ForeScout CounterACT

Versione integrazione: 3.0

Casi d'uso

Eseguire azioni di arricchimento.

Configura l'integrazione di ForeScout CounterACT in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Root API Stringa

https://<ip address>

 Root API ForeScout CounterACT
Nome utente Stringa N/D Nome utente dell'API ForeScout CounterACT.
Password Password N/D Password API ForeScout CounterACT.
File del certificato CA Stringa N/D No File del certificato CA con codifica Base64.
Verifica SSL Casella di controllo Selezionata Se abilitata, verifica che il certificato SSL per la connessione al server Armis sia valido.

Azioni

Dindin

Descrizione

Verifica la connettività a ForeScout CounterACT con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome del risultato dello script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se l'operazione va a buon fine: "Successfully connected to the ForeScout CounterACT server with the provided connection parameters!" (Connessione al server ForeScout CounterACT riuscita con i parametri di connessione forniti.)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se non va a buon fine: "Failed to connect to the ForeScout CounterACT server! Error is {0}".format(exception.stacktrace)

 Generale

Arricchisci entità

Descrizione

Arricchisci le entità utilizzando le informazioni di ForeScout CounterACT. Entità supportate: IP, indirizzo MAC.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Crea approfondimento Casella di controllo Selezionata No Se attivata, l'azione creerà approfondimenti contenenti informazioni di arricchimento.

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Indirizzo MAC

Risultati dell'azione

Risultato script
Nome del risultato dello script Opzioni di valore
is_success is_success=False
is_success is_success=True
Risultato JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Arricchimento delle entità
Nome del campo di arricchimento Logica: quando applicare
ip Quando disponibile in formato JSON
mac Quando disponibile in formato JSON
in loco Quando disponibile in formato JSON
guest_corporate_state Quando disponibile in formato JSON
impronta Quando disponibile in formato JSON
vendor Quando disponibile in formato JSON
classificazione Quando disponibile in formato JSON
agent_version Quando disponibile in formato JSON
online Quando disponibile in formato JSON
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Se non è stato possibile arricchire alcuni (is_success = true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando ForeScout CounterACT:\n".format(entity.identifier)

Se non è stato eseguito l'arricchimento di tutte le entità (is_success = false): "Nessuna entità è stata arricchita".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)

 Generale
Tabella entità Stesse colonne della tabella di arricchimento, ma senza prefisso. Entità

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.