Harmony Mobile
集成版本:4.0
使用场景
- 丰富实体信息
- 提醒提取
如何生成客户端 ID 和客户端密钥
- 前往“Harmony Endpoint”部分
- 前往“全局设置”
- 前往“API 密钥”部分
- 按“新建”按钮。
- 选择“Harmony Mobile”服务和“只读”角色
- 复制“客户端 ID”和“客户端密钥”。将这些参数放入集成配置中。
在 Google Security Operations 上配置 Harmony Mobile 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://cloudinfra-gw.portal.checkpoint.com | 是 | Harmony Mobile 实例的 API 根。 |
| 客户端 ID | 字符串 | 不适用 | 是 | Harmony Mobile 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | Harmony Mobile 账号的客户端密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Harmony Mobile 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Harmony Mobile 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
丰富实体
说明
使用 Harmony Mobile 中的信息丰富实体。支持的实体: 主机名。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,操作将创建包含有关实体的所有检索到的信息的分析洞见。 |
运行于
此操作在 Hostname 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"client_version": "3.8.6.4637",
"device_type": "Android",
"email": "dana@example.com",
"internal_id": 1,
"last_connection": "Wed, 14 Jul 2021 05:26:09 +0000",
"mail_sent": true,
"mdm": null,
"model": "HUAWEI / HUAWEI GRA-L09",
"name": "Dana Doe",
"number": "+11",
"os_type": "Android_4_x",
"os_version": "6.0",
"risk": "No Risk",
"status": "Active"
}
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| client_version | 以 JSON 格式提供时 |
| device_type | 以 JSON 格式提供时 |
| 电子邮件 | 以 JSON 格式提供时 |
| last_connection | 以 JSON 格式提供时 |
| 模型 | 以 JSON 格式提供时 |
| name | 以 JSON 格式提供时 |
| 数字 | 以 JSON 格式提供时 |
| os_type | 以 JSON 格式提供时 |
| os_version | 以 JSON 格式提供时 |
| 风险 | 以 JSON 格式提供时 |
| 状态 | 以 JSON 格式提供时 |
数据分析
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息 | 操作不应失败,也不应停止 playbook 执行: 如果某个实体没有数据 (is_success=true):“Action wasn't able to enrich the following entities using information from Harmony Mobile: {entity.identifier}”。 如果并非所有实体都有数据 (is_success=false):未扩充任何提供的实体。 操作应失败并停止 playbook 执行: |
常规 |
案例墙表格 |
Title: {entity.identifier} | 实体 |
连接器
Harmony Mobile - 提醒连接器
说明
从 Harmony Mobile 中提取有关提醒的信息。注意:白名单过滤条件适用于“alertEvent”参数。
在 Google SecOps 中配置 Harmony Mobile - 提醒连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | alertType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://cloudinfra-gw.portal.checkpoint.com | 是 | Harmony Mobile 实例的 API 根。 |
| 客户端 ID | 字符串 | 不适用 | 是 | Harmony Mobile 账号的客户端 ID。 |
| 客户端密钥 | 密码 | 不适用 | 是 | Harmony Mobile 账号的客户端密钥。 |
| 最低提取风险 | 整数 | 错误 | 用于提取提醒的最低风险。可能的值:信息性、低、中、高。如果未指定任何内容,连接器将注入所有风险级别的提醒。 | |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 要提取的提醒数量上限 | 整数 | 100 | 否 | 每次连接器迭代要处理的提醒数量。默认值:100。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Harmony Mobile 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。