ForeScout CounterACT

Versão da integração: 3.0

Exemplos de utilização

Realizar ações de enriquecimento.

Configure a integração do ForeScout CounterACT no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Raiz da API String

https://<ip address>

 Sim Raiz da API ForeScout CounterACT
Nome de utilizador String N/A Sim Nome de utilizador da API ForeScout CounterACT.
Palavra-passe Palavra-passe N/A Sim Palavra-passe da API ForeScout CounterACT.
Ficheiro de certificado da AC String N/A Não Ficheiro de certificado da AC codificado em Base64.
Validar SSL Caixa de verificação Marcado Sim Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Armis é válido.

Ações

Tchim-tchim

Descrição

Teste a conetividade ao ForeScout CounterACT com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se for bem-sucedida: "Ligação estabelecida com êxito ao servidor ForeScout CounterACT com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um playbook:
se não for bem-sucedida: "Não foi possível estabelecer ligação ao servidor ForeScout CounterACT! O erro é {0}".format(exception.stacktrace)

 Geral

Enriquecer entidades

Descrição

Enriqueça as entidades com informações do ForeScout CounterACT. Entidades suportadas: IP, endereço MAC.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Crie estatísticas Caixa de verificação Marcado Não Se estiver ativada, a ação cria estatísticas com informações de enriquecimento.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Endereço MAC

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
ip Quando estiver disponível em JSON
mac Quando estiver disponível em JSON
no local Quando estiver disponível em JSON
guest_corporate_state Quando estiver disponível em JSON
impressão digital Quando estiver disponível em JSON
fornecedor Quando estiver disponível em JSON
classificação Quando estiver disponível em JSON
agent_version Quando estiver disponível em JSON
online Quando estiver disponível em JSON
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se tiver enriquecido some(is_success = true): "As seguintes entidades foram enriquecidas com êxito através do ForeScout CounterACT:\n".format(entity.identifier)

If didn't enrich some (is_success = true): "Action wasn't able to enrich the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Se não tiver enriquecido tudo (is_success = false): "No entities were enriched" (Nenhuma entidade foi enriquecida).

A ação deve falhar e parar a execução de um playbook:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela de entidades As mesmas colunas que na tabela de enriquecimento, mas sem prefixo. Entidade

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.