Diese Seite wurde von der Cloud Translation API übersetzt.

Illusive Networks

Integrationsversion: 3.0

Anwendungsfälle für Produkte

Aktive Aktionen ausführen – forensische Scans ausführen, Entitäten anreichern, Täuschungsnutzer/-server hinzufügen/entfernen.
Vorfälle in Simplify aufnehmen

Illusive Networks-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
API-Stamm	String	http://x.x.x.x	Ja	API-Stammverzeichnis der Illusive Networks-Instanz.
API-Schlüssel	Passwort	–	Ja	API-Schlüssel von Illusive Networks. Hinweis: Der String „Basic“ sollte nicht Teil des Werts sein.
CA-Zertifikatsdatei	String		Falsch	Base64-codierte CA-Zertifikatsdatei.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Illusive Networks-Server gültig ist.

API-Schlüssel generieren

Rufen Sie in der Illusive Networks Console den Bereich „Einstellungen“ auf.
Scrollen Sie im Bereich „Allgemein“ nach unten zum Abschnitt „API-Schlüssel“.
Tippen Sie auf die Schaltfläche „Schlüssel hinzufügen“.
Es wird empfohlen, dem API-Schlüssel alle Berechtigungen hinzuzufügen.
Kopieren Sie aus dem bereitgestellten String alles außer dem String „Basic“.
Fügen Sie diesen Wert in den Parameter „API Key“ (API-Schlüssel) der Google SecOps-Integration ein.

Ratenlimit aktualisieren

Für bestimmte Endpunkte in Illusive Networks gilt eine Ratenbegrenzung. Für den Connector ist es wichtig, dass das Limit hoch genug ist, damit alle Vorfälle aufgenommen werden. Um das Ratenlimit zu aktualisieren, müssen Sie sich auf dem Verwaltungsserver anmelden und zu C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt navigieren.

Suchen Sie in der Datei nach den folgenden Attributen:

api.incident.rate.limit.maximum.num.requests
api.rate.limit.windows.duration.minutes

Wir empfehlen die folgende Einrichtung:

api.incident.rate.limit.maximum.num.requests=100
api.rate.limit.windows.duration.minutes=1
api.monitoring.rate.limit.maximum.num.requests = 100
api.forensics.rate.limit.maximum.num.requests = 100

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Illusive Networks mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Bei Erfolg: „Successfully connected to the Illusive Networks server with the provided connection parameters!“ (Die Verbindung zum Illusive Networks-Server mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.) Nicht erfolgreich (Fehler): Die Verbindung zum Illusive Networks-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Bei Erfolg: „Successfully connected to the Illusive Networks server with the provided connection parameters!“ (Die Verbindung zum Illusive Networks-Server mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.)

Nicht erfolgreich (Fehler): Die Verbindung zum Illusive Networks-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen von Illusive Networks anreichern Unterstützte Entitäten: Hostname.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
–

Ausführen am

Diese Aktion wird für die Host-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
ILLNET_machineName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_isHealthy	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_host	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_distinguishedName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_sourceDiscoveryName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_policyName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_operatingSystemName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_agentVersion	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_loggedInUserName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_machineExecutionUnifiedStatus	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_bitness	Wenn in JSON verfügbar (Host-Informationen)

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn Daten für mindestens eine Entität verfügbar sind (is_success = true): „Successfully enriched the following entities using Illusive Networks: \n {entity.identifier}“. Wenn für mindestens eine Entität keine Daten verfügbar sind (is_success = true): „Die Aktion konnte die folgenden Entitäten nicht mit Illusive Networks anreichern: \n {entity.identifier}“. Wenn keine Daten für alle verfügbar sind (is_success = false): „No entities were enriched“ (Keine Entitäten wurden angereichert). Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entitäten anreichern‘. Grund: {0}''.format(error.Stacktrace) Bei Statuscode 429: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Fehler aufgrund von Ratenbegrenzung. Weitere Informationen zum Erhöhen des Ratenlimits finden Sie in der Dokumentation.“	Allgemein
Tabelle „Fall-Repository“	Name: {entity.identifier} Es gibt nur zwei Spalten: „Schlüssel“ und „Wert“.	Entität

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Wenn Daten für mindestens eine Entität verfügbar sind (is_success = true): „Successfully enriched the following entities using Illusive Networks: \n {entity.identifier}“.

Wenn für mindestens eine Entität keine Daten verfügbar sind (is_success = true): „Die Aktion konnte die folgenden Entitäten nicht mit Illusive Networks anreichern: \n {entity.identifier}“.

Wenn keine Daten für alle verfügbar sind (is_success = false): „No entities were enriched“ (Keine Entitäten wurden angereichert).

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚Entitäten anreichern‘. Grund: {0}''.format(error.Stacktrace)

Bei Statuscode 429: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Fehler aufgrund von Ratenbegrenzung. Weitere Informationen zum Erhöhen des Ratenlimits finden Sie in der Dokumentation.“

Allgemein

Tabelle „Fall-Repository“

Name: {entity.identifier}

Es gibt nur zwei Spalten: „Schlüssel“ und „Wert“.

Entität

Forensischen Scan ausführen

Beschreibung

Führen Sie einen forensischen Scan auf dem Endpunkt in Illusive Networks durch. Funktioniert mit IP- und Hostname-Entitäten.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Systeminformationen einschließen	Kästchen	Aktiviert	Ja	Wenn aktiviert, gibt die Aktion Systeminformationen zurück.
Informationen zu Prefetch-Dateien einbeziehen	Kästchen	Aktiviert	Ja	Wenn aktiviert, gibt die Aktion Informationen zu Prefetch-Dateien zurück.
Informationen zum Hinzufügen/Entfernen von Programmen einbeziehen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, werden durch die Aktion Informationen zum Hinzufügen und Entfernen von Programmen zurückgegeben.
Informationen zu Startprozessen einbeziehen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, gibt die Aktion Informationen zu Startprozessen zurück.
Informationen zu laufenden Prozessen einbeziehen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, gibt die Aktion Informationen zu laufenden Prozessen zurück.
Informationen zu Programmen zur Nutzerunterstützung einbeziehen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, werden durch die Aktion Informationen zu Programmen zur Nutzerunterstützung zurückgegeben.
PowerShell-Verlaufsinformationen einschließen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, gibt die Aktion Informationen zum PowerShell-Verlauf zurück.
Maximale Anzahl zurückzugebender Elemente	Ganzzahl	50	Nein	Geben Sie an, wie viele Elemente zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Ergebnisse zurückgegeben.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
ILLNET_osName	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_machineType	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_host	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_loggedInUser	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_userProfiles	Wenn in JSON verfügbar (Host-Informationen)
ILLNET_operatingSystemType	Wenn in JSON verfügbar (Host-Informationen)

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn die Ausführung für mindestens einen Endpunkt erfolgreich war (is_success = true): „Successfully ran forensic scan on the following endpoints in Illusive Networks: {entity.identifier}“ (Forensische Analyse wurde auf den folgenden Endpunkten in Illusive Networks erfolgreich ausgeführt: {entity.identifier}) Wenn mindestens eine nicht erfolgreich ist: „Die Aktion konnte keine Informationen aus dem forensischen Scan auf den folgenden Endpunkten abrufen: {entity.identifier}“ Wenn kein Erfolg für alle: „An den angegebenen Endpunkten wurden keine forensischen Informationen gefunden.“ Asynchrone Nachricht: „Der forensische Scan wurde auf den folgenden Endpunkten gestartet: {entity identifier}. \n Die forensische Analyse der folgenden Endpunkte wurde abgeschlossen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler bei der Ausführung der Aktion ‚Forensischen Scan ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn keiner der „include…“-Parameter aktiviert ist: „Fehler beim Ausführen der Aktion ‚Forensic Scan ausführen‘. Grund: Sie müssen mindestens einen der Parameter „Include…“ aktivieren.	Allgemein
Informationen zum Host in der Tabelle „Fall-Repository“	Name: {entity.identifier} Es gibt nur zwei Spalten: „Schlüssel“ und „Wert“.	Entität
Case Wall Table Prefetch_Info	Name: „{entity.identifier}: Prefetch Files Information“ Spalten: Dateiname Letzte Ausführungszeit Änderungszeitpunkt der Datei Prefetch-Dateiname	Allgemein
Tabelle „Fall-Repository“ INSTALLED_PROGRAMS_INFO	Name: „{entity.identifier}: Add-Remove Programs Information“ (Informationen zum Hinzufügen/Entfernen von Programmen) Spalten: Anzeigename Dateiname	Allgemein
Tabelle „Fall-Repository“ STARTUP_PROCESSES	Name: „{entity.identifier}: Startup Processes“ Spalten: Name Befehl Standort Nutzer	Allgemein
Tabelle „Fall-Repository“ RUNNING_PROCESSES	Name: „{entity.identifier}: Running Processes“ Spalten: Nutzer Admin-Berechtigungen Befehl Prozess-ID Prozessname Beginn	Allgemein
Tabelle „Fall-Repository“ USER_ASSIST_INFO	Name: „{entity.identifier}: User-Assist Programs Information“ Spalten: Dateiname Nutzername Datum der letzten Verwendung	****
Tabelle „Fall-Repository“ POWER_SHELL_HISTORY	Name: „{entity.identifier}: Powershell History“ Spalten: Nutzername Befehl

Irreführende Artikel auflisten

Beschreibung

Verfügbare irreführende Elemente in Illusive Networks auflisten.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Irreführender Typ	DDL	Alle Mögliche Werte: Alle Nur Nutzer Nur Server	Ja	Geben Sie an, welche Art von irreführenden Elementen zurückgegeben werden soll.
Irreführender Status	DDL	Alle Mögliche Werte: Alle Nur genehmigt, Nur vorgeschlagen	Ja	Geben Sie an, welche Art von irreführenden Elementen basierend auf dem Status zurückgegeben werden soll.
Maximale Anzahl zurückzugebender Elemente	Ganzzahl	50	Nein	Geben Sie an, wie viele Elemente zurückgegeben werden sollen. Standard: 50. Wenn nichts angegeben ist, werden alle Elemente zurückgegeben.

Anzeigename des Parameters

Typ

Standardwert

Pflichtfeld

Beschreibung

Irreführender Typ

DDL

Alle

Mögliche Werte:

Alle

Nur Nutzer

Nur Server

Geben Sie an, welche Art von irreführenden Elementen zurückgegeben werden soll.

Irreführender Status

DDL

Alle

Mögliche Werte:

Alle

Nur genehmigt, Nur vorgeschlagen

Geben Sie an, welche Art von irreführenden Elementen basierend auf dem Status zurückgegeben werden soll.

Maximale Anzahl zurückzugebender Elemente

Ganzzahl

Nein

Geben Sie an, wie viele Elemente zurückgegeben werden sollen. Standard: 50. Wenn nichts angegeben ist, werden alle Elemente zurückgegeben.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: wenn 200 und Daten verfügbar sind (is_success = true): „Successfully returned available deceptive items from Illusive Networks“ (Verfügbare irreführende Elemente von Illusive Networks wurden erfolgreich zurückgegeben). Wenn 200 und keine Daten verfügbar sind (is_success=false) „Es wurden keine Daten zu betrügerischen Artikeln auf Grundlage der angegebenen Kriterien in Illusive Networks gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚Irreführende Artikel auflisten‘. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Name: „Deceptive Users“ Spalte: Nutzername Passwort Domain Richtlinien AD-Nutzer Aktiv Bundesland	Allgemein
Tabelle „Fall-Repository“	Name: „Deceptive Servers“ Spalte: Host Dienste Richtlinien AD-Server Bundesland	Allgemein

Täuschenden Nutzer hinzufügen

Beschreibung

Fügen Sie in Illusive Networks täuschende Nutzer hinzu.

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Nutzername	–	Ja	Geben Sie den Nutzernamen des neuen betrügerischen Nutzers an.
Passwort	–	Ja	Geben Sie das Passwort für den neuen betrügerischen Nutzer an.
DNS-Domain	–	Nein	Geben Sie den Domainnamen für den neuen betrügerischen Nutzer an.
Richtliniennamen	–	Nein	Geben Sie eine durch Kommas getrennte Liste der Richtlinien an, die auf den neuen betrügerischen Nutzer angewendet werden müssen. Wenn nichts angegeben ist, werden standardmäßig alle Richtlinien verwendet.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Erfolg (is_success=true) → Der irreführende Nutzer wurde in Illusive Networks hinzugefügt. Fall 1: User Already Exists (fail): Fehler beim Ausführen der Aktion „{action name}“. Grund: Der irreführende Nutzername „{username}“ ist bereits vorhanden. Fall 2: Statuscode 400 (Fehler): Fehler beim Ausführen der Aktion „{action name}“. Grund: {error message}. Fall 3: Allgemeiner Fehler (Fehler): Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Erfolg (is_success=true) → Der irreführende Nutzer wurde in Illusive Networks hinzugefügt.

Fall 1: User Already Exists (fail): Fehler beim Ausführen der Aktion „{action name}“. Grund: Der irreführende Nutzername „{username}“ ist bereits vorhanden.

Fall 2: Statuscode 400 (Fehler): Fehler beim Ausführen der Aktion „{action name}“. Grund: {error message}.

Fall 3: Allgemeiner Fehler (Fehler): Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.

Allgemein

Täuschenden Nutzer entfernen

Beschreibung

Entfernen Sie den betrügerischen Nutzer aus Illusive Networks.

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Nutzername	–	Ja	Geben Sie den Nutzernamen des irreführenden Nutzers an, der entfernt werden soll.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Erfolg → Der betrügerische Nutzer wurde in Illusive Networks entfernt. Fall 1: Nutzer nicht vorhanden (is_success=false): Der betrügerische Nutzer „{username}“ konnte nicht entfernt werden. Grund: Der irreführende Nutzer „{username}“ ist nicht vorhanden. Fall 2: Allgemeiner Fehler (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Erfolg → Der betrügerische Nutzer wurde in Illusive Networks entfernt.

Fall 1: Nutzer nicht vorhanden (is_success=false): Der betrügerische Nutzer „{username}“ konnte nicht entfernt werden. Grund: Der irreführende Nutzer „{username}“ ist nicht vorhanden.

Fall 2: Allgemeiner Fehler (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.

Allgemein

Täuschenden Server hinzufügen

Beschreibung

Täuschende Server in Illusive Networks hinzufügen

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Servername	–	Ja	Geben Sie den Namen für den neuen betrügerischen Server an.
Diensttypen	DB	Ja	Geben Sie eine durch Kommas getrennte Liste von Diensttypen für den neuen betrügerischen Server an.
Richtliniennamen		Nein	Geben Sie eine durch Kommas getrennte Liste der Richtlinien an, die auf den neuen betrügerischen Server angewendet werden müssen. Wenn nichts angegeben ist, werden standardmäßig alle Richtlinien verwendet.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Erfolg (is_success=true) → Der irreführende Server wurde in Illusive Networks hinzugefügt. Fall 1: Server ist bereits vorhanden (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: Der irreführende Server „{server name}“ ist bereits vorhanden. Fall 2: Status 400 (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error message}. Fall 3: Allgemeiner Fehler – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Erfolg (is_success=true) → Der irreführende Server wurde in Illusive Networks hinzugefügt.

Fall 1: Server ist bereits vorhanden (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: Der irreführende Server „{server name}“ ist bereits vorhanden.

Fall 2: Status 400 (Fehler) – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error message}.

Fall 3: Allgemeiner Fehler – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.

Allgemein

Täuschenden Server entfernen

Beschreibung

Entfernen Sie den irreführenden Server von Illusive Networks.

Parameter

Name	Standardwert	Pflichtfeld	Beschreibung
Servername	–	Ja	Geben Sie den Namen des betrügerischen Servers an, der entfernt werden muss.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Erfolg: Der irreführende Server wurde in Illusive Networks entfernt. Fall 1: Server nicht vorhanden (is_success=false) – Die irreführende Serveraktion „{Servername}“ konnte nicht entfernt werden. Grund: Der irreführende Server „{server name}“ ist nicht vorhanden. Fall 2: Allgemeiner Fehler – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Erfolg: Der irreführende Server wurde in Illusive Networks entfernt.

Fall 1: Server nicht vorhanden (is_success=false) – Die irreführende Serveraktion „{Servername}“ konnte nicht entfernt werden. Grund: Der irreführende Server „{server name}“ ist nicht vorhanden.

Fall 2: Allgemeiner Fehler – Fehler beim Ausführen der Aktion „{action name}“. Grund: {error traceback}.

Allgemein

Connectors

Illusive Networks – Incidents Connector

Beschreibung

Vorfälle mit zugehöriger forensischer Zeitachse von Illusive Networks abrufen.

Illusive Networks – Incidents Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ>	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	details_serviceType	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	http://x.x.x.x	Ja	API-Stammverzeichnis der Illusive Networks-Instanz.
API-Schlüssel	String	–	Ja	API-Schlüssel von Illusive Networks. Hinweis: Der String „Basic“ darf nicht Teil des Werts sein.
Schweregrad der Benachrichtigung	String	Mittel	Ja	Schweregrad der Google SecOps-Benachrichtigung, die auf Grundlage der Vorfälle von Illusive Networks erstellt wird. Mögliche Werte: Informationell Niedrig Mittel Hoch Kritisch
Maximale Stunden zurück	Ganzzahl	1	Nein	Anzahl der Stunden, ab denen Vorfälle abgerufen werden sollen.
Maximale Anzahl abzurufender Vorfälle	Ganzzahl	10	Nein	Die Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen. Der Höchstwert liegt bei 1.000.
Zulassungsliste als Sperrliste verwenden	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Illusive Networks-Server gültig ist.
CA-Zertifikatsdatei	String	–	Nein	Base64-codierte CA-Zertifikatsdatei.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten