ForeScout CounterACT

Versión de la integración: 3.0

Casos de uso

Realizar acciones de enriquecimiento

Configura la integración de ForeScout CounterACT en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Is Mandatory Descripción
Raíz de la API String

https://<dirección IP>

 Raíz de la API de ForeScout CounterACT
Nombre de usuario String N/A Nombre de usuario de la API de ForeScout CounterACT.
Contraseña Contraseña N/A Contraseña de la API de ForeScout CounterACT.
Archivo del certificado de CA String N/A No Es el archivo de certificado de CA codificado en Base64.
Verificar SSL Casilla de verificación Marcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Armis sea válido.

Acciones

Ping

Descripción

Prueba la conectividad con ForeScout CounterACT con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si se ejecuta correctamente: "Se conectó correctamente al servidor de ForeScout CounterACT con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de la guía:
Si no se realiza correctamente: "No se pudo conectar al servidor de ForeScout CounterACT. Error is {0}".format(exception.stacktrace)

 General

Enriquece entidades

Descripción

Enriquece las entidades con información de ForeScout CounterACT. Entidades admitidas: IP y dirección MAC.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Is Mandatory Descripción
Crear estadística Casilla de verificación Marcado No Si está habilitada, la acción creará estadísticas que contienen información de enriquecimiento.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Dirección MAC

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
ip Cuando está disponible en JSON
mac Cuando está disponible en JSON
en las instalaciones Cuando está disponible en JSON
guest_corporate_state Cuando está disponible en JSON
Fingerprint Cuando está disponible en JSON
vendor Cuando está disponible en JSON
clasificación Cuando está disponible en JSON
agent_version Cuando está disponible en JSON
En línea Cuando está disponible en JSON
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Si no se enriquecieron algunas (is_success = true): "No se pudo enriquecer las siguientes entidades con ForeScout CounterACT:\n".format(entity.identifier)

If didn't enrich all (is_success = false): "No se enriquecieron todas las entidades".

La acción debe fallar y detener la ejecución de un playbook:
si se produce un error irrecuperable, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace)

 General
Tabla de entidades Son las mismas columnas que en la tabla de enriquecimiento, pero sin prefijo. Entidad

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.