ForeScout CounterACT

統合バージョン: 3.0

ユースケース

拡充アクションを実行します。

Google Security Operations で ForeScout CounterACT の統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 タイプ デフォルト値 必須 Description
API ルート 文字列

https://<ip address>

 ForeScout CounterACT API ルート
ユーザー名 文字列 なし ForeScout CounterACT API のユーザー名。
パスワード パスワード なし ForeScout CounterACT API パスワード。
CA 証明書ファイル 文字列 なし いいえ Base64 でエンコードされた CA 証明書ファイル。
SSL を確認 チェックボックス オン 有効になっている場合は、Armis サーバーへの接続用の SSL 証明書が有効であることを確認します。

アクション

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、ForeScout CounterACT への接続性をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
ケースウォール
結果のタイプ 値 / 説明 タイプ
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
成功した場合: 「指定された接続パラメータで ForeScout CounterACT サーバーに正常に接続されました。」

アクションが失敗し、ハンドブックの実行が停止します:
成功しなかった場合: 「ForeScout CounterACT サーバーへの接続に失敗しました。エラー: {0}".format(exception.stacktrace)

 一般

エンティティの拡充

説明

ForeScout CounterACT の情報を使用してエンティティを拡充します。サポートされるエンティティ: IP、MAC アドレス。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 Description
インサイトの作成 チェックボックス オン いいえ 有効にすると、アクションによって拡充情報を含むインサイトが作成されます。

実行

このアクションは次のエンティティに対して実行されます。

  • IP アドレス
  • MAC アドレス

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success is_success=False
is_success is_success=True
JSON の結果
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
エンティティ拡充
拡充フィールド名 ロジック - 適用するタイミング
ip JSON で利用可能な場合
mac JSON で利用可能な場合
オンサイト JSON で利用可能な場合
guest_corporate_state JSON で利用可能な場合
Fingerprint JSON で利用可能な場合
vendor JSON で利用可能な場合
分類 JSON で利用可能な場合
agent_version JSON で利用可能な場合
オンライン JSON で利用可能な場合
ケースウォール
結果のタイプ 値 / 説明 タイプ
出力メッセージ *

アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
一部を拡充した場合(is_success = true): 「ForeScout CounterACT を使用して次のエンティティを拡充しました:\n".format(entity.identifier)

一部が拡充されなかった場合(is_success = true): 「アクションで ForeScout CounterACT を使用して次のエンティティを拡充できませんでした:\n".format(entity.identifier)

すべて拡充しなかった場合(is_success = false): 「拡充されたエンティティはありません」。

アクションが失敗し、ハンドブックの実行が停止します:
認証情報が誤っているなどの致命的なエラーで、サーバーへの接続がない場合、その他: 「"エンティティの拡充" アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace)

 一般
エンティティ テーブル エンリッチメント テーブルと同じ列ですが、プレフィックスはありません。 エンティティ

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。