ExtraHop
Versi integrasi: 4.0Mengonfigurasi integrasi ExtraHop di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | Ya | Root API instance ExtraHop. | |
| ID Klien | String | T/A | Ya | ID Klien instance ExtraHop. |
| Rahasia Klien | Sandi | T/A | Ya | Rahasia Klien instance ExtraHop. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server ExtraHop valid. |
Kasus Penggunaan Produk
Penyerapan pemberitahuan
Tindakan
Ping
Deskripsi
Uji konektivitas ke ExtraHop dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_succeed | Benar/Salah | is_succeed:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: "Berhasil terhubung ke server ExtraHop dengan parameter koneksi yang diberikan!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server ExtraHop! Error is {0}".format(exception.stacktrace) |
Umum |
Memperbarui Deteksi
Perbarui deteksi di ExtraHop.
Run On
Tindakan ini tidak dijalankan di entity.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Deteksi | String | T/A | Ya | Tentukan ID deteksi yang perlu diperbarui. |
| Status | DDL | Nilai yang Mungkin:
|
Tidak | Tentukan status untuk deteksi. |
| Resolusi | DDL | Nilai yang Mungkin:
|
Tidak | Tentukan resolusi untuk deteksi. Jika parameter Status ditetapkan ke "Ditutup", parameter Penyelesaian diperlukan. |
| Tetapkan Kepada | String | T/A | Tidak | Tentukan nama analis yang harus diberi tugas untuk menangani pemberitahuan. Jika "Unassign" diberikan, tindakan akan menghapus penetapan dari pemberitahuan. |
Output Tindakan
| Jenis | Tersedia |
|---|---|
| Hasil Skrip | Benar |
| Hasil JSON | Benar |
| Tabel Pengayaan | Salah |
| Tabel Repositori Kasus | Salah |
| Link Repositori Kasus | Salah |
| Lampiran Repositori Kasus | Salah |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis (Entitas \ Umum) |
|---|---|---|
| Pesan output* |
Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if returned info (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: print "Error executing action "Update Detection". Alasan: {0}''.format(error.Stacktrace) Jika deteksi tidak ditemukan (kode status 404): Terjadi error saat menjalankan tindakan "Update Detection". Alasan: deteksi dengan ID {alert id} tidak ditemukan di ExtraHop. Periksa ejaan." If "type": "request_error": Terjadi error saat menjalankan tindakan "Update Detection". Alasan: {detail}" Jika "Status" adalah "Pilih Salah Satu", dan tidak ada yang diberikan di "Tetapkan Ke": Terjadi error saat menjalankan tindakan "Update Detection". Alasan: setidaknya salah satu parameter "Status" atau "Tetapkan Ke" harus memiliki nilai." |
Umum |
Konektor
ExtraHop - Konektor Deteksi
Deskripsi
Tarik informasi tentang deteksi dari ExtraHop. Catatan: Filter daftar yang diizinkan berfungsi dengan parameter "type".
Mengonfigurasi ExtraHop - Detections Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | jenis | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | . | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Default-nya adalah . untuk menangkap semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance}.api.cloud.extrahop.com | Ya | Root API instance ExtraHop. |
| ID Klien | String | T/A | Ya | ID Klien instance ExtraHop. |
| Rahasia Klien | Sandi | T/A | Ya | Rahasia Klien instance ExtraHop. |
| Skor Risiko Terendah yang Akan Diambil | Bilangan bulat | T/A | Tidak | Skor risiko terendah yang perlu digunakan untuk mengambil deteksi. Maksimum: 100. Jika tidak ada yang diberikan, konektor akan menyerap deteksi dengan semua skor risiko. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan deteksi. |
| Jumlah Deteksi Maksimum yang Akan Diambil | Bilangan bulat | 100 | Tidak | Jumlah deteksi yang akan diproses per satu iterasi konektor. Default: 100. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server ExtraHop valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung proxy. Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.