ExtraHop
Versione integrazione: 4.0Configura l'integrazione di ExtraHop in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | Sì | Radice dell'API dell'istanza ExtraHop. | |
| ID client | Stringa | N/D | Sì | ID client dell'istanza ExtraHop. |
| Client secret | Password | N/D | Sì | Client secret dell'istanza ExtraHop. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server ExtraHop sia valido. |
Casi d'uso del prodotto
Inserimento degli avvisi
Azioni
Dindin
Descrizione
Verifica la connettività a ExtraHop con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server ExtraHop riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server ExtraHop. Errore è {0}".format(exception.stacktrace) |
Generale |
Aggiornamento rilevamento
Aggiorna un rilevamento in ExtraHop.
Run On
Questa azione non viene eseguita sulle entità.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevamento | Stringa | N/D | Sì | Specifica l'ID del rilevamento da aggiornare. |
| Stato | DDL | Valori possibili:
|
No | Specifica lo stato del rilevamento. |
| Risoluzione | DDL | Valori possibili:
|
No | Specifica la risoluzione per il rilevamento. Se il parametro Stato è impostato su "Chiuso", è necessario il parametro Risoluzione. |
| Assegna a | Stringa | N/D | No | Specifica il nome dell'analista a cui deve essere assegnato l'avviso. Se viene fornito "Annulla assegnazione", l'azione rimuoverà l'assegnazione dall'avviso. |
Output dell'azione
| Tipo | Disponibile |
|---|---|
| Risultato script | Vero |
| Risultato JSON | Vero |
| Tabella di arricchimento | Falso |
| Tabella Bacheca casi | Falso |
| Link alla bacheca richieste | Falso |
| Allegato della bacheca richieste | Falso |
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* |
L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: if returned info (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: print "Error executing action "Update Detection". Motivo: {0}''.format(error.Stacktrace) Se il rilevamento non viene trovato (codice di stato 404): Errore durante l'esecuzione dell'azione "Aggiorna rilevamento". Motivo: il rilevamento con ID {alert id} non è stato trovato in ExtraHop. Controlla l'ortografia." Se "type": "request_error": Errore durante l'esecuzione dell'azione "Aggiorna rilevamento". Motivo: {detail}" Se "Stato" è "Seleziona uno" e non è stato specificato nulla in "Assegna a": Errore durante l'esecuzione dell'azione "Aggiorna rilevamento". Motivo: almeno uno dei parametri "Stato" o "Assegna a" deve avere un valore. |
Generale |
Connettori
ExtraHop - Detections Connector
Descrizione
Estrai informazioni sui rilevamenti da ExtraHop. Nota: il filtro della lista consentita funziona con il parametro "type".
Configura il connettore ExtraHop - Detections in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | tipo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | . | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è . per intercettare tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, l'ambiente finale è quello predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance}.api.cloud.extrahop.com | Sì | Radice dell'API dell'istanza ExtraHop. |
| ID client | Stringa | N/D | Sì | ID client dell'istanza ExtraHop. |
| Client secret | Password | N/D | Sì | Client secret dell'istanza ExtraHop. |
| Punteggio di rischio più basso da recuperare | Numero intero | N/D | No | Il punteggio di rischio più basso da utilizzare per recuperare i rilevamenti. Massimo: 100. Se non viene fornito alcun valore, il connettore acquisisce i rilevamenti con tutti i punteggi di rischio. |
| Ore massime indietro | Numero intero | 1 | No | Quantità di ore da cui recuperare i rilevamenti. |
| Numero massimo di rilevamenti da recuperare | Numero intero | 100 | No | Numero di rilevamenti da elaborare per un'iterazione del connettore. Valore predefinito: 100. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server ExtraHop sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy. Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.