ForeScout CounterACT

Versión de la integración: 3.0

Casos prácticos

Realiza acciones de enriquecimiento.

Configurar la integración de ForeScout CounterACT en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Raíz de la API Cadena

https://<dirección IP>

 Raíz de la API de ForeScout CounterACT
Nombre de usuario Cadena N/A Nombre de usuario de la API ForeScout CounterACT.
Contraseña Contraseña N/A Contraseña de la API de ForeScout CounterACT.
Archivo de certificado de AC Cadena N/A No Archivo de certificado de AC codificado en Base64.
Verificar SSL Casilla Marcada Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Armis sea válido.

Acciones

Ping

Descripción

Prueba la conectividad con ForeScout CounterACT con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
si se realiza correctamente: "Successfully connected to the ForeScout CounterACT server with the provided connection parameters!" (Se ha conectado correctamente al servidor ForeScout CounterACT con los parámetros de conexión proporcionados).

La acción debería fallar y detener la ejecución de una guía:
si no se realiza correctamente: "Failed to connect to the ForeScout CounterACT server! Error: {0}".format(exception.stacktrace)

 General

Enriquecer entidades

Descripción

Enriquece las entidades con información de ForeScout CounterACT. Entidades admitidas: IP y dirección MAC.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Crear estadística Casilla Marcada No Si se habilita, la acción creará estadísticas que contengan información de enriquecimiento.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Dirección MAC

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo se aplica
ip Cuando esté disponible en JSON
mac Cuando esté disponible en JSON
en las instalaciones Cuando esté disponible en JSON
guest_corporate_state Cuando esté disponible en JSON
huella digital Cuando esté disponible en JSON
vendor Cuando esté disponible en JSON
hacer clasificaciones Cuando esté disponible en JSON
agent_version Cuando esté disponible en JSON
online Cuando esté disponible en JSON
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Si no se ha enriquecido alguna (is_success = true): "No se ha podido enriquecer las siguientes entidades con ForeScout CounterACT:\n".format(entity.identifier)

Si no se ha enriquecido todo (is_success = false): "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

 General
Tabla de entidades Las mismas columnas que en la tabla de enriquecimiento, pero sin prefijo. Entidad

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.