ForeScout CounterACT

Versão da integração: 3.0

Casos de uso

Realizar ações de enriquecimento.

Configurar a integração do ForeScout CounterACT no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Raiz da API String

https://<endereço IP>

 Sim Raiz da API ForeScout CounterACT
Nome de usuário String N/A Sim Nome de usuário da API ForeScout CounterACT.
Senha Senha N/A Sim Senha da API ForeScout CounterACT.
Arquivo de certificado de CA String N/A Não Arquivo de certificado de CA codificado em Base64.
Verificar SSL Caixa de seleção Selecionado Sim Se ativada, verifica se o certificado SSL da conexão com o servidor da Armis é válido.

Ações

Ping

Descrição

Teste a conectividade com o ForeScout CounterACT usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.

Parâmetros

N/A

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se for bem-sucedida: "Conexão bem-sucedida com o servidor ForeScout CounterACT usando os parâmetros de conexão fornecidos!"

A ação vai falhar e interromper a execução de um playbook
se não for bem-sucedida: "Não foi possível se conectar ao servidor ForeScout CounterACT. O erro é {0}".format(exception.stacktrace)

 Geral

Enriquecer entidades

Descrição

Enriqueça entidades usando informações do ForeScout CounterACT. Entidades compatíveis: IP, endereço MAC.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Criar insight Caixa de seleção Selecionado Não Se ativada, a ação vai criar insights com informações de enriquecimento.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Endereço MAC

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
ip Quando disponível em JSON
mac Quando disponível em JSON
no local Quando disponível em JSON
guest_corporate_state Quando disponível em JSON
Impressão digital Quando disponível em JSON
fornecedor Quando disponível em JSON
classificação Quando disponível em JSON
agent_version Quando disponível em JSON
on-line Quando disponível em JSON
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

Se não foi possível enriquecer algumas (is_success = true): "Não foi possível enriquecer as seguintes entidades usando o ForeScout CounterACT:\n".format(entity.identifier)

Se não enriquecer tudo (is_success = false): "Nenhuma entidade foi enriquecida".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela de entidades As mesmas colunas da tabela de enriquecimento, mas sem prefixo. Entidade

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.