ExtraHop
Versión de integración: 4.0Configura la integración de ExtraHop en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | Sí | Es la raíz de la API de la instancia de ExtraHop. | |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la instancia de ExtraHop. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto del cliente de la instancia de ExtraHop. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de ExtraHop sea válido. |
Casos de uso del producto
Ingestión de alertas
Acciones
Ping
Descripción
Prueba la conectividad a ExtraHop con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Te conectaste correctamente al servidor de ExtraHop con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no funciona, aparece el mensaje "No se pudo conectar al servidor de ExtraHop. Error is {0}".format(exception.stacktrace) |
General |
Actualización de detección
Actualiza una detección en ExtraHop.
Ejecutar en
Esta acción no se ejecuta en entidades.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detección | String | N/A | Sí | Especifica el ID de la detección que se debe actualizar. |
| Estado | DDL | Valores posibles:
|
No | Especifica el estado de la detección. |
| Solución | DDL | Valores posibles:
|
No | Especifica la resolución para la detección. Si el parámetro Status está establecido en "Closed", se necesita el parámetro Resolution. |
| Asignar a | String | N/A | No | Especifica el nombre del analista al que se debe asignar la alerta. Si se proporciona "Unassign", la acción quitará la asignación de la alerta. |
Resultados de la acción
| Tipo | Disponible |
|---|---|
| Resultado de secuencia de comandos | Verdadero |
| Resultado de JSON | Verdadero |
| Tabla de enriquecimiento | Falso |
| Tabla del muro de casos | Falso |
| Vínculo al muro de casos | Falso |
| Adjunto del muro de casos | Falso |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* |
La acción no debe fallar ni detener la ejecución de una guía: if returned info (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: print "Error executing action "Update Detection". Reason: {0}''.format(error.Stacktrace) Si no se encuentra la detección (código de estado 404): Se produjo un error al ejecutar la acción "Update Detection". Motivo: No se encontró la detección con el ID {alert id} en ExtraHop. Revisa la ortografía". Si "type": "request_error": Se produjo un error al ejecutar la acción "Update Detection". Motivo: {detail}" Si el "Estado" es "Seleccionar uno" y no se proporciona nada en "Asignar a", haz lo siguiente: Se produjo un error al ejecutar la acción "Update Detection". Motivo: Al menos uno de los parámetros "Estado" o "Asignar a" debe tener un valor. |
General |
Conectores
ExtraHop: conector de detecciones
Descripción
Extrae información sobre las detecciones de ExtraHop. Nota: El filtro de lista de entidades permitidas funciona con el parámetro "type".
Configura el conector de detecciones de ExtraHop en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | tipo | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | . | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es . para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{instance}.api.cloud.extrahop.com | Sí | Es la raíz de la API de la instancia de ExtraHop. |
| ID de cliente | String | N/A | Sí | Es el ID de cliente de la instancia de ExtraHop. |
| Secreto del cliente | Contraseña | N/A | Sí | Es el secreto del cliente de la instancia de ExtraHop. |
| Puntuación de riesgo más baja para recuperar | Número entero | N/A | No | Es la puntuación de riesgo más baja que se debe usar para recuperar detecciones. Máximo: 100 Si no se proporciona nada, el conector transferirá las detecciones con todas las puntuaciones de riesgo. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan las detecciones. |
| Cantidad máxima de detecciones que se recuperarán | Número entero | 100 | No | Cantidad de detecciones que se procesarán por iteración del conector. El valor predeterminado es 100. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de ExtraHop sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy. ¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.