Exabeam Advanced Analytics
集成版本:5.0
使用场景
- 执行主动操作 - 创建/删除监控列表、向监控列表添加实体、向实体添加评论。
- 执行丰富操作 - 使用来自 Exabeam 的信息丰富有关实体的信息。
在 Google Security Operations 中配置 Exabeam Advanced Analytics 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
生成集群身份验证令牌
- 在 Exabeam 中,依次选择设置 > 核心 > 管理员操作 > 集群身份验证令牌。系统会显示“集群授权令牌”页面。
- 点击加号。系统会显示“设置令牌”对话框。
- 在相关字段中输入令牌名称和到期日期。
- 在权限级别部分中,为令牌选择默认角色。
- 点击添加令牌。使用生成的文件,以便您的 API 通过令牌进行身份验证。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{api root} | 是 | Exabeam 高级分析实例的 API 根。 |
| API 令牌 | Secret | 不适用 | 是 | Exabeam 高级分析实例的 API 令牌。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Exabeam Advanced Analytics 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Exabeam Advanced Analytics 的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
丰富实体
说明
使用 Exabeam Advanced Analytics 中的信息丰富实体。支持的实体:主机名、IP 和用户。活动时间范围参数以小时为单位。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 返回实体时间轴 | 复选框 | 正确 | 是 | 如果已启用,操作将返回实体的时间轴。 |
| 活动时间范围 | 整数 | 24 | 否 | 以小时为单位指定您要查看的事件的时间范围。 |
| 仅限异常值事件 | 复选框 | 正确 | 否 | 如果启用,操作将仅返回被视为异常的事件。 |
| 要提取的最低活动风险得分 | 整数 | 不适用 | 否 | 指定要纳入事件,该事件的最低风险得分应该是多少。如果未指定任何内容,则操作不会执行任何过滤。 |
| 返回评论 | 复选框 | 正确 | 否 | 如果启用,操作将返回与实体相关的评论。 |
| 创建分析数据 | 复选框 | 正确 | 否 | 如果启用,操作将为每个实体创建数据洞见。 |
| 要返回的事件数量上限 | 整数 | 否 | 指定应返回的事件数量。如果未指定任何内容,则操作将返回所有事件。 | |
| 要返回的评论数上限 | 整数 | 10 | 否 | 指定要返回的评论数量。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- 用户
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
面向用户的 JSON 结果
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"source": "systemd",
"session_id": "root-20201009000110",
"rawlog_time": 1602201670967,
"host": "centos-002",
"session_order": 1,
"hash": 1013256238,
"event_type": "local-logon",
"account": "root",
"time": 1602201670967,
"event_id": "4602@m",
"user": "root",
"event_code": "Started Session",
"nonmachine_user": "root",
"is_session_first": true
}
]
}
资产的 JSON 结果
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"event_category": [
"user-events",
"asset-events"
],
"source": "UNIX",
"session_id": "sysadmin-20201009125727",
"rawlog_time": 1602248247376,
"host": "centos-002",
"src_ip": "172.30.202.187",
"session_order": 1,
"getvalue('zone_info', src)": "siemplify",
"dest_host": "centos-002",
"hash": 1236616962,
"event_type": "remote-logon",
"src_network_type": "LAN",
"account": "sysadmin",
"time": 1602248247376,
"event_id": "4619@m",
"user": "sysadmin",
"event_code": "ssh",
"nonmachine_user": "sysadmin",
"is_session_first": true,
"entity_asset_id": "asset@centos-002-20201009"
}
]
}
面向用户的实体扩充功能
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| EXBAA_riskScore | 以 JSON 格式提供时 |
| EXBAA_pastScores | 以 JSON 格式提供时 |
| EXBAA_lastSessionId | 以 JSON 格式提供时 |
| EXBAA_firstSeen | 以 JSON 格式提供时 |
| EXBAA_lastSeen | 以 JSON 格式提供时 |
| EXBAA_lastActivityType | 以 JSON 格式提供时 |
| EXBAA_lastActivityTime | 以 JSON 格式提供时 |
| EXBAA_labels | 以 JSON 格式提供时 |
| EXBAA_isExecutive | 以 JSON 格式提供时 |
| EXBAA_commentCount | 以 JSON 格式提供时 |
| EXBAA_accountNames | 以 JSON 格式提供时 |
| EXBAA_isNotable | 以 JSON 格式提供时 |
素材资源的实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| EXBAA_riskScore | 以 JSON 格式提供时 |
| EXBAA_hostname | 以 JSON 格式提供时 |
| EXBAA_ipAddress | 以 JSON 格式提供时 |
| EXBAA_assetType | 以 JSON 格式提供时 |
| EXBAA_lastSessionId | 以 JSON 格式提供时 |
| EXBAA_firstSeen | 以 JSON 格式提供时 |
| EXBAA_lastSeen | 以 JSON 格式提供时 |
| EXBAA_labels | 以 JSON 格式提供时 |
| EXBAA_commentCount | 以 JSON 格式提供时 |
| EXBAA_accountNames | 以 JSON 格式提供时 |
| EXBAA_isNotable | 以 JSON 格式提供时 |
用户实体分析洞见
素材资源的实体分析
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
如果部分实体不成功 (is_success = true):“操作无法从 Exabeam Advanced Analytics 返回以下实体的信息:\n {0}”。format(entity.identifier) 如果并非所有实体都成功丰富 (is_success = false):则表示没有使用来自 Exabeam 的信息来丰富任何实体。 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘丰富实体’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 基于富集表的 Case Wall 表,但没有前缀。 也就是说,我们有一列名为“Key”,第二列名为“Value” |
实体 |
“案例墙”表格 对于用户事件(如果可用) |
表格名称:“{entity.identifier} 事件” 列: 时间 风险得分 类型 主机 来源 |
常规 |
“案例墙”表格 对于资产事件(如果可用) |
表格名称:“{entity.identifier} 事件” 列: 时间 类型 用户 风险得分 源代码 |
常规 |
“案例墙”表格 评论 |
表格名称:“{entity.identifier} 评论” 列: 用户 评论 |
常规 |
| 案例墙链接 | {link} |
列出监控列表
说明
列出 Exabeam Advanced Analytics 中的可用监控列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要返回的监控列表数量上限 | 整数 | 100 | 否 | 指定应返回多少个关注列表。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
[
{
"watchlistId": "5e66f85c8fe56e9a122ccb45",
"title": "Service Accounts",
"category": "UserLabels"
},
{
"watchlistId": "5e66f85c8fe56e9a122ccb44",
"title": "Executive Users",
"category": "UserLabels"
},
{
"watchlistId": "5ffd9686130b3800072d1bef",
"title": "user watchlist",
"category": "Users"
},
{
"watchlistId": "5ffb0fc0130b3800072d1bd3",
"title": "testdan",
"category": "Assets"
},
{
"watchlistId": "5f7c37a2130b38000701691f",
"title": "linux",
"category": "Assets"
},
{
"watchlistId": "5f7adc46130b38000701690d",
"title": "Test-UBA",
"category": "AssetLabels"
},
{
"watchlistId": "5f22851d130b3800070168ff",
"title": "DM Test",
"category": "Users"
},
{
"watchlistId": "5eb27c20130b3800077954e2",
"title": "PrivilegedUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27ab6130b3800077954df",
"title": "DisabledUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27a92130b3800077954dc",
"title": "ServiceAccountsList-SailPoint",
"category": "Users"
},
{
"watchlistId": "5e9495d8130b380007795476",
"title": "DANOTEST",
"category": "Assets"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态为 200 且没有数据:“在 Exabeam Advanced Analytics 中未找到任何关注列表”。 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘列出观看列表项’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:“Available Watchlists”(可用的关注列表) 列 监控列表 ID 标题 类别 |
常规 |
列出观看列表中的项目
说明
列出 Exabeam Advanced Analytics 中监视列表中的可用项。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 监控列表中的影视内容 | CSV | 不适用 | 是 | 指定要返回项目的关注列表标题的英文逗号分隔列表。 |
| 回溯的天数上限 | 整数 | 1 | 否 | 指定要列出多少天前的观看列表。默认值:1。 |
| 要返回的最大商品数 | 整数 | 100 | 否 | 指定应返回多少个关注列表项。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"title": "Test-UBA",
"creator": "admin",
"accessControl": "public",
"category": "AssetLabels",
"description": "Testing for dev purpose",
"isOutOfBox": false,
"items": [],
"criteria": [
"Server",
"Workstation",
"LdifFile",
"Domain Controller",
"TopTalker",
"EducatedGuess"
],
"totalNumberOfItems": 3,
"accessControlRoles": [],
"numberOfNotableItems": 0
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行:
如果某些数据不可用(is_success = true):“操作无法在 Exabeam Advanced Analytics 中检索以下关注列表的可用项:\n{0}”。format(关注列表标题列表) 如果所有数据均不可用:“No items were found for the provided watchlists in Exabeam Advanced Analytics”(未在 Exabeam Advanced Analytics 中找到所提供监控列表中的任何项目)。 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘列出关注列表’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
案例墙表格 |
表格名称:“{0} 上的观看列表项目”.format(watchlist title) 列 用户名 风险得分 |
常规 |
案例墙表格 |
表格名称:“{0} 个项目的关注列表”.format(关注列表标题) 列 类型 端点 风险得分 |
常规 |
将实体添加到观看列表
说明
在 Exabeam Advanced Analytics 中将实体添加到监控列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 观看列表标题 | 字符串 | 不适用 | 是 | 指定要向哪个观看列表添加实体。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- 用户
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果数据可用(is_success = true):“已成功将以下实体添加到 Exabeam Advanced Analytics 中的{0}关注列表:\n{1}”。format(watchlist title, entity identifier) if some were not added(is_success = true): "Action wasn't able to add the following entities to the watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier) 如果未添加任何实体:“未在 Exabeam Advanced Analytics 中向监控列表‘{0}’添加任何实体”。format(watchlist title) 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘将实体添加到关注列表’时出错。原因:{0}''.format(error.Stacktrace) 如果找不到观看列表:“执行操作‘将实体添加到观看列表’时出错”。原因:在 Exabeam Advanced Analytics 中未找到监控列表“{0}”。''.format(watchlist title) 如果观看列表类别为“AssetLabel”或“UserLabel”:“执行操作‘将实体添加到观看列表’时出错。原因:此操作不支持包含“AssetLabels”和“UserLabels”类别的观测名单。 |
常规 |
从观看列表中移除实体
说明
从 Exabeam Advanced Analytics 中的监视列表中移除实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 观看列表标题 | 字符串 | 不适用 | 是 | 指定要从中移除实体的关注名单的名称。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- 用户
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if removed(is_success = true): "已成功从 Exabeam Advanced Analytics 的监控列表中移除以下实体:\n{1}".format(title, entity identifier) 如果部分实体未添加(is_success = true):“Action wasn't able to remove the following entities from watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) 如果未添加任何实体:“未从 Exabeam Advanced Analytics 中的监控列表 {0} 中移除任何实体”。format(watchlist title) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:“Error executing action "Remove Entity From Watchlist". 原因:{0}''.format(error.Stacktrace) 如果未找到监控列表:“执行操作‘从监控列表中移除实体’时出错。原因:在 Exabeam Advanced Analytics 中未找到监控列表“{0}”。''.format(watchlist title) 如果监控列表类别为“AssetLabel”或“UserLabel”:“执行操作‘从监控列表中移除实体’时出错。原因:此操作不支持包含“AssetLabels”和“UserLabels”类别的观测名单。 |
常规 |
向实体添加注释
说明
向 Exabeam Advanced Analytics 中的实体添加注释。支持的实体:主机名、IP 和用户。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 评论 | 字符串 | 不适用 | 是 | 指定需要添加到实体的注释。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
- 用户
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"newComment": {
"commentId": "6003e6e8130b3800072d1c35",
"commentType": "asset",
"commentObjectId": "centos-002",
"text": "qwe",
"exaUser": "admin",
"createTime": 1610868456906,
"updateTime": 1610868456906,
"edited": false
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) 如果未找到实体:“Action wasn't able to add comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) 如果不是实体:“未向所提供的实体添加任何注释。” 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误:“Error executing action "Add Comments To Entity". 原因:{0}''.format(error.Stacktrace) |
常规 |
创建监控列表
说明
在 Exabeam Advanced Analytics 中创建监控列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标题 | 字符串 | 不适用 | 是 | 指定观看列表的标题。 |
| 类别 | DDL | 用户 可能的值: 用户 素材资源 |
是 | 指定关注列表的类别。 |
| 访问权限控制 | DDL | 不公开 可能的值: 公开 |
是 | 指定关注列表的访问权限控制。 |
| 说明 | 字符串 | 不适用 | 否 | 指定监控列表的说明。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"watchlistId": "6003ed61130b3800072d1c37",
"title": "Keke",
"category": "Users"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) 如果响应包含“_apiErrorCode”(is_success=false):“操作无法在 Exabeam Advanced Analytics 中创建关注列表。原因:{0}".format(internalError) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):“执行操作‘创建关注列表’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
删除监控列表
说明
在 Exabeam Advanced Analytics 中删除关注列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 观看列表标题 | 字符串 | 不适用 | 正确 | 指定需要删除的监控列表的标题。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码为 200(is_success = true):“已成功删除 Exabeam Advanced Analytics 中的监控列表 {0}:\n{1}”。format(title) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误:“执行操作‘删除关注列表’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。