Sim	Especifique o título da lista de interesses a que você quer adicionar entidades.

Executar em

Essa ação é executada nas seguintes entidades:

Nome do host
Endereço IP
Usuário

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier) if some were not added(is_success = true): "Não foi possível adicionar as seguintes entidades à lista de interesses {0} no Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier) Se nenhuma foi adicionada: "Nenhuma entidade foi adicionada à lista de sites de interesse {0} no Exabeam Advanced Analytics".format(título da lista de sites de interesse) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar entidade à lista de observação". Motivo: {0}''.format(error.Stacktrace) Se a lista de interesses não for encontrada: "Erro ao executar a ação "Adicionar entidade à lista de interesses". Motivo: a lista de interesses {0} não foi encontrada no Exabeam Advanced Analytics''.format(watchlist title) If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Add Entity To Watchlist". Motivo: as listas de observação com as categorias "AssetLabels" e "UserLabels" não são compatíveis com essa ação.""	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier)

if some were not added(is_success = true): "Não foi possível adicionar as seguintes entidades à lista de interesses {0} no Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier)

Se nenhuma foi adicionada: "Nenhuma entidade foi adicionada à lista de sites de interesse {0} no Exabeam Advanced Analytics".format(título da lista de sites de interesse)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar entidade à lista de observação". Motivo: {0}''.format(error.Stacktrace)

Se a lista de interesses não for encontrada: "Erro ao executar a ação "Adicionar entidade à lista de interesses". Motivo: a lista de interesses {0} não foi encontrada no Exabeam Advanced Analytics''.format(watchlist title)

If watchlist category == "AssetLabel" or "UserLabel": "Error executing action "Add Entity To Watchlist". Motivo: as listas de observação com as categorias "AssetLabels" e "UserLabels" não são compatíveis com essa ação.""

Geral

Remover entidade da lista de interesses

Descrição

Remova entidades da lista de interesses no Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título da lista de interesses	String	N/A	Sim	Especifique o título da lista de observação de que você quer remover entidades.

Executar em

Essa ação é executada nas seguintes entidades:

Nome do host
Endereço IP
Usuário

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if removed(is_success = true): "As seguintes entidades foram removidas da lista de sites de interesse{0} no Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) if some were not added(is_success = true): "Não foi possível remover as seguintes entidades da lista de sites de interesse {0} no Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) Se nenhum item foi adicionado: "Nenhuma entidade foi removida da lista de interesses {0} no Exabeam Advanced Analytics".format(título da lista de interesses) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Remover entidade da lista de observação". Motivo: {0}''.format(error.Stacktrace) Se a lista de sites de interesse não for encontrada: "Erro ao executar a ação "Remover entidade da lista de sites de interesse". Motivo: a lista de interesses {0} não foi encontrada no Exabeam Advanced Analytics''.format(watchlist title) Se watchlist category == "AssetLabel" ou "UserLabel": "Error executing action "Remove Entity From Watchlist". Motivo: as listas de observação com as categorias "AssetLabels" e "UserLabels" não são compatíveis com essa ação.""	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if removed(is_success = true): "As seguintes entidades foram removidas da lista de sites de interesse{0} no Exabeam Advanced Analytics:\n{1}".format(title, entity identifier)

if some were not added(is_success = true): "Não foi possível remover as seguintes entidades da lista de sites de interesse {0} no Exabeam Advanced Analytics:\n{1}".format(title, entity identifier)

Se nenhum item foi adicionado: "Nenhuma entidade foi removida da lista de interesses {0} no Exabeam Advanced Analytics".format(título da lista de interesses)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Remover entidade da lista de observação". Motivo: {0}''.format(error.Stacktrace)

Se a lista de sites de interesse não for encontrada: "Erro ao executar a ação "Remover entidade da lista de sites de interesse". Motivo: a lista de interesses {0} não foi encontrada no Exabeam Advanced Analytics''.format(watchlist title)

Se watchlist category == "AssetLabel" ou "UserLabel": "Error executing action "Remove Entity From Watchlist". Motivo: as listas de observação com as categorias "AssetLabels" e "UserLabels" não são compatíveis com essa ação.""

Geral

Adicionar comentários à entidade

Descrição

Adicione comentários a entidades no Exabeam Advanced Analytics. Entidades aceitas: nome de host, IP e usuário.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Comentário	String	N/A	Sim	Especifique o comentário que precisa ser adicionado à entidade.

Executar em

Essa ação é executada nas seguintes entidades:

Nome do host
Endereço IP
Usuário

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

{
    "newComment": {
        "commentId": "6003e6e8130b3800072d1c35",
        "commentType": "asset",
        "commentObjectId": "centos-002",
        "text": "qwe",
        "exaUser": "admin",
        "createTime": 1610868456906,
        "updateTime": 1610868456906,
        "edited": false
    }
}

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) Se a entidade não for encontrada: "Não foi possível adicionar um comentário às seguintes entidades {0} no Exabeam Advanced Analytics:\n{1}".format(identificador da entidade) Se não houver entidades: "Nenhum comentário foi adicionado às entidades fornecidas". A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar comentários à entidade". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier)

Se a entidade não for encontrada: "Não foi possível adicionar um comentário às seguintes entidades {0} no Exabeam Advanced Analytics:\n{1}".format(identificador da entidade)

Se não houver entidades: "Nenhum comentário foi adicionado às entidades fornecidas".

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar comentários à entidade". Motivo: {0}''.format(error.Stacktrace)

Geral

Criar lista de interesses

Descrição

Crie uma lista de interesses no Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título	String	N/A	Sim	Especifique o título da lista de interesses.
Categoria	DDL	Usuário Valores possíveis: Usuário Recurso	Sim	Especifique a categoria da lista de observação.
Controle de acesso	DDL	Particular Valores possíveis: Público	Sim	Especifique o controle de acesso para a lista de observação.
Descrição	String	N/A	Não	Especifique uma descrição para a lista de interesses.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

{
    "watchlistId": "6003ed61130b3800072d1c37",
    "title": "Keke",
    "category": "Users"
}

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) Se a resposta contiver "_apiErrorCode" (is_success=false): "Não foi possível criar uma lista de observação no Exabeam Advanced Analytics. Motivo: {0}".format(internalError) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Criar lista de observação". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title)

Se a resposta contiver "_apiErrorCode" (is_success=false): "Não foi possível criar uma lista de observação no Exabeam Advanced Analytics. Motivo: {0}".format(internalError)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Criar lista de observação". Motivo: {0}''.format(error.Stacktrace)

Geral

Excluir lista de sites de interesse

Descrição

Excluir uma lista de interesses no Exabeam Advanced Analytics.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título da lista de interesses	String	N/A	Verdadeiro	Especifique o título da lista de interesses que precisa ser excluída.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Excluir lista de observação". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Excluir lista de observação". Motivo: {0}''.format(error.Stacktrace)

Geral

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.