ExtraHop
集成版本:4.0在 Google SecOps 中配置 ExtraHop 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | 是 | ExtraHop 实例的 API 根。 | |
| 客户端 ID | 字符串 | 不适用 | 是 | ExtraHop 实例的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | ExtraHop 实例的客户端密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,请验证与 ExtraHop 服务器的连接的 SSL 证书是否有效。 |
产品使用场景
提醒提取
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 ExtraHop 的连接。
参数
不适用
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已使用提供的连接参数成功连接到 ExtraHop 服务器!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the ExtraHop server! 错误为 {0}".format(exception.stacktrace) |
常规 |
更新检测
更新 ExtraHop 中的检测结果。
运行于
此操作不会在实体上运行。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 检测 ID | 字符串 | 不适用 | 是 | 指定需要更新的检测的 ID。 |
| 状态 | DDL | 可能的值:
|
否 | 指定检测的状态。 |
| 解决方法 | DDL | 可能的值:
|
否 | 指定检测的分辨率。如果将“状态”形参设置为“已关闭”,则需要提供“解决情况”形参。 |
| 分配给 | 字符串 | 不适用 | 否 | 指定需要将提醒分配给的分析师的名称。如果提供“取消分配”,则该操作会从提醒中移除分配。 |
操作输出
| 类型 | 可用 |
|---|---|
| 脚本结果 | 正确 |
| JSON 结果 | 正确 |
| 丰富化表 | 错误 |
| “案例墙”表格 | 错误 |
| 案例墙链接 | 错误 |
| 案例墙附件 | 错误 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
案例墙
| 结果类型 | 值/说明 | 类型(实体\常规) |
|---|---|---|
| 输出消息* |
操作不应失败或停止 playbook 执行: 如果返回的信息 (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." 操作应失败并停止 playbook 执行: 如果出现致命错误,例如凭据错误、无法连接到服务器、其他错误: print "Error executing action "Update Detection". 原因:{0}''.format(error.Stacktrace) 如果未找到检测结果(404 状态代码): 执行操作“更新检测”时出错。原因:在 Extrahop 中找不到 ID 为 {alert id} 的检测结果。请检查拼写。” 如果“type”为“request_error”: 执行操作“更新检测”时出错。原因:{detail}” 如果“状态”为“请选择”,但“分配给”中未提供任何内容: 执行操作“更新检测”时出错。原因:“状态”或“分配给”参数应至少有一个具有值。 |
常规 |
连接器
ExtraHop - Detections 连接器
说明
从 ExtraHop 中提取有关检测的信息。 注意:白名单过滤条件可与“type”参数搭配使用。
在 Google SecOps 中配置 ExtraHop - 检测连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 . 捕获所有异常并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
|
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{instance}.api.cloud.extrahop.com | 是 | ExtraHop 实例的 API 根。 |
| 客户端 ID | 字符串 | 不适用 | 是 | ExtraHop 实例的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | ExtraHop 实例的客户端密钥。 |
| 要提取的最低风险得分 | 整数 | 不适用 | 否 | 用于提取检测的最低风险评分。最大值:100。 如果未提供任何内容,连接器将注入所有风险得分的检测结果。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取检测结果的小时数。 |
| 要提取的最大检测次数 | 整数 | 100 | 否 | 每次连接器迭代要处理的检测结果数量。默认值:100。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 ExtraHop 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。 需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。