이 페이지는 Cloud Translation API를 통해 번역되었습니다.

ExtraHop

통합 버전: 4.0

Google SecOps에서 ExtraHop 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
API 루트	문자열		예	ExtraHop 인스턴스의 API 루트입니다.
클라이언트 ID	문자열	해당 사항 없음	예	ExtraHop 인스턴스의 클라이언트 ID입니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	예	ExtraHop 인스턴스의 클라이언트 보안 비밀번호입니다.
SSL 확인	체크박스	선택	예	사용 설정하면 ExtraHop 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.

제품 사용 사례

알림 수집

작업

핑

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 ExtraHop에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_succeed	True/False	is_succeed:False

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 ExtraHop 서버에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'ExtraHop 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 ExtraHop 서버에 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

실패한 경우: 'ExtraHop 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

일반

감지 업데이트

ExtraHop에서 감지를 업데이트합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
감지 ID	문자열	해당 사항 없음	예	업데이트해야 하는 감지의 ID를 지정합니다.
상태	DDL	가능한 값: 종료됨 진행 중 확인됨	아니요	감지 상태를 지정합니다.
해결 방법	DDL	가능한 값: 수행한 작업 취한 조치 없음	아니요	감지의 해상도를 지정합니다. 상태 매개변수가 'Closed'로 설정된 경우 해결 방법 매개변수가 필요합니다.
할당 대상	문자열	해당 사항 없음	아니요	알림을 할당해야 하는 분석가의 이름을 지정합니다. '할당 해제'가 제공되면 작업은 알림에서 할당을 삭제합니다.

작업 출력

유형	사용 가능
스크립트 결과	참
JSON 결과	참
보강 테이블	거짓
케이스 월 테이블	거짓
케이스 월 링크	거짓
케이스 월 첨부파일	거짓

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

 0: {
   "id": 4294967299,
   "start_time": 1693795020000,
   "update_time": 1693805700000,
   "end_time": 1694198520000,
   "title": "LLMNR Activity",
   "description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
   // metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
   // overview?from=1693795020&interval_type=DT&until=1694198520) sent
   // Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
   // internal broadcast query to resolve a hostname. The LLMNR protocol is 
   // known to be vulnerable to attacks.",
   "risk_score": 30,
   "type": "llmnr_activity_individual",
   "recommended_factors": [],
   "recommended": false,
   "categories": [
       "sec",
       "sec.hardening"
   ],
   "properties": {},
   "participants": [
       {
           "role": "offender",
           "scanner_service": null,
           "endpoint": null,
           "external": false,
           "object_id": 4294967305,
           "object_type": "device",
           "username": null,
           "id": 2
       }
   ],
   "ticket_id": null,
   "assignee": "ankita.shakya@wwtatc.com",
   "status": "in_progress",
   "resolution": null,
   "mitre_tactics": [],
   "mitre_techniques": [],
   "appliance_id": 1,
   "is_user_created": false,
   "mod_time": 1694790591224,
   "create_time": 1693795051521,
   "url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
   // 967299/?from=1693794120&until=1694199420&interval_type=DT"
}

케이스 월

결과 유형	값/설명	유형(항목 \ 일반)
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 반환된 정보가 있는 경우 (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "Update Detection".'을 출력합니다. 이유: {0}'.format(error.Stacktrace) 감지를 찾을 수 없는 경우 (404 상태 코드): '감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ID가 {alert id}인 감지를 Extrahop에서 찾을 수 없습니다. 철자를 확인하세요." 'type': 'request_error'인 경우: '감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {detail}" '상태'가 '하나 선택'이고 '할당 대상'에 아무것도 제공되지 않은 경우: '감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '상태' 또는 '할당 대상' 매개변수 중 하나 이상에 값이 있어야 합니다.	일반

결과 유형

값/설명

유형(항목 \ 일반)

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

반환된 정보가 있는 경우 (is_success = true):

print "Successfully updated detection with ID {detection id} in Extrahop."

작업이 실패하고 플레이북 실행을 중지합니다.

잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우:

'Error executing action "Update Detection".'을 출력합니다. 이유: {0}'.format(error.Stacktrace)

감지를 찾을 수 없는 경우 (404 상태 코드):

'감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ID가 {alert id}인 감지를 Extrahop에서 찾을 수 없습니다. 철자를 확인하세요."

'type': 'request_error'인 경우:

'감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {detail}"

'상태'가 '하나 선택'이고 '할당 대상'에 아무것도 제공되지 않은 경우:

'감지 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '상태' 또는 '할당 대상' 매개변수 중 하나 이상에 값이 있어야 합니다.

일반

커넥터

ExtraHop - Detections Connector

설명

ExtraHop에서 감지에 관한 정보를 가져옵니다. 참고: 허용 목록 필터는 'type' 매개변수와 함께 작동합니다.

Google SecOps에서 ExtraHop - 탐지 커넥터 구성

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
제품 필드 이름	문자열	제품 이름	예	제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름	문자열	유형	예	이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름	문자열	""	아니요	환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴	문자열	.	아니요	'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 입니다 . 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초)	정수	180	예	현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
API 루트	문자열	https://{instance}.api.cloud.extrahop.com	예	ExtraHop 인스턴스의 API 루트입니다.
클라이언트 ID	문자열	해당 사항 없음	예	ExtraHop 인스턴스의 클라이언트 ID입니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	예	ExtraHop 인스턴스의 클라이언트 보안 비밀번호입니다.
가져올 가장 낮은 위험 점수	정수	해당 사항 없음	아니요	감지를 가져오는 데 사용해야 하는 가장 낮은 위험 점수입니다. 최대: 100 아무것도 제공하지 않으면 커넥터는 모든 위험 점수의 감지를 수집합니다.
최대 이전 시간	정수	1	아니요	감지 항목을 가져올 위치로부터의 시간입니다.
가져올 최대 탐지 수	정수	100	아니요	커넥터 반복당 처리할 감지 수입니다. 기본값: 100
허용 목록을 차단 목록으로 사용	체크박스	선택 해제	예	사용 설정하면 허용 목록이 차단 목록으로 사용됩니다.
SSL 확인	체크박스	선택	예	사용 설정하면 ExtraHop 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다.
프록시 서버 주소	문자열	해당 사항 없음	아니요	사용할 프록시 서버의 주소입니다.
프록시 사용자 이름	문자열	해당 사항 없음	아니요	인증할 프록시 사용자 이름입니다.
프록시 비밀번호	비밀번호	해당 사항 없음	아니요	인증할 프록시 비밀번호입니다.

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다. 도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.