ExtraHop
統合バージョン: 4.0Google SecOps で ExtraHop の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | ○ | ExtraHop インスタンスの API ルート。 | |
| クライアント ID | 文字列 | なし | ○ | ExtraHop インスタンスのクライアント ID。 |
| クライアント シークレット | パスワード | なし | ○ | ExtraHop インスタンスのクライアント シークレット。 |
| SSL を確認 | チェックボックス | オン | はい | 有効にした場合は、ExtraHop サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
プロダクトのユースケース
アラートの取り込み
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、ExtraHop への接続をテストします。
パラメータ
なし
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して ExtraHop サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「ExtraHop サーバーに接続できませんでした。エラーは {0} です。」format(exception.stacktrace) |
全般 |
検出を更新
ExtraHop で検出を更新します。
実行
このアクションはエンティティに対しては実行されません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 検出 ID | 文字列 | なし | はい | 更新する必要がある検出の ID を指定します。 |
| ステータス | DDL | 有効な値:
|
いいえ | 検出のステータスを指定します。 |
| 解決策 | DDL | 有効な値:
|
いいえ | 検出の解像度を指定します。Status パラメータが「Closed」に設定されている場合は、Resolution パラメータが必要です。 |
| 担当者 | 文字列 | なし | いいえ | アラートを割り当てるアナリストの名前を指定します。[割り当て解除] が指定されている場合、アクションはアラートから割り当てを削除します。 |
アクションの出力
| タイプ | 利用可能 |
|---|---|
| スクリプトの結果 | 正しい |
| JSON の結果 | 正しい |
| 拡充テーブル | 誤り |
| Case Wall テーブル | 誤り |
| ケースウォールのリンク | 誤り |
| Case Wall のアタッチメント | 誤り |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ \ 全般) |
|---|---|---|
| 出力メッセージ * |
アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 返された情報(is_success = true)の場合: 「Successfully updated detection with ID {detection id} in Extrahop.」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「検出を更新」を印刷します。理由: {0}」.format(error.Stacktrace) 検出が見つからない場合(404 ステータス コード): アクション「検出を更新」の実行中にエラーが発生しました。理由: ID {アラート ID} の検出が Extrahop で見つかりませんでした。スペルを確認してください。」 「type」: 「request_error」の場合: アクション「検出を更新」の実行中にエラーが発生しました。理由: {詳細}」 「ステータス」が「1 つ選択」で、「割り当て先」に何も指定されていない場合: アクション「検出を更新」の実行中にエラーが発生しました。理由: 「ステータス」または「割り当て先」のパラメータの少なくとも 1 つに値を設定する必要があります。 |
全般 |
コネクタ
ExtraHop - 検出コネクタ
説明
ExtraHop からの検出に関する情報を pull します。注: 許可リスト フィルタは「type」パラメータと連動して機能します。
Google SecOps で ExtraHop - Detections Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | 。 | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは です。すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance}.api.cloud.extrahop.com | ○ | ExtraHop インスタンスの API ルート。 |
| クライアント ID | 文字列 | なし | ○ | ExtraHop インスタンスのクライアント ID。 |
| クライアント シークレット | パスワード | なし | ○ | ExtraHop インスタンスのクライアント シークレット。 |
| 取得する最小のリスクスコア | 整数 | なし | いいえ | 検出の取得に使用する必要がある最も低いリスクスコア。最大: 100。何も指定しないと、コネクタはすべてのリスクスコアの検出を取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点から検出を取得するかの時間数。 |
| 取得する最大検出数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で対応する検出の数。デフォルト: 100。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効にした場合は、ExtraHop サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。