ForeScout CounterACT

Version de l'intégration : 3.0

Cas d'utilisation

Effectuer des actions d'enrichissement

Configurer l'intégration de ForeScout CounterACT dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Description
Racine de l'API Chaîne

https://<adresse IP>

 Oui Racine de l'API ForeScout CounterACT
Nom d'utilisateur Chaîne N/A Oui Nom d'utilisateur de l'API ForeScout CounterACT.
Mot de passe Mot de passe N/A Oui Mot de passe de l'API ForeScout CounterACT.
Fichier de certificat CA Chaîne N/A Non Fichier de certificat CA encodé en base64.
Vérifier le protocole SSL Case à cocher Cochée Oui Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Armis est valide.

Actions

Ping

Description

Testez la connectivité à ForeScout CounterACT avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès : "Connexion au serveur ForeScout CounterACT établie avec succès avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful: "Failed to connect to the ForeScout CounterACT server! Error is {0}".format(exception.stacktrace)

 Général

Enrichir les entités

Description

Enrichissez les entités à l'aide des informations de ForeScout CounterACT. Entités acceptées : adresse IP, adresse MAC.

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Description
Créer un insight Case à cocher Cochée Non Si cette option est activée, l'action créera des insights contenant des informations d'enrichissement.

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Adresse MAC

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
ip Lorsqu'il est disponible au format JSON
mac Lorsqu'il est disponible au format JSON
sur site Lorsqu'il est disponible au format JSON
guest_corporate_state Lorsqu'il est disponible au format JSON
fingerprint Lorsqu'il est disponible au format JSON
vendor Lorsqu'il est disponible au format JSON
classification Lorsqu'il est disponible au format JSON
agent_version Lorsqu'il est disponible au format JSON
En ligne Lorsqu'il est disponible au format JSON
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Si l'enrichissement de certaines entités a échoué (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide de ForeScout CounterACT :\n".format(entity.identifier)

Si l'enrichissement n'a pas été effectué pour toutes les entités (is_success = false) : "Aucune entité n'a été enrichie".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

 Général
Tableau des entités Les mêmes colonnes que dans le tableau d'enrichissement, mais sans préfixe. Entité

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.