ForeScout CounterACT

集成版本:3.0

使用场景

执行丰富化操作。

在 Google Security Operations 中配置 ForeScout CounterACT 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是必填字段 说明
API 根 字符串

https://<IP 地址>

 ForeScout CounterACT API 根地址
用户名 字符串 不适用 ForeScout CounterACT API 用户名。
密码 密码 不适用 ForeScout CounterACT API 密码。
CA 证书文件 字符串 不适用 Base64 编码的 CA 证书文件。
验证 SSL 复选框 勾选 如果启用,则验证与 Armis 服务器的连接所用的 SSL 证书是否有效。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 ForeScout CounterACT 的连接。

参数

不适用

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
案例墙
结果类型 值/说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功:“Successfully connected to the ForeScout CounterACT server with the provided connection parameters!”

操作应失败并停止 playbook 执行
如果未成功:“Failed to connect to the ForeScout CounterACT server!错误为 {0}".format(exception.stacktrace)

 常规

丰富实体

说明

使用 ForeScout CounterACT 中的信息丰富实体。支持的实体:IP、MAC 地址。

参数

参数显示名称 类型 默认值 是必填字段 说明
创建分析数据 复选框 勾选 如果启用,操作将创建包含丰富信息的分析洞见。

运行于

此操作适用于以下实体:

  • IP 地址
  • MAC 地址

操作执行结果

脚本结果
脚本结果名称 值选项
is_success is_success=False
is_success is_success=True
JSON 结果
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
实体扩充
扩充项字段名称 逻辑 - 适用情形
ip 以 JSON 格式提供时
mac 以 JSON 格式提供时
站内 以 JSON 格式提供时
guest_corporate_state 以 JSON 格式提供时
指纹 以 JSON 格式提供时
vendor 以 JSON 格式提供时
分类信息 以 JSON 格式提供时
agent_version 以 JSON 格式提供时
在线 以 JSON 格式提供时
案例墙
结果类型 值/说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

如果未扩充某些实体(is_success = true):“操作无法使用 ForeScout CounterACT 扩充以下实体:\n”.format(entity.identifier)

如果未丰富所有实体(is_success = false):“未丰富任何实体”。

操作应失败并停止 playbook 执行
如果出现致命错误,例如凭据错误、无法连接到服务器等:“执行操作‘丰富实体’时出错。原因:{0}''.format(error.Stacktrace)

 常规
实体表 与富集表中的列相同,但没有前缀。 实体

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。