ExtraHop
Versión de integración: 4.0Configurar la integración de ExtraHop en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | Sí | Raíz de la API de la instancia de ExtraHop. | |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la instancia de ExtraHop. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la instancia de ExtraHop. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de ExtraHop es válido. |
Casos prácticos de productos
Ingestión de alertas
Acciones
Ping
Descripción
Prueba la conectividad con ExtraHop con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Successfully connected to the ExtraHop server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de ExtraHop con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no funciona: "No se ha podido conectar con el servidor de ExtraHop. Error is {0}".format(exception.stacktrace) |
General |
Update Detection
Actualiza una detección en ExtraHop.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detección | Cadena | N/A | Sí | Especifica el ID de la detección que se debe actualizar. |
| Estado | DDL | Valores posibles:
|
No | Especifica el estado de la detección. |
| Resolución | DDL | Valores posibles:
|
No | Especifica la resolución de la detección. Si el parámetro Status se define como "Closed", se necesita el parámetro Resolution. |
| Asignar a | Cadena | N/A | No | Especifica el nombre del analista al que se debe asignar la alerta. Si se proporciona "Unassign" (Desasignar), la acción quitará la asignación de la alerta. |
Resultados de la acción
| Tipo | Disponible |
|---|---|
| Resultado de secuencia de comandos | Verdadero |
| Resultado de JSON | Verdadero |
| Tabla de enriquecimiento | Falso |
| Tabla del panel de casos | Falso |
| Enlace del panel de casos | Falso |
| Adjunto del panel de casos | Falso |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* |
La acción no debe fallar ni detener la ejecución de una guía: Si la información devuelta es is_success = true: print "Successfully updated detection with ID {detection id} in Extrahop." La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: print "Error al ejecutar la acción "Update Detection". Motivo: {0}''.format(error.Stacktrace) Si no se encuentra la detección (código de estado 404): Error al ejecutar la acción "Update Detection". Motivo: no se ha encontrado la detección con el ID {alert id} en ExtraHop. Comprueba la ortografía". Si "type": "request_error": Error al ejecutar la acción "Update Detection". Motivo: {detail}" Si el valor de "Estado" es "Seleccionar uno" y no se ha indicado nada en "Asignar a": Error al ejecutar la acción "Update Detection". Motivo: al menos uno de los parámetros "Estado" o "Asignar a" debe tener un valor. |
General |
Conectores
Conector de detecciones de ExtraHop
Descripción
Extrae información sobre las detecciones de ExtraHop. Nota: El filtro de lista de permitidos funciona con el parámetro "type".
Configurar el conector de detecciones de ExtraHop en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | tipo | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | No | Un patrón de expresión regular que se ejecutará en el valor encontrado en el campo "Nombre del campo de entorno". El predeterminado es . para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
|
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{instance}.api.cloud.extrahop.com | Sí | Raíz de la API de la instancia de ExtraHop. |
| ID de cliente | Cadena | N/A | Sí | ID de cliente de la instancia de ExtraHop. |
| Secreto de cliente | Contraseña | N/A | Sí | Secreto de cliente de la instancia de ExtraHop. |
| Puntuación de riesgo más baja que se va a obtener | Entero | N/A | No | Puntuación de riesgo más baja que se debe usar para obtener detecciones. Máximo: 100. Si no se proporciona nada, el conector ingerirá detecciones con todas las puntuaciones de riesgo. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se obtienen las detecciones. |
| Número máximo de detecciones que se van a obtener | Entero | 100 | No | Número de detecciones que se procesan por cada iteración del conector. Predeterminado: 100. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor ExtraHop es válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies. ¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.