ExtraHop
Integrationsversion: 4.0ExtraHop-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | Ja | API-Stammverzeichnis der ExtraHop-Instanz. | |
| Client-ID | String | – | Ja | Client-ID der ExtraHop-Instanz. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel der ExtraHop-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum ExtraHop-Server gültig ist. |
Anwendungsfälle für Produkte
Aufnahme von Benachrichtigungen
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu ExtraHop mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the ExtraHop server with the provided connection parameters!“ (Die Verbindung zum ExtraHop-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum ExtraHop-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Update-Erkennung
Eine Erkennung in ExtraHop aktualisieren.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Erkennungs-ID | String | – | Ja | Geben Sie die ID der zu aktualisierenden Erkennung an. |
| Status | DDL | Mögliche Werte:
|
Nein | Geben Sie den Status für die Erkennung an. |
| Lösung | DDL | Mögliche Werte:
|
Nein | Geben Sie die Auflösung für die Erkennung an. Wenn der Statusparameter auf „Geschlossen“ gesetzt ist, ist der Parameter „Lösung“ erforderlich. |
| Zuweisen zu | String | – | Nein | Geben Sie den Namen des Analysten an, dem die Benachrichtigung zugewiesen werden soll. Wenn „Unassign“ angegeben wird, wird die Zuweisung aus der Benachrichtigung entfernt. |
Aktionsausgaben
| Typ | Verfügbar |
|---|---|
| Scriptergebnis | Wahr |
| JSON-Ergebnis | Wahr |
| Anreicherungstabelle | Falsch |
| Tabelle „Fall-Repository“ | Falsch |
| Link zum Fall-Repository | Falsch |
| Anhang im Fall-Repository | Falsch |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* |
Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: Wenn zurückgegebene Informationen (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "Update Detection". Grund: {0}''.format(error.Stacktrace) Wenn keine Erkennung gefunden wurde (Statuscode 404): Fehler beim Ausführen der Aktion „Update Detection“. Grund: Die Erkennung mit der ID {alert id} wurde in ExtraHop nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ Wenn „type“: „request_error“: Fehler beim Ausführen der Aktion „Update Detection“. Grund: {detail}“ Wenn „Status“ auf „Select One“ (Auswählen) gesetzt ist und unter „Assign To“ (Zuweisen an) nichts angegeben ist: Fehler beim Ausführen der Aktion „Update Detection“. Grund: Mindestens einer der Parameter „Status“ oder „Zuweisen an“ sollte einen Wert haben. |
Allgemein |
Connectors
ExtraHop – Detections Connector
Beschreibung
Informationen zu erkannten Bedrohungen von ExtraHop abrufen. Hinweis: Der Whitelist-Filter funktioniert mit dem Parameter „type“.
ExtraHop-Connector für Erkennungen in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | . | Nein | Ein regulärer Ausdruck, der auf den Wert angewendet wird, der im Feld „Name des Umgebungsfelds“ gefunden wurde. Standard ist . um alle abzufangen und den Wert unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{instance}.api.cloud.extrahop.com | Ja | API-Stammverzeichnis der ExtraHop-Instanz. |
| Client-ID | String | – | Ja | Client-ID der ExtraHop-Instanz. |
| Clientschlüssel | Passwort | – | Ja | Clientschlüssel der ExtraHop-Instanz. |
| Niedrigste abzurufende Risikobewertung | Ganzzahl | – | Nein | Niedrigster Risikowert, der zum Abrufen von erkannten Verstößen verwendet werden muss. Maximum: 100 Wenn nichts angegeben ist, werden Erkennungen mit allen Risikobewertungen aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Erkennungen abgerufen werden sollen. |
| Max. Anzahl der abzurufenden Erkennungen | Ganzzahl | 100 | Nein | Die Anzahl der Erkennungen, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert is 100. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum ExtraHop-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys. Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten