ExtraHop
整合版本:4.0在 Google SecOps 中設定 ExtraHop 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | 是 | ExtraHop 執行個體的 API 根目錄。 | |
| 用戶端 ID | 字串 | 不適用 | 是 | ExtraHop 執行個體的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | ExtraHop 執行個體的用戶端密鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連至 ExtraHop 伺服器的 SSL 憑證有效。 |
產品用途
擷取快訊
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 ExtraHop 的連線。
參數
不適用
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the ExtraHop server with the provided connection parameters!」(已使用提供的連線參數成功連線至 ExtraHop 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the ExtraHop server! Error is {0}".format(exception.stacktrace) |
一般 |
更新偵測
更新 ExtraHop 中的偵測結果。
執行時間
這項操作不會對實體執行。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 偵測 ID | 字串 | 不適用 | 是 | 指定需要更新的偵測 ID。 |
| 狀態 | DDL | 可能的值:
|
否 | 指定偵測的狀態。 |
| 解析度 | DDL | 可能的值:
|
否 | 指定偵測的解析度。如果「狀態」參數設為「已結案」,則必須提供「解決方式」參數。 |
| 指派對象 | 字串 | 不適用 | 否 | 指定要將快訊指派給哪位分析師。如果提供「Unassign」,這項動作會從快訊中移除指派對象。 |
動作輸出
| 類型 | 可用 |
|---|---|
| 指令碼執行結果 | 是 |
| JSON 結果 | 是 |
| 擴充資料表 | 否 |
| 案件總覽表格 | 否 |
| 案件總覽連結 | 否 |
| 案件總覽附件 | 否 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
0: {
"id": 4294967299,
"start_time": 1693795020000,
"update_time": 1693805700000,
"end_time": 1694198520000,
"title": "LLMNR Activity",
"description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
// metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
// overview?from=1693795020&interval_type=DT&until=1694198520) sent
// Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
// internal broadcast query to resolve a hostname. The LLMNR protocol is
// known to be vulnerable to attacks.",
"risk_score": 30,
"type": "llmnr_activity_individual",
"recommended_factors": [],
"recommended": false,
"categories": [
"sec",
"sec.hardening"
],
"properties": {},
"participants": [
{
"role": "offender",
"scanner_service": null,
"endpoint": null,
"external": false,
"object_id": 4294967305,
"object_type": "device",
"username": null,
"id": 2
}
],
"ticket_id": null,
"assignee": "ankita.shakya@wwtatc.com",
"status": "in_progress",
"resolution": null,
"mitre_tactics": [],
"mitre_techniques": [],
"appliance_id": 1,
"is_user_created": false,
"mod_time": 1694790591224,
"create_time": 1693795051521,
"url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
// 967299/?from=1693794120&until=1694199420&interval_type=DT"
}
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* |
動作不得失敗或停止執行應對手冊: 如果傳回的資訊 (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: print "Error executing action "Update Detection". 原因:{0}''.format(error.Stacktrace) 如果系統找不到偵測結果 (404 狀態碼): 執行「更新偵測」動作時發生錯誤。原因:在 ExtraHop 中找不到 ID 為 {alert id} 的偵測結果。請檢查拼字。」 如果「type」為「request_error」: 執行「更新偵測」動作時發生錯誤。原因:{detail}」 如果「狀態」為「請選取」,且「指派給」未提供任何內容: 執行「更新偵測」動作時發生錯誤。原因:「狀態」或「指派給」參數至少應有一個值。 |
一般 |
連接器
ExtraHop - Detections Connector
說明
從 ExtraHop 提取偵測資訊。 注意:白名單篩選器適用於「type」參數。
在 Google SecOps 中設定 ExtraHop - Detections Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | 。 | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 。來擷取所有值並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果會是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{instance}.api.cloud.extrahop.com | 是 | ExtraHop 執行個體的 API 根目錄。 |
| 用戶端 ID | 字串 | 不適用 | 是 | ExtraHop 執行個體的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | ExtraHop 執行個體的用戶端密鑰。 |
| 要擷取的最低風險分數 | 整數 | 不適用 | 否 | 用於擷取偵測結果的最低風險分數。上限:100 個。 如未提供任何資訊,連接器會擷取所有風險分數的偵測結果。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取偵測結果的小時數。 |
| 要擷取的偵測結果數量上限 | 整數 | 100 | 否 | 每次連接器疊代要處理的偵測次數。預設值為 100。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,請確認連線至 ExtraHop 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。 還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。