Exabeam Advanced Analytics
整合版本:5.0
應用實例
- 執行主動動作:建立/刪除觀察清單、將實體新增至觀察清單、為實體新增註解。
- 執行擴充作業 - 使用 Exabeam 的資訊擴充實體資訊。
在 Google Security Operations 中設定 Exabeam Advanced Analytics 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
產生叢集驗證權杖
- 在 Exabeam 中,依序選取「Settings」>「Core」>「Admin Operations」>「Cluster Authentication Token」。系統隨即會顯示「叢集授權權杖」頁面。
- 按一下「新增」符號,系統會顯示「設定權杖」對話方塊。
- 在相關欄位中輸入權杖名稱和到期日。
- 在「權限等級」部分,選取權杖的「預設角色」。
- 按一下「新增權杖」。使用產生的檔案,允許 API 透過權杖進行驗證。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{api root} | 是 | Exabeam Advanced Analytics 執行個體的 API 根目錄。 |
| API 權杖 | 密鑰 | 不適用 | 是 | Exabeam Advanced Analytics 執行個體的 API 權杖。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連線至 Exabeam Advanced Analytics 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Exabeam Advanced Analytics 的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行:
動作應會失敗並停止執行劇本:
|
一般 |
充實實體
說明
使用 Exabeam Advanced Analytics 的資訊擴充實體。支援的實體:主機名稱、IP 和使用者。活動時間範圍參數以小時為單位。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 傳回實體時間軸 | 核取方塊 | 是 | 是 | 啟用後,動作會傳回實體的時間軸。 |
| 活動時間範圍 | 整數 | 24 | 否 | 以小時為單位,指定要查看事件的時間範圍。 |
| 僅限異常事件 | 核取方塊 | 是 | 否 | 如果啟用這項功能,動作只會傳回視為異常的事件。 |
| 要擷取的最低事件風險分數 | 整數 | 不適用 | 否 | 指定事件的最低風險分數,系統才會擷取該事件。如果未指定任何內容,動作就不會進行任何篩選。 |
| 回覆留言 | 核取方塊 | 是 | 否 | 如果啟用,動作會傳回與實體相關的留言。 |
| 建立洞察資料 | 核取方塊 | 是 | 否 | 如果啟用,這項動作會為每個實體建立洞察資料。 |
| 要傳回的事件數量上限 | 整數 | 否 | 指定要傳回的事件數量。如未指定任何內容,動作會傳回所有事件。 | |
| 要傳回的留言數量上限 | 整數 | 10 | 否 | 指定要傳回的留言數量。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- 使用者
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
使用者的 JSON 結果
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"source": "systemd",
"session_id": "root-20201009000110",
"rawlog_time": 1602201670967,
"host": "centos-002",
"session_order": 1,
"hash": 1013256238,
"event_type": "local-logon",
"account": "root",
"time": 1602201670967,
"event_id": "4602@m",
"user": "root",
"event_code": "Started Session",
"nonmachine_user": "root",
"is_session_first": true
}
]
}
資產的 JSON 結果
{
"username": "root",
"userInfo": {
"username": "root",
"riskScore": 0.0,
"averageRiskScore": 0.0,
"pastScores": [
0.0,
0.0,
0.0,
0.0,
0.0,
0.0
],
"lastSessionId": "root-20201010000111",
"firstSeen": 1601510468890,
"lastSeen": 1602298872682,
"lastActivityType": "Account deleted",
"lastActivityTime": 1602288071248,
"info": {},
"labels": [
"service_account"
],
"pendingRiskTransfers": []
},
"isExecutive": false,
"accountNames": [],
"peerGroupFieldName": "Peer Groups",
"peerGroupType": "",
"isMultiPeerGroup": true,
"commentCount": 0,
"isOnWatchlist": false,
"hasDisabledModel": false,
"hasDisabledEventType": false,
"comments": [
{
"commentId": "6002d31b130b3800072d1c1d",
"commentType": "user",
"commentObjectId": "sysadmin",
"text": "asd",
"exaUser": "admin",
"createTime": 1610797851298,
"updateTime": 1610797851298,
"edited": false
}
],
"events": [
{
"risk_score": "{value if available}",
"event_category": [
"user-events",
"asset-events"
],
"source": "UNIX",
"session_id": "sysadmin-20201009125727",
"rawlog_time": 1602248247376,
"host": "centos-002",
"src_ip": "172.30.202.187",
"session_order": 1,
"getvalue('zone_info', src)": "siemplify",
"dest_host": "centos-002",
"hash": 1236616962,
"event_type": "remote-logon",
"src_network_type": "LAN",
"account": "sysadmin",
"time": 1602248247376,
"event_id": "4619@m",
"user": "sysadmin",
"event_code": "ssh",
"nonmachine_user": "sysadmin",
"is_session_first": true,
"entity_asset_id": "asset@centos-002-20201009"
}
]
}
使用者實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| EXBAA_riskScore | 以 JSON 格式提供時 |
| EXBAA_pastScores | 以 JSON 格式提供時 |
| EXBAA_lastSessionId | 以 JSON 格式提供時 |
| EXBAA_firstSeen | 以 JSON 格式提供時 |
| EXBAA_lastSeen | 以 JSON 格式提供時 |
| EXBAA_lastActivityType | 以 JSON 格式提供時 |
| EXBAA_lastActivityTime | 以 JSON 格式提供時 |
| EXBAA_labels | 以 JSON 格式提供時 |
| EXBAA_isExecutive | 以 JSON 格式提供時 |
| EXBAA_commentCount | 以 JSON 格式提供時 |
| EXBAA_accountNames | 以 JSON 格式提供時 |
| EXBAA_isNotable | 以 JSON 格式提供時 |
資產實體擴充功能
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| EXBAA_riskScore | 以 JSON 格式提供時 |
| EXBAA_hostname | 以 JSON 格式提供時 |
| EXBAA_ipAddress | 以 JSON 格式提供時 |
| EXBAA_assetType | 以 JSON 格式提供時 |
| EXBAA_lastSessionId | 以 JSON 格式提供時 |
| EXBAA_firstSeen | 以 JSON 格式提供時 |
| EXBAA_lastSeen | 以 JSON 格式提供時 |
| EXBAA_labels | 以 JSON 格式提供時 |
| EXBAA_commentCount | 以 JSON 格式提供時 |
| EXBAA_accountNames | 以 JSON 格式提供時 |
| EXBAA_isNotable | 以 JSON 格式提供時 |
使用者實體洞察
素材資源的實體洞察
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行:
如果部分實體未成功 (is_success = true):「Action wasn't able to return information about the following entities from Exabeam Advanced Analytics:\n {0}」。format(entity.identifier) 如果並非全部成功 (is_success = false):系統不會使用 Exabeam 的資訊擴充任何實體。 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 以擴充資料表為基礎的案件牆資料表,但不含前置字元。 概念是我們有一個名為「Key」的資料欄,第二個資料欄則名為「Value」 |
實體 |
案件總覽表格 使用者事件 (如有) |
表格名稱:「{entity.identifier} Events」 欄: 時間 風險分數 類型 主機 來源 |
一般 |
案件總覽表格 素材資源事件 (如有) |
表格名稱:「{entity.identifier} Events」 欄: 時間 類型 使用者 風險分數 來源 |
一般 |
案件總覽表格 留言 |
表格名稱:「{entity.identifier} Comments」(「{實體.ID} 留言」) 欄: 使用者 註解 |
一般 |
| 案件總覽連結 | {link} |
列出觀察清單
說明
在 Exabeam Advanced Analytics 中列出可用的監控清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的觀察清單數量上限 | 整數 | 100 | 否 | 指定要傳回多少個追蹤清單。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
[
{
"watchlistId": "5e66f85c8fe56e9a122ccb45",
"title": "Service Accounts",
"category": "UserLabels"
},
{
"watchlistId": "5e66f85c8fe56e9a122ccb44",
"title": "Executive Users",
"category": "UserLabels"
},
{
"watchlistId": "5ffd9686130b3800072d1bef",
"title": "user watchlist",
"category": "Users"
},
{
"watchlistId": "5ffb0fc0130b3800072d1bd3",
"title": "testdan",
"category": "Assets"
},
{
"watchlistId": "5f7c37a2130b38000701691f",
"title": "linux",
"category": "Assets"
},
{
"watchlistId": "5f7adc46130b38000701690d",
"title": "Test-UBA",
"category": "AssetLabels"
},
{
"watchlistId": "5f22851d130b3800070168ff",
"title": "DM Test",
"category": "Users"
},
{
"watchlistId": "5eb27c20130b3800077954e2",
"title": "PrivilegedUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27ab6130b3800077954df",
"title": "DisabledUsers-SailPoint",
"category": "Users"
},
{
"watchlistId": "5eb27a92130b3800077954dc",
"title": "ServiceAccountsList-SailPoint",
"category": "Users"
},
{
"watchlistId": "5e9495d8130b380007795476",
"title": "DANOTEST",
"category": "Assets"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行:
如果為 200 且沒有可用資料:「No watchlists were found in Exabeam Advanced Analytics」(在 Exabeam Advanced Analytics 中找不到監控清單)。 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等):「執行『列出我的追蹤清單項目』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:「Available Watchlists」(可用的觀察清單) 欄 觀察清單 ID 標題 類別 |
一般 |
列出待觀看影劇清單項目
說明
列出 Exabeam Advanced Analytics 監控清單中的可用項目。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 觀察清單名稱 | CSV | 不適用 | 是 | 指定以半形逗號分隔的願望清單名稱清單,系統會傳回這些清單中的項目。 |
| 最多可回溯的天數 | 整數 | 1 | 否 | 指定要列出多少天前的追蹤清單。預設值為 1。 |
| 要傳回的項目數量上限 | 整數 | 100 | 否 | 指定要傳回多少個追蹤清單項目。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"title": "Test-UBA",
"creator": "admin",
"accessControl": "public",
"category": "AssetLabels",
"description": "Testing for dev purpose",
"isOutOfBox": false,
"items": [],
"criteria": [
"Server",
"Workstation",
"LdifFile",
"Domain Controller",
"TopTalker",
"EducatedGuess"
],
"totalNumberOfItems": 3,
"accessControlRoles": [],
"numberOfNotableItems": 0
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行:
if data is not available for some(is_success = true): "Action wasn't able to retrieve available items for the following watchlists in Exabeam Advanced Analytics:\n{0}".format(list of watchlist titles) 如果所有項目都沒有資料:「Exabeam Advanced Analytics 中沒有與所提供監控清單相符的項目」。 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等):「執行動作『列出追蹤清單』時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
案件總覽表 |
表格名稱:「Watchlists {0} Items」。format(watchlist title) 欄 使用者名稱 風險分數 |
一般 |
案件總覽表 |
表格名稱:「Watchlists {0} Items」。format(watchlist title) 欄 類型 端點 風險分數 |
一般 |
將實體加入觀察清單
說明
在 Exabeam Advanced Analytics 中將實體新增至觀察清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 觀察清單名稱 | 字串 | 不適用 | 是 | 指定要加入實體的待觀看影劇清單標題。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- 使用者
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if data is available(is_success = true): "Successfully added the following entities to the watchlist {0}in Exabeam Advanced Analytics:\n{1}".format( watchlist title, entity identifier) if some were not added(is_success = true): "Action wasn't able to add the following entities to the watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(watchlist title, entity identifier) 如果沒有新增任何實體:「No entities were added to the watchlist {0} in Exabeam Advanced Analytics」(Exabeam Advanced Analytics 中沒有任何實體新增至觀察清單「{0}」)。format(watchlist title) 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「執行『將實體新增至追蹤清單』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果找不到待觀看影劇清單:「執行動作時發生錯誤」「將實體加入待觀看影劇清單」。原因:在 Exabeam Advanced Analytics 中找不到待觀看影劇清單「{0}」。format(watchlist title) 如果待觀看影劇清單類別 ==「AssetLabel」或「UserLabel」:「執行『將實體加入待觀看影劇清單』動作時發生錯誤。原因:這項動作不支援類別為「AssetLabels」和「UserLabels」的監控清單。 |
一般 |
從待觀看影劇清單中移除實體
說明
從 Exabeam Advanced Analytics 的監控清單中移除實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 觀察清單名稱 | 字串 | 不適用 | 是 | 指定要從哪個待觀看影劇清單移除實體。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- 使用者
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if removed(is_success = true): "Successfully removed the following entities from the watchlist{0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) if some were not added(is_success = true): "Action wasn't able to remove the following entities from watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title, entity identifier) 如果未新增任何實體:「No entities were removed from the watchlist {0} in Exabeam Advanced Analytics」(未從 Exabeam Advanced Analytics 的觀察清單「{0}」中移除任何實體)。format(watchlist title) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「執行『從追蹤清單中移除實體』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果找不到觀察清單:「Error executing action "Remove Entity From Watchlist". 原因:在 Exabeam Advanced Analytics 中找不到待觀看影劇清單「{0}」。format(watchlist title) 如果觀察清單類別 ==「AssetLabel」或「UserLabel」:「執行『從觀察清單中移除實體』動作時發生錯誤。原因:這項動作不支援類別為「AssetLabels」和「UserLabels」的監控清單。 |
一般 |
為實體新增註解
說明
在 Exabeam Advanced Analytics 中為實體新增註解。支援的實體: 主機名稱、IP 和使用者。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 註解 | 字串 | 不適用 | 是 | 指定要新增至實體的註解。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
- 使用者
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"newComment": {
"commentId": "6003e6e8130b3800072d1c35",
"commentType": "asset",
"commentObjectId": "centos-002",
"text": "qwe",
"exaUser": "admin",
"createTime": 1610868456906,
"updateTime": 1610868456906,
"edited": false
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if status code 200 for some(is_success = true): "Successfully added comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}".format(entity identifier) 如果找不到實體:「Action wasn't able to add comment to the following entities {0} in Exabeam Advanced Analytics:\n{1}」。format(實體 ID) 如果不是實體:「提供的實體未新增任何註解。」 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「執行『將留言新增至實體』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
建立待觀看影劇清單
說明
在 Exabeam Advanced Analytics 中建立監控清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標題 | 字串 | 不適用 | 是 | 指定待觀看影劇清單的名稱。 |
| 類別 | DDL | 使用者 可能的值: 使用者 資產 |
是 | 指定觀察清單的類別。 |
| 存取權控管 | DDL | 私人 可能的值: 公開 |
是 | 指定追蹤清單的存取權控管。 |
| 說明 | 字串 | 不適用 | 否 | 指定觀察清單的說明。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"watchlistId": "6003ed61130b3800072d1c37",
"title": "Keke",
"category": "Users"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if status code 200(is_success = true): "Successfully created watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) 如果回應包含「_apiErrorCode」(is_success=false):「動作無法在 Exabeam Advanced Analytics 中建立監控清單。原因:{0}".format(internalError) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等):「Error executing action "Create Watchlist". 原因:{0}''.format(error.Stacktrace) |
一般 |
刪除觀察清單
說明
在 Exabeam Advanced Analytics 中刪除監控清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 觀察清單名稱 | 字串 | 不適用 | 是 | 指定要刪除的觀察清單名稱。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if status code 200(is_success = true): "Successfully deleted watchlist {0} in Exabeam Advanced Analytics:\n{1}".format(title) 動作應會失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他問題:「執行『刪除我的片單』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。