Extrahop
Versão da integração: 4.0Configurar a integração do ExtraHop no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | Sim | Raiz da API da instância do ExtraHop. | |
| ID do cliente | String | N/A | Sim | ID do cliente da instância do ExtraHop. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da instância do ExtraHop. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor ExtraHop é válido. |
Casos de uso de produtos
Assimilação de alertas
Ações
Ping
Descrição
Teste a conectividade com o ExtraHop usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "Conexão bem-sucedida com o servidor ExtraHop usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor ExtraHop! Error is {0}".format(exception.stacktrace) |
Geral |
Atualizar detecção
Atualiza uma detecção no ExtraHop.
Executar em
Essa ação não é executada em entidades.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da detecção | String | N/A | Sim | Especifique o ID da detecção que precisa ser atualizada. |
| Status | DDL | Valores possíveis:
|
Não | Especifique o status da detecção. |
| Resolução | DDL | Valores possíveis:
|
Não | Especifique a resolução para a detecção. Se o parâmetro "Status" estiver definido como "Closed", o parâmetro "Resolution" será necessário. |
| Atribuir a | String | N/A | Não | Especifique o nome do analista a quem o alerta precisa ser atribuído. Se "Remover atribuição" for fornecido, a ação vai remover a atribuição do alerta. |
Saídas de ação
| Tipo | Disponível |
|---|---|
| Resultado do script | Verdadeiro |
| Resultado do JSON | Verdadeiro |
| Tabela de enriquecimento | Falso |
| Tabela do painel de casos | Falso |
| Link do Painel de casos | Falso |
| Anexo do Painel de casos | Falso |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* |
A ação não pode falhar nem interromper a execução de um playbook: se as informações retornadas (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: print "Error executing action "Update Detection". Motivo: {0}''.format(error.Stacktrace) Se a detecção não for encontrada (código de status 404): Erro ao executar a ação "Atualizar detecção". Motivo: a detecção com o ID {alert id} não foi encontrada no ExtraHop. Verifique a ortografia." Se "type": "request_error": Erro ao executar a ação "Atualizar detecção". Motivo: {detail}" Se "Status" for "Selecionar um" e nada for fornecido em "Atribuir a": Erro ao executar a ação "Atualizar detecção". Motivo: pelo menos um dos parâmetros "Status" ou "Atribuir a" precisa ter um valor. |
Geral |
Conectores
ExtraHop: conector de detecções
Descrição
Extrai informações sobre detecções do ExtraHop. Observação: o filtro de lista de permissão funciona com o parâmetro "type".
Configurar o conector de detecções do ExtraHop no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | . | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O valor padrão é . para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance}.api.cloud.extrahop.com | Sim | Raiz da API da instância do ExtraHop. |
| ID do cliente | String | N/A | Sim | ID do cliente da instância do ExtraHop. |
| Chave secreta do cliente | Senha | N/A | Sim | Chave secreta do cliente da instância do ExtraHop. |
| Menor pontuação de risco a ser buscada | Número inteiro | N/A | Não | A menor pontuação de risco que precisa ser usada para buscar detecções. Máximo: 100. Se nada for fornecido, o conector vai ingerir detecções com todas as pontuações de risco. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Quantidade de horas de onde buscar detecções. |
| Número máximo de detecções a serem buscadas | Número inteiro | 100 | Não | Quantas detecções processar por iteração de conector. Padrão: 100; |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor ExtraHop é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy. Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.