ForeScout CounterACT

Versi integrasi: 3.0

Kasus Penggunaan

Lakukan tindakan pengayaan.

Mengonfigurasi integrasi ForeScout CounterACT di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Root API String

https://<alamat IP>

 Ya Root ForeScout CounterACT API
Nama pengguna String T/A Ya Nama pengguna ForeScout CounterACT API.
Sandi Sandi T/A Ya Sandi API ForeScout CounterACT.
File Sertifikat CA String T/A Tidak File sertifikat CA yang dienkode base64.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Armis valid.

Tindakan

Ping

Deskripsi

Uji konektivitas ke ForeScout CounterACT dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika berhasil: "Successfully connected to the ForeScout CounterACT server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika tidak berhasil: "Gagal terhubung ke server ForeScout CounterACT! Error adalah {0}".format(exception.stacktrace)

 Umum

Memperkaya Entitas

Deskripsi

Memperkaya entitas menggunakan informasi dari ForeScout CounterACT. Entitas yang didukung: IP, Alamat Mac.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Buat Insight Kotak centang Dicentang Tidak Jika diaktifkan, tindakan akan membuat insight yang berisi informasi pengayaan.

Run On

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • Alamat MAC

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus menerapkan
ip Jika tersedia dalam JSON
mac Jika tersedia dalam JSON
di tempat Jika tersedia dalam JSON
guest_corporate_state Jika tersedia dalam JSON
sidik jari Jika tersedia dalam JSON
vendor Jika tersedia dalam JSON
klasifikasi Jika tersedia dalam JSON
agent_version Jika tersedia dalam JSON
online Jika tersedia dalam JSON
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Jika tidak memperkaya beberapa (is_success = benar): "Tindakan tidak dapat memperkaya entity berikut menggunakan ForeScout CounterACT:\n".format(entity.identifier)

Jika tidak memperkaya semua (is_success = false): "Tidak ada entity yang diperkaya".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat mengeksekusi tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Entitas Kolom yang sama seperti di tabel Pengayaan, tetapi tanpa awalan. Entity

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.