Harmony Mobile

Integrationsversion: 4.0

Anwendungsbereiche

  1. Elemente anreichern
  2. Aufnahme von Benachrichtigungen

Client-ID und Clientschlüssel generieren

  1. Rufen Sie den Abschnitt „Harmony Endpoint“ auf.
  2. Rufen Sie „Globale Einstellungen“ auf.
  3. Rufen Sie den Bereich „API-Schlüssel“ auf.
  4. Tippe auf die Schaltfläche „Neu“.
  5. Wählen Sie den Dienst „Harmony Mobile“ und die Rolle „Nur lesen“ aus.
  6. Kopieren Sie die „Client-ID“ und das „Client-Secret“. Fügen Sie diese Parameter in die Integrationskonfiguration ein.

Harmony Mobile-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
API-Stamm String https://cloudinfra-gw.portal.checkpoint.com Ja API-Stammverzeichnis der Harmony Mobile-Instanz.
Client-ID String Ja Client-ID des Harmony Mobile-Kontos.
Clientschlüssel Passwort Ja Clientschlüssel des Harmony Mobile-Kontos.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Harmony Mobile-Server gültig ist.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Harmony Mobile mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen.
Bei Erfolg: „Successfully connected to the Harmony Mobile server with the provided connection parameters!“ (Erfolgreiche Verbindung zum Harmony Mobile-Server mit den angegebenen Verbindungsparametern)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if not successful (wenn nicht erfolgreich): „Failed to connect to the Harmony Mobile server! Fehler: {0}".format(exception.stacktrace)

Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus Harmony Mobile anreichern. Unterstützte Entitäten: Hostname.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Insight erstellen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt.

Ausführen am

Diese Aktion wird für die Hostname-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "client_version": "3.8.6.4637",
    "device_type": "Android",
    "email": "dana@example.com",
    "internal_id": 1,
    "last_connection": "Wed, 14 Jul 2021 05:26:09 +0000",
    "mail_sent": true,
    "mdm": null,
    "model": "HUAWEI / HUAWEI GRA-L09",
    "name": "Dana Doe",
    "number": "+11",
    "os_type": "Android_4_x",
    "os_version": "6.0",
    "risk": "No Risk",
    "status": "Active"
}
Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
client_version Wenn in JSON verfügbar
device_type Wenn in JSON verfügbar
E-Mail Wenn in JSON verfügbar
last_connection Wenn in JSON verfügbar
Modell Wenn in JSON verfügbar
Name Wenn in JSON verfügbar
Zahl Wenn in JSON verfügbar
os_type Wenn in JSON verfügbar
os_version Wenn in JSON verfügbar
Risiko Wenn in JSON verfügbar
Status Wenn in JSON verfügbar
Statistiken

Beispiel für eine Entitätsstatistiken

Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden:
Wenn Daten für eine Entität verfügbar sind(is_success = true): „Die folgenden Entitäten wurden mit Informationen aus Harmony Mobile angereichert: {entity.identifier}“.

Wenn keine Daten für eine (is_success=true) verfügbar sind: „Die Aktion konnte die folgenden Einheiten nicht mit Informationen aus Harmony Mobile anreichern: {entity.identifier}“.

Wenn keine Daten für alle verfügbar sind (is_success=false): Keine der bereitgestellten Einheiten wurde angereichert.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Case Wall-Tabelle

Titel: {entity.identifier} Entität

Connector

Harmony Mobile – Alerts Connector

Beschreibung

Informationen zu Benachrichtigungen aus Harmony Mobile abrufen Hinweis: Der Whitelistfilter funktioniert mit dem Parameter „alertEvent“.

Harmony Mobile – Alerts Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Produktname Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds String alertType Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds String "" Nein

Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.

Regex-Muster für Umgebung String .* Nein

Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird.

Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben.

Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten.

Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.

Zeitlimit für Script (Sekunden) Ganzzahl 180 Ja Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm String https://cloudinfra-gw.portal.checkpoint.com Ja API-Stammverzeichnis der Harmony Mobile-Instanz.
Client-ID String Ja Client-ID des Harmony Mobile-Kontos.
Clientschlüssel Passwort Ja Clientschlüssel des Harmony Mobile-Kontos.
Geringstes Risiko beim Abrufen Ganzzahl Falsch Das niedrigste Risiko, das zum Abrufen von Benachrichtigungen verwendet werden muss. Mögliche Werte: „Informational“, „Low“, „Medium“, „High“. Wenn nichts angegeben ist, werden vom Connector Benachrichtigungen mit allen Risikostufen aufgenommen.
Maximale Stunden zurück Ganzzahl 1 Nein Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen.
Max. Anzahl der abzurufenden Benachrichtigungen Ganzzahl 100 Nein Die Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert is 100.
Zulassungsliste als Sperrliste verwenden Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Harmony Mobile-Server gültig ist.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten