ForeScout CounterACT

Integrationsversion: 3.0

Anwendungsbereiche

Anreicherungsaktionen durchführen

ForeScout CounterACT-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
API-Stamm String

https://<IP-Adresse>

 Ja ForeScout CounterACT API-Stamm
Nutzername String Ja ForeScout CounterACT API-Nutzername.
Passwort Passwort Ja ForeScout CounterACT-API-Passwort.
CA-Zertifikatsdatei String Nein Base64-codierte CA-Zertifikatsdatei.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Armis-Server gültig ist.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu ForeScout CounterACT mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Bei Erfolg: „Successfully connected to the ForeScout CounterACT server with the provided connection parameters!“ (Erfolgreich mit dem ForeScout CounterACT-Server mit den angegebenen Verbindungsparametern verbunden)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if not successful (wenn nicht erfolgreich): „Failed to connect to the ForeScout CounterACT server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus ForeScout CounterACT anreichern. Unterstützte Einheiten: IP, Mac-Adresse.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Insight erstellen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, werden durch die Aktion Statistiken mit Anreicherungsdaten erstellt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

  • IP-Adresse
  • MAC‑Adresse

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
ip Wenn in JSON verfügbar
mac Wenn in JSON verfügbar
vor Ort Wenn in JSON verfügbar
guest_corporate_state Wenn in JSON verfügbar
Fingerprint Wenn in JSON verfügbar
vendor Wenn in JSON verfügbar
Klassifizierung Wenn in JSON verfügbar
agent_version Wenn in JSON verfügbar
online Wenn in JSON verfügbar
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Wenn einige nicht angereichert wurden (is_success = true): „Die Aktion konnte die folgenden Entitäten mit ForeScout CounterACT nicht anreichern:\n“.format(entity.identifier)

Wenn nicht alle angereichert wurden (is_success = false): „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entitäten anreichern‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle mit Elementen Dieselben Spalten wie in der Anreicherungstabelle, aber ohne Präfix. Entität

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten