Esta página se ha traducido con Cloud Translation API.

Illusive Networks

Versión de la integración: 3.0

Casos prácticos de productos

Realizar acciones activas: ejecutar análisis forenses, enriquecer entidades, añadir o eliminar usuarios o servidores de engaño.
Ingiere incidentes en Simplify.

Configurar la integración de Illusive Networks en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz de la API	Cadena	http://x.x.x.x	Sí	Raíz de la API de la instancia de Illusive Networks.
Clave de API	Contraseña	N/A	Sí	Clave de API de Illusive Networks. Nota: La cadena "Basic" no debe formar parte del valor.
Archivo de certificado de AC	Cadena		Falso	Archivo de certificado de CA codificado en Base64.
Verificar SSL	Casilla	Marcada	Sí	Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de Illusive Networks sea válido.

Cómo generar una clave de API

Ve a la sección "Settings" (Configuración) de la consola de Illusive Networks.
En la sección "General", desplázate hacia abajo hasta "Claves de API".
Pulsa el botón "Añadir clave".
Se recomienda añadir todos los permisos a la clave de API.
De la cadena proporcionada, debes copiar todo excepto la cadena "Basic".
Introduce ese valor en el parámetro "API Key" de la integración de Google SecOps.

Cómo actualizar el límite de frecuencia

Hay un límite de frecuencia para determinados endpoints de Illusive Networks. En el caso del conector, es fundamental que el límite sea lo suficientemente alto para que se ingieran todos los incidentes. Para actualizar el límite de frecuencia, debes iniciar sesión en el servidor de gestión y acceder a: C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt

En el archivo, busca las siguientes propiedades:

api.incident.rate.limit.maximum.num.requests
api.rate.limit.windows.duration.minutes

Se recomienda que la configuración sea la siguiente:

api.incident.rate.limit.maximum.num.requests=100
api.rate.limit.windows.duration.minutes=1
api.monitoring.rate.limit.maximum.num.requests = 100
api.forensics.rate.limit.maximum.num.requests = 100

Acciones

Ping

Descripción

Prueba la conectividad con Illusive Networks con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Si se realiza correctamente: "Successfully connected to the Illusive Networks server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Illusive Networks con los parámetros de conexión proporcionados"). No se ha podido conectar con el servidor de Illusive Networks. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Si se realiza correctamente: "Successfully connected to the Illusive Networks server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Illusive Networks con los parámetros de conexión proporcionados").

No se ha podido conectar con el servidor de Illusive Networks. Error: {0}".format(exception.stacktrace)

General

Enriquecer entidades

Descripción

Enriquece las entidades con información de Illusive Networks. Entidades admitidas: Nombre de host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
N/A

Fecha de ejecución

Esta acción se ejecuta en la entidad Host.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: cuándo se aplica
ILLNET_machineName	Cuando esté disponible en JSON (información del host)
ILLNET_isHealthy	Cuando esté disponible en JSON (información del host)
ILLNET_host	Cuando esté disponible en JSON (información del host)
ILLNET_distinguishedName	Cuando esté disponible en JSON (información del host)
ILLNET_sourceDiscoveryName	Cuando esté disponible en JSON (información del host)
ILLNET_policyName	Cuando esté disponible en JSON (información del host)
ILLNET_operatingSystemName	Cuando esté disponible en JSON (información del host)
ILLNET_agentVersion	Cuando esté disponible en JSON (información del host)
ILLNET_loggedInUserName	Cuando esté disponible en JSON (información del host)
ILLNET_machineExecutionUnifiedStatus	Cuando esté disponible en JSON (información del host)
ILLNET_bitness	Cuando esté disponible en JSON (información del host)

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un libro de jugadas: si hay datos disponibles para al menos una entidad (is_success = true): "Se han enriquecido correctamente las siguientes entidades con Illusive Networks: \n {entity.identifier}". Si los datos no están disponibles en al menos un caso (is_success = true): "Action wasn't able to enrich the following entities using Illusive Networks: \n {entity.identifier}". ("No se ha podido enriquecer la siguiente entidad con Illusive Networks: \n {entity.identifier}"). Si los datos no están disponibles para todos (is_success = false): "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) Si el código de estado es 429: "Error al ejecutar la acción "Enriquecer entidades". Motivo: error de límite de frecuencia. Consulta la documentación sobre cómo aumentar el límite de frecuencia".	General
Tabla del panel de casos	Nombre: {entity.identifier} Solo habrá dos columnas: clave y valor.	Entidad

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
si hay datos disponibles para al menos una entidad (is_success = true): "Se han enriquecido correctamente las siguientes entidades con Illusive Networks: \n {entity.identifier}".

Si los datos no están disponibles en al menos un caso (is_success = true): "Action wasn't able to enrich the following entities using Illusive Networks: \n {entity.identifier}".
("No se ha podido enriquecer la siguiente entidad con Illusive Networks: \n {entity.identifier}").

Si los datos no están disponibles para todos (is_success = false): "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el código de estado es 429: "Error al ejecutar la acción "Enriquecer entidades". Motivo: error de límite de frecuencia. Consulta la documentación sobre cómo aumentar el límite de frecuencia".

General

Tabla del panel de casos

Nombre: {entity.identifier}

Solo habrá dos columnas: clave y valor.

Entidad

Ejecutar análisis forense

Descripción

Ejecuta un análisis forense en el endpoint de Illusive Networks. Funciona con entidades de IP y de nombre de host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Incluir información del sistema	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información del sistema.
Incluir información de archivos de obtención previa	Casilla	Marcada	Sí	Si está habilitada, la acción devolverá información sobre los archivos de obtención previa.
Incluir información de Agregar o quitar programas	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información sobre los programas que se pueden añadir o quitar.
Incluir información sobre los procesos de inicio	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información sobre los procesos de inicio.
Incluir información sobre los procesos en ejecución	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información sobre los procesos en ejecución.
Incluir información sobre programas de asistencia al usuario	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información sobre los programas de asistencia al usuario.
Incluir información del historial de PowerShell	Casilla	Marcada	Sí	Si se habilita, la acción devolverá información sobre el historial de PowerShell.
Número máximo de elementos que se devolverán	Entero	50	No	Especifica cuántos elementos quieres que se devuelvan. Si no se proporciona nada, la acción devolverá todo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: cuándo se aplica
ILLNET_osName	Cuando esté disponible en JSON (información del host)
ILLNET_machineType	Cuando esté disponible en JSON (información del host)
ILLNET_host	Cuando esté disponible en JSON (información del host)
ILLNET_loggedInUser	Cuando esté disponible en JSON (información del host)
ILLNET_userProfiles	Cuando esté disponible en JSON (información del host)
ILLNET_operatingSystemType	Cuando esté disponible en JSON (información del host)

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un libro de jugadas: si se ejecuta correctamente en al menos un endpoint (is_success = true): "Successfully ran forensic scan on the following endpoints in Illusive Networks: {entity.identifier}" Si no se ha completado correctamente al menos una: "No se ha podido obtener información de la comprobación forense de los siguientes endpoints: {entity.identifier}". Si no se ha encontrado información forense en ninguno de los endpoints proporcionados: "No forensic information was found on the provided endpoints." (No se ha encontrado información forense en los endpoints proporcionados). Mensaje asíncrono: "Se ha iniciado el análisis forense en los siguientes endpoints: {entity identifier}. \n Se ha completado el análisis forense en los siguientes endpoints." La acción debería fallar y detener la ejecución de un libro de jugadas: si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Ejecutar análisis forense". Motivo: {0}''.format(error.Stacktrace) Si ninguno de los parámetros "include ..." está habilitado: "Error al ejecutar la acción "Ejecutar análisis forense". Motivo: debe habilitar al menos uno de los parámetros "Incluir ..."	General
Información de host de la tabla del panel de casos	Nombre: {entity.identifier} Solo habrá dos columnas: clave y valor.	Entidad
Case Wall Table Prefetch_Info	Nombre: "{entity.identifier}: Prefetch Files Information" Columnas: Nombre del archivo Hora de la última ejecución Hora de modificación del archivo Nombre de archivo de la obtención previa	General
Tabla del panel de casos INSTALLED_PROGRAMS_INFO	Nombre: "{entity.identifier}: Add-Remove Programs Information" Columnas: Nombre visible Nombre del archivo	General
Tabla del panel de casos STARTUP_PROCESSES	Nombre: "{entity.identifier}: Startup Processes" Columnas: Nombre Comando Ubicación Usuario	General
Tabla del panel de casos RUNNING_PROCESSES	Nombre: "{entity.identifier}: Running Processes" Columnas: Usuario Privilegios de administrador Comando ID de proceso Nombre de proceso Hora de inicio	General
Tabla del panel de casos USER_ASSIST_INFO	Nombre: "{entity.identifier}: User-Assist Programs Information" Columnas: Nombre del archivo Nombre de usuario Fecha del último uso	****
Tabla del panel de casos POWER_SHELL_HISTORY	Nombre: "{entity.identifier}: Historial de PowerShell" Columnas: Nombre de usuario Comando

List Deceptive Items

Descripción

Lista de elementos engañosos disponibles en Illusive Networks.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Deceptive Type	DDL	Todo Valores posibles: Todo Solo usuarios Solo servidores	Sí	Especifica qué tipo de elementos engañosos se deben devolver.
Estado engañoso	DDL	Todo Valores posibles: Todo Solo aprobados, Solo sugeridos	Sí	Especifica qué tipo de elementos engañosos se deben devolver en función del estado.
Número máximo de elementos que se devolverán	Entero	50	No	Especifica cuántos elementos quieres que se devuelvan. Valor predeterminado: 50. Si no se especifica nada, la acción devolverá todos los elementos.

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Deceptive Type

DDL

Todo

Valores posibles:

Todo

Solo usuarios

Solo servidores

Sí

Especifica qué tipo de elementos engañosos se deben devolver.

Estado engañoso

DDL

Todo

Valores posibles:

Todo

Solo aprobados, Solo sugeridos

Sí

Especifica qué tipo de elementos engañosos se deben devolver en función del estado.

Número máximo de elementos que se devolverán

Entero

Especifica cuántos elementos quieres que se devuelvan. Valor predeterminado: 50. Si no se especifica nada, la acción devolverá todos los elementos.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un playbook: si se devuelve el código 200 y hay datos disponibles (is_success = true): "Successfully returned available deceptive items from Illusive Networks" (Se han devuelto correctamente los elementos engañosos disponibles de Illusive Networks). Si se devuelve el código 200 y no hay datos disponibles (is_success=false), se mostrará el mensaje "No se han encontrado datos sobre elementos engañosos según los criterios proporcionados en Illusive Networks". La acción debería fallar y detener la ejecución de un playbook: si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "List Deceptive Items". Motivo: {0}''.format(error.Stacktrace)	General
Tabla del panel de casos	Nombre: "Usuarios engañosos" Columna: Nombre de usuario Contraseña Dominio Políticas Usuario de AD Activo Estado	General
Tabla del panel de casos	Nombre: "Servidores engañosos" Columna: Host Servicios Políticas Servidor de anuncios Estado	General

Añadir usuario engañoso

Descripción

Añade usuarios engañosos en Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Es obligatorio	Descripción
Nombre de usuario	N/A	Sí	Especifica el nombre de usuario del nuevo usuario engañoso.
Contraseña	N/A	Sí	Especifica la contraseña del nuevo usuario engañoso.
Dominio DNS	N/A	No	Especifica el nombre de dominio del nuevo usuario engañoso.
Nombres de las políticas	N/A	No	Especifica una lista separada por comas de las políticas que se deben aplicar al nuevo usuario engañoso. Si no se proporciona nada, la acción usará de forma predeterminada todas las políticas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Correcto (is_success=true) → Se ha añadido correctamente un usuario engañoso en Illusive Networks. Caso 1: User Already Exists (fail) - Error al ejecutar la acción "{action name}". Motivo: ya existe un usuario engañoso con el nombre "{username}". Caso 2. Código de estado 400 (error): no se ha podido ejecutar la acción "{action name}". Motivo: {error message}. Caso 3. Error general (falla): no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Correcto (is_success=true) → Se ha añadido correctamente un usuario engañoso en Illusive Networks.

Caso 1: User Already Exists (fail) - Error al ejecutar la acción "{action name}". Motivo: ya existe un usuario engañoso con el nombre "{username}".

Caso 2. Código de estado 400 (error): no se ha podido ejecutar la acción "{action name}". Motivo: {error message}.

Caso 3. Error general (falla): no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Quitar usuario engañoso

Descripción

Eliminar usuarios engañosos de Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Es obligatorio	Descripción
Nombre de usuario	N/A	Sí	Especifica el nombre de usuario del usuario engañoso que debe eliminarse.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Éxito → Se ha eliminado correctamente al usuario engañoso en Illusive Networks. Caso 1: El usuario no existe (is_success=false): no se ha podido eliminar al usuario engañoso "{username}". Motivo: el usuario engañoso "{username}" no existe. Caso 2. Error general (falla): error al ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Éxito → Se ha eliminado correctamente al usuario engañoso en Illusive Networks.

Caso 1: El usuario no existe (is_success=false): no se ha podido eliminar al usuario engañoso "{username}". Motivo: el usuario engañoso "{username}" no existe.

Caso 2. Error general (falla): error al ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Añadir servidor engañoso

Descripción

Añade servidores engañosos en Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Es obligatorio	Descripción
Nombre del servidor	N/A	Sí	Especifica el nombre del nuevo servidor engañoso.
Tipos de servicio	DB	Sí	Especifica una lista separada por comas de los tipos de servicio del nuevo servidor engañoso.
Nombres de las políticas		No	Especifica una lista separada por comas de las políticas que se deben aplicar al nuevo servidor engañoso. Si no se proporciona nada, la acción usará de forma predeterminada todas las políticas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Éxito (is_success=true) → Se ha añadido correctamente un servidor engañoso en redes ilusorias. Caso 1: Server Already Exists (fail) - Error al ejecutar la acción "{action name}". Motivo: ya existe un servidor engañoso con el nombre "{server name}". Caso 2. Estado 400 (error): no se ha podido ejecutar la acción "{action name}". Motivo: {error message}. Caso 3. Error general: no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Éxito (is_success=true) → Se ha añadido correctamente un servidor engañoso en redes ilusorias.

Caso 1: Server Already Exists (fail) - Error al ejecutar la acción "{action name}". Motivo: ya existe un servidor engañoso con el nombre "{server name}".

Caso 2. Estado 400 (error): no se ha podido ejecutar la acción "{action name}". Motivo: {error message}.

Caso 3. Error general: no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Eliminar servidor engañoso

Descripción

Elimina el servidor engañoso de Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Es obligatorio	Descripción
Nombre del servidor	N/A	Sí	Especifica el nombre del servidor engañoso que quieras quitar.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Éxito → Se ha eliminado correctamente el servidor engañoso de las redes de Illusive. Caso 1: El servidor no existe (is_success=false): no se ha podido quitar el servidor engañoso "{server name}". Motivo: el servidor engañoso "{server name}" no existe. Caso 2. Error general: no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Éxito → Se ha eliminado correctamente el servidor engañoso de las redes de Illusive.

Caso 1: El servidor no existe (is_success=false): no se ha podido quitar el servidor engañoso "{server name}". Motivo: el servidor engañoso "{server name}" no existe.

Caso 2. Error general: no se ha podido ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Conectores

Conector de incidentes de Illusive Networks

Descripción

Extrae incidentes con la cronología forense relacionada de Illusive Networks.

Configurar el conector de incidentes de Illusive Networks en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo>	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento	Cadena	details_serviceType	Sí	Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno	Cadena	.*	No	Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	180	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	http://x.x.x.x	Sí	Raíz de la API de la instancia de Illusive Networks.
Clave de API	Cadena	N/A	Sí	Clave de API de Illusive Networks. Nota: La cadena "Basic" no debe formar parte del valor.
Gravedad de la alerta	Cadena	Medio	Sí	Gravedad de la alerta de Google SecOps que se creará en función de los incidentes de Illusive Networks. Posibles valores: Informativa Bajo Medio Alta Crítica
Número máximo de horas hacia atrás	Entero	1	No	Número de horas desde las que se deben obtener los incidentes.
Número máximo de incidentes que se van a obtener	Entero	10	No	Número de incidentes que se procesan por cada iteración del conector. El valor máximo es 1000.
Usar la lista blanca como lista negra	Casilla	Marcada	Sí	Si está habilitada, la lista de permitidos se usará como lista de denegados.
Verificar SSL	Casilla	Desmarcada	Sí	Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de Illusive Networks sea válido.
Archivo de certificado de AC	Cadena	N/A	No	Archivo de certificado de CA codificado en Base64.
Dirección del servidor proxy	Cadena	N/A	No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena	N/A	No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña	N/A	No	La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxy

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.