Esta página foi traduzida pela API Cloud Translation.

ExtraHop

Versão da integração: 4.0

Configure a integração do ExtraHop no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da API	String		Sim	Raiz da API da instância do ExtraHop.
ID do cliente	String	N/A	Sim	ID de cliente da instância do ExtraHop.
Segredo do cliente	Palavra-passe	N/A	Sim	Segredo do cliente da instância do ExtraHop.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, valide se o certificado SSL para a ligação ao servidor ExtraHop é válido.

Exemplos de utilização de produtos

Carregamento de alertas

Ações

Tchim-tchim

Descrição

Teste a conetividade ao ExtraHop com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_succeed	Verdadeiro/Falso	is_succeed:False

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor ExtraHop estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor ExtraHop! Error is {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação ao servidor ExtraHop estabelecida com êxito com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor ExtraHop! Error is {0}".format(exception.stacktrace)

Geral

Atualização da deteção

Atualize uma deteção no ExtraHop.

Executar em

Esta ação não é executada em entidades.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID da deteção	String	N/A	Sim	Especifique o ID da deteção que tem de ser atualizada.
Estado	LDD	Valores possíveis: Fechado Em curso Reconhecido	Não	Especifique o estado da deteção.
Resolução	LDD	Valores possíveis: Ação tomada Nenhuma ação tomada	Não	Especifique a resolução para a deteção. Se o parâmetro Status estiver definido como "Closed", é necessário o parâmetro Resolution.
Atribuir a	String	N/A	Não	Especifique o nome do analista ao qual o alerta tem de ser atribuído. Se for indicado "Unassign" (Desatribuir), a ação remove a atribuição do alerta.

Resultados da ação

Tipo	Disponível
Resultado do script	True
Resultado JSON	True
Tabela de enriquecimento	Falso
Tabela de parede da caixa	Falso
Link da capa de parede	Falso
Anexo de parede da caixa	Falso

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

 0: {
   "id": 4294967299,
   "start_time": 1693795020000,
   "update_time": 1693805700000,
   "end_time": 1694198520000,
   "title": "LLMNR Activity",
   "description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
   // metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
   // overview?from=1693795020&interval_type=DT&until=1694198520) sent
   // Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
   // internal broadcast query to resolve a hostname. The LLMNR protocol is 
   // known to be vulnerable to attacks.",
   "risk_score": 30,
   "type": "llmnr_activity_individual",
   "recommended_factors": [],
   "recommended": false,
   "categories": [
       "sec",
       "sec.hardening"
   ],
   "properties": {},
   "participants": [
       {
           "role": "offender",
           "scanner_service": null,
           "endpoint": null,
           "external": false,
           "object_id": 4294967305,
           "object_type": "device",
           "username": null,
           "id": 2
       }
   ],
   "ticket_id": null,
   "assignee": "ankita.shakya@wwtatc.com",
   "status": "in_progress",
   "resolution": null,
   "mitre_tactics": [],
   "mitre_techniques": [],
   "appliance_id": 1,
   "is_user_created": false,
   "mod_time": 1694790591224,
   "create_time": 1693795051521,
   "url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
   // 967299/?from=1693794120&until=1694199420&interval_type=DT"
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo (entidade \ geral)
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: se as informações devolvidas (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: print "Error executing action "Update Detection". Motivo: {0}''.format(error.Stacktrace) Se a deteção não for encontrada (código de estado 404): Erro ao executar a ação "Atualizar deteção". Motivo: não foi encontrada a deteção com o ID {alert id} no ExtraHop. Verifique a ortografia." If "type": "request_error": Erro ao executar a ação "Atualizar deteção". Motivo: {detail}" Se "Estado" for "Selecionar uma" e não for indicado nada em "Atribuir a": Erro ao executar a ação "Atualizar deteção". Motivo: pelo menos um dos parâmetros "Status" ou "Assign To" deve ter um valor.	Geral

Tipo de resultado

Valor/descrição

Tipo (entidade \ geral)

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

se as informações devolvidas (is_success = true):

print "Successfully updated detection with ID {detection id} in Extrahop."

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro:

print "Error executing action "Update Detection". Motivo: {0}''.format(error.Stacktrace)

Se a deteção não for encontrada (código de estado 404):

Erro ao executar a ação "Atualizar deteção". Motivo: não foi encontrada a deteção com o ID {alert id} no ExtraHop. Verifique a ortografia."

If "type": "request_error":

Erro ao executar a ação "Atualizar deteção". Motivo: {detail}"

Se "Estado" for "Selecionar uma" e não for indicado nada em "Atribuir a":

Erro ao executar a ação "Atualizar deteção". Motivo: pelo menos um dos parâmetros "Status" ou "Assign To" deve ter um valor.

Geral

Conetores

ExtraHop – Conetor de deteções

Descrição

Extraia informações sobre deteções do ExtraHop. Nota: o filtro da lista de autorizações funciona com o parâmetro "type".

Configure o conetor de deteções do ExtraHop no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento	String	escrever	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente	String	""	Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente	String	.	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". O valor predefinido é . para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão da expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos)	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://{instance}.api.cloud.extrahop.com	Sim	Raiz da API da instância do ExtraHop.
ID do cliente	String	N/A	Sim	ID de cliente da instância do ExtraHop.
Segredo do cliente	Palavra-passe	N/A	Sim	Segredo do cliente da instância do ExtraHop.
Pontuação de risco mais baixa a obter	Número inteiro	N/A	Não	A pontuação de risco mais baixa que tem de ser usada para obter deteções. Máximo: 100. Se não for fornecido nada, o conector vai carregar deteções com todas as pontuações de risco.
Máximo de horas para trás	Número inteiro	1	Não	Número de horas a partir das quais recolher deteções.
Máximo de deteções a obter	Número inteiro	100	Não	O número de deteções a processar por iteração de conetor. Predefinição: 100.
Use a lista de autorizações como uma lista negra	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a lista de autorizações é usada como uma lista negra.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, valide se o certificado SSL para a ligação ao servidor ExtraHop é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.

Regras do conetor

Suporte de proxy

O conetor suporta proxy. Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.