Se usó la API de Cloud Translation para traducir esta página.

Illusive Networks

Versión de la integración: 3.0

Casos de uso del producto

Realizar acciones activas: Ejecutar análisis forenses, enriquecer entidades, agregar o quitar usuarios o servidores de engaño
Transfiere incidentes a Simplify.

Configura la integración de Illusive Networks en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Raíz de la API	String	http://x.x.x.x	Sí	Es la raíz de la API de la instancia de Illusive Networks.
Clave de API	Contraseña	N/A	Sí	Es la clave de API de Illusive Networks. Nota: La cadena "Basic" no debe formar parte del valor.
Archivo del certificado de CA	String		Falso	Archivo de certificado de CA codificado en Base64.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Illusive Networks sea válido.

Cómo generar una clave de API

Navega a la sección "Configuración" en la consola de Illusive Networks.
En la sección "General", desplázate hacia abajo hasta la parte de "Claves de API".
Presiona el botón “Agregar clave”.
Se recomienda agregar todos los permisos a la clave de API.
De la cadena proporcionada, debes copiar todo, excepto la cadena "Basic".
Coloca ese valor en el parámetro "Clave de API" de la integración de Google SecOps.

Cómo actualizar el límite de frecuencia

Hay un límite de frecuencia para ciertos extremos en Illusive Networks. Para el conector, es fundamental que el límite sea lo suficientemente alto para que se hayan transferido todos los incidentes. Para actualizar el límite de frecuencia, debes acceder al servidor de administración y navegar a C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt.

En el archivo, busca las siguientes propiedades:

api.incident.rate.limit.maximum.num.requests
api.rate.limit.windows.duration.minutes

Se recomienda que la configuración sea la siguiente:

api.incident.rate.limit.maximum.num.requests=100
api.rate.limit.windows.duration.minutes=1
api.monitoring.rate.limit.maximum.num.requests = 100
api.forensics.rate.limit.maximum.num.requests = 100

Acciones

Ping

Descripción

Prueba la conectividad con Illusive Networks con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Si la conexión se realiza correctamente, se mostrará el siguiente mensaje: "Successfully connected to the Illusive Networks server with the provided connection parameters!". No se pudo establecer la conexión: (falla). No se pudo establecer la conexión con el servidor de Illusive Networks. Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Si la conexión se realiza correctamente, se mostrará el siguiente mensaje: "Successfully connected to the Illusive Networks server with the provided connection parameters!".

No se pudo establecer la conexión: (falla). No se pudo establecer la conexión con el servidor de Illusive Networks. Error is {0}".format(exception.stacktrace)

General

Enriquece entidades

Descripción

Enriquece las entidades con información de Illusive Networks. Entidades admitidas: Nombre de host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
N/A

Ejecutar en

Esta acción se ejecuta en la entidad Host.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
ILLNET_machineName	Cuando está disponible en JSON (información del host)
ILLNET_isHealthy	Cuando está disponible en JSON (información del host)
ILLNET_host	Cuando está disponible en JSON (información del host)
ILLNET_distinguishedName	Cuando está disponible en JSON (información del host)
ILLNET_sourceDiscoveryName	Cuando está disponible en JSON (información del host)
ILLNET_policyName	Cuando está disponible en JSON (información del host)
ILLNET_operatingSystemName	Cuando está disponible en JSON (información del host)
ILLNET_agentVersion	Cuando está disponible en JSON (información del host)
ILLNET_loggedInUserName	Cuando está disponible en JSON (información del host)
ILLNET_machineExecutionUnifiedStatus	Cuando está disponible en JSON (información del host)
ILLNET_bitness	Cuando está disponible en JSON (información del host)

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para al menos una entidad (is_success = true): "Se enriquecieron correctamente las siguientes entidades con Illusive Networks: \n {entity.identifier}". Si los datos no están disponibles para al menos una (is_success = true): "No se pudieron enriquecer las siguientes entidades con Illusive Networks: \n {entity.identifier}". if data not available for all (is_success = false): "No se enriqueció ninguna entidad". La acción debe fallar y detener la ejecución de un playbook: si se produce un error irrecuperable, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) Si el código de estado es 429: "Error al ejecutar la acción "Enrich Entities". Motivo: Error de límite de frecuencia. Consulta la documentación para obtener información sobre cómo aumentar el límite de frecuencia".	General
Tabla del muro de casos	Nombre: {entity.identifier} Solo habrá 2 columnas: Clave y Valor.	Entidad

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:
Si hay datos disponibles para al menos una entidad (is_success = true): "Se enriquecieron correctamente las siguientes entidades con Illusive Networks: \n {entity.identifier}".

Si los datos no están disponibles para al menos una (is_success = true): "No se pudieron enriquecer las siguientes entidades con Illusive Networks: \n {entity.identifier}".

if data not available for all (is_success = false): "No se enriqueció ninguna entidad".

La acción debe fallar y detener la ejecución de un playbook:
si se produce un error irrecuperable, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace)

Si el código de estado es 429: "Error al ejecutar la acción "Enrich Entities". Motivo: Error de límite de frecuencia. Consulta la documentación para obtener información sobre cómo aumentar el límite de frecuencia".

General

Tabla del muro de casos

Nombre: {entity.identifier}

Solo habrá 2 columnas: Clave y Valor.

Entidad

Ejecutar análisis forense

Descripción

Ejecuta un análisis forense en el endpoint de Illusive Networks. Funciona con entidades de IP y nombre de host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Incluir información del sistema	Casilla de verificación	Marcado	Sí	Si está habilitada, la acción devolverá información del sistema.
Incluir información de archivos de precarga	Casilla de verificación	Marcado	Sí	Si se habilita, la acción devolverá información sobre los archivos precargados.
Incluir información de Agregar o quitar programas	Casilla de verificación	Marcado	Sí	Si está habilitado, la acción devolverá información sobre los programas de agregar o quitar.
Incluye información sobre los procesos de inicio	Casilla de verificación	Marcado	Sí	Si está habilitado, la acción devolverá información sobre los procesos de inicio.
Incluye información sobre los procesos en ejecución	Casilla de verificación	Marcado	Sí	Si está habilitada, la acción devolverá información sobre los procesos en ejecución.
Incluye información sobre los programas de asistencia al usuario	Casilla de verificación	Marcado	Sí	Si se habilita, la acción devolverá información sobre los programas de asistencia al usuario.
Incluye información del historial de PowerShell	Casilla de verificación	Marcado	Sí	Si está habilitada, la acción devolverá información sobre el historial de PowerShell.
Max Items To Return	Número entero	50	No	Especifica la cantidad de elementos que se devolverán. Si no se proporciona nada, la acción devolverá todo.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
ILLNET_osName	Cuando está disponible en JSON (información del host)
ILLNET_machineType	Cuando está disponible en JSON (información del host)
ILLNET_host	Cuando está disponible en JSON (información del host)
ILLNET_loggedInUser	Cuando está disponible en JSON (información del host)
ILLNET_userProfiles	Cuando está disponible en JSON (información del host)
ILLNET_operatingSystemType	Cuando está disponible en JSON (información del host)

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se ejecutó correctamente para al menos un extremo (is_success = true): "Se ejecutó correctamente el análisis forense en los siguientes extremos de Illusive Networks: {entity.identifier}" Si no se completó correctamente al menos una: "Action wasn't able to get any information from forensic scan on the following endpoints: {entity.identifier}" Si no se detecta ningún éxito: "No se encontró información forense en los extremos proporcionados". Mensaje asíncrono: "Se inició el análisis forense en los siguientes extremos: {identificador de entidad}. \n Se completó el análisis forense en los siguientes extremos". La acción debe fallar y detener la ejecución de un playbook: si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "Ejecutar análisis forense". Motivo: {0}''.format(error.Stacktrace) Si no se habilita ninguno de los parámetros "include…": "Error al ejecutar la acción "Ejecutar análisis forense". Motivo: Debes habilitar al menos uno de los parámetros "Incluir…".	General
Información del host de la tabla del muro de casos	Nombre: {entity.identifier} Solo habrá 2 columnas: Clave y Valor.	Entidad
Case Wall Table Prefetch_Info	Nombre: "{entity.identifier}: Información de archivos de recuperación previa" Columnas: Nombre del archivo Hora de la última ejecución Hora de modificación del archivo Nombre del archivo de recuperación previa	General
Tabla del muro de casos INSTALLED_PROGRAMS_INFO	Nombre: "{entity.identifier}: Add-Remove Programs Information" Columnas: Nombre visible Nombre del archivo	General
Tabla del muro de casos STARTUP_PROCESSES	Nombre: "{entity.identifier}: Procesos de inicio" Columnas: Nombre Comando Ubicación Usuario	General
Tabla del muro de casos RUNNING_PROCESSES	Nombre: "{entity.identifier}: Procesos en ejecución" Columnas: Usuario Privilegios de administrador Comando ID de proceso Nombre del proceso Hora de inicio	General
Tabla del muro de casos USER_ASSIST_INFO	Nombre: "{entity.identifier}: Información de los programas de asistencia al usuario" Columnas: Nombre del archivo Nombre de usuario Fecha del último uso	****
Tabla del muro de casos POWER_SHELL_HISTORY	Nombre: "{entity.identifier}: Historial de PowerShell" Columnas: Nombre de usuario Comando

Enumera los elementos engañosos

Descripción

Enumera los elementos engañosos disponibles en Illusive Networks.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Tipo engañoso	DDL	Todos Valores posibles: Todos Solo usuarios Solo servidores	Sí	Especifica qué tipo de artículos engañosos se deben devolver.
Deceptive State	DDL	Todos Valores posibles: Todos Solo aprobados, solo sugeridos	Sí	Especifica qué tipo de artículos engañosos se deben devolver según el estado.
Cantidad máxima de elementos que se devolverán	Número entero	50	No	Especifica la cantidad de elementos que se devolverán. El valor predeterminado es 50. Si no se especifica nada, la acción devolverá todos los elementos.

Nombre visible del parámetro

Tipo

Valor predeterminado

Is Mandatory

Descripción

Tipo engañoso

DDL

Todos

Valores posibles:

Todos

Solo usuarios

Solo servidores

Sí

Especifica qué tipo de artículos engañosos se deben devolver.

Deceptive State

DDL

Todos

Valores posibles:

Todos

Solo aprobados, solo sugeridos

Sí

Especifica qué tipo de artículos engañosos se deben devolver según el estado.

Cantidad máxima de elementos que se devolverán

Número entero

Especifica la cantidad de elementos que se devolverán. El valor predeterminado es 50. Si no se especifica nada, la acción devolverá todos los elementos.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un playbook: si es 200 y hay datos disponibles (is_success = true): "Successfully returned available deceptive items from Illusive Networks". Si es 200 y no hay datos disponibles (is_success=false) "No se encontraron datos sobre artículos engañosos según los criterios proporcionados en Illusive Networks". La acción debe fallar y detener la ejecución de un playbook: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "List Deceptive Items". Reason: {0}''.format(error.Stacktrace)	General
Tabla del muro de casos	Nombre: "Usuarios engañosos" Columna: Nombre de usuario Contraseña Dominio Políticas Usuario de AD Activa Estado	General
Tabla del muro de casos	Nombre: "Servidores engañosos" Columna: Host Servicios Políticas Servidor de AD Estado	General

Agregar usuario engañoso

Descripción

Agrega usuarios engañosos en Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Is Mandatory	Descripción
Nombre de usuario	N/A	Sí	Especifica el nombre de usuario del nuevo usuario engañoso.
Contraseña	N/A	Sí	Especifica la contraseña para el nuevo usuario engañoso.
Dominio de DNS	N/A	No	Especifica el nombre de dominio del usuario engañoso nuevo.
Nombres de políticas	N/A	No	Especifica una lista separada por comas de las políticas que se deben aplicar al nuevo usuario engañoso. Si no se proporciona nada, la acción usará de forma predeterminada todas las políticas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Success (is_success=true) → Se agregó correctamente el usuario engañoso en las redes ilusorias. Caso 1. User Already Exists (falla): Error al ejecutar la acción "{nombre de la acción}". Motivo: Ya existe el usuario engañoso "{username}". Caso 2: Código de estado 400 (falla): Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {mensaje de error}. Caso 3: Error general (falla): Se produjo un error al ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Success (is_success=true) → Se agregó correctamente el usuario engañoso en las redes ilusorias.

Caso 1. User Already Exists (falla): Error al ejecutar la acción "{nombre de la acción}". Motivo: Ya existe el usuario engañoso "{username}".

Caso 2: Código de estado 400 (falla): Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {mensaje de error}.

Caso 3: Error general (falla): Se produjo un error al ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Quitar usuario engañoso

Descripción

Quita al usuario engañoso de Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Is Mandatory	Descripción
Nombre de usuario	N/A	Sí	Especifica el nombre de usuario del usuario engañoso que se debe quitar.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Éxito → Se quitó correctamente el usuario engañoso en las redes ilusorias. Caso 1. El usuario no existe (is_success=false): No se pudo quitar al usuario engañoso “{username}”. Motivo: No existe el usuario engañoso "{username}". Caso 2: Error general (falla): Se produjo un error al ejecutar la acción "{action name}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Éxito → Se quitó correctamente el usuario engañoso en las redes ilusorias.

Caso 1. El usuario no existe (is_success=false): No se pudo quitar al usuario engañoso “{username}”. Motivo: No existe el usuario engañoso "{username}".

Caso 2: Error general (falla): Se produjo un error al ejecutar la acción "{action name}". Motivo: {error traceback}.

General

Agregar servidor engañoso

Descripción

Agrega servidores engañosos en Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Is Mandatory	Descripción
Nombre del servidor	N/A	Sí	Especifica el nombre del nuevo servidor engañoso.
Tipos de objetos Service	BD	Sí	Especifica una lista separada por comas de los tipos de servicio para el nuevo servidor engañoso.
Nombres de políticas		No	Especifica una lista separada por comas de las políticas que se deben aplicar al nuevo servidor engañoso. Si no se proporciona nada, la acción usará de forma predeterminada todas las políticas.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Success (is_success=true) → Se agregó correctamente un servidor engañoso en redes ilusorias. Caso 1. Server Already Exists (fail): Se produjo un error al ejecutar la acción "{action name}". Motivo: Ya existe el servidor engañoso "{server name}". Caso 2: Estado 400 (falla): Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {mensaje de error}. Caso 3: Error general: Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Success (is_success=true) → Se agregó correctamente un servidor engañoso en redes ilusorias.

Caso 1. Server Already Exists (fail): Se produjo un error al ejecutar la acción "{action name}". Motivo: Ya existe el servidor engañoso "{server name}".

Caso 2: Estado 400 (falla): Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {mensaje de error}.

Caso 3: Error general: Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {error traceback}.

General

Cómo quitar un servidor engañoso

Descripción

Quita el servidor engañoso de Illusive Networks.

Parámetros

Nombre	Valor predeterminado	Is Mandatory	Descripción
Nombre del servidor	N/A	Sí	Especifica el nombre del servidor engañoso que se debe quitar.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	Éxito → Se quitó correctamente el servidor engañoso en las redes ilusorias. Caso 1. El servidor no existe (is_success=false): No se pudo quitar el servidor engañoso “{server name}”. Motivo: No existe el servidor engañoso "{nombre del servidor}". Caso 2: Error general: Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {error traceback}.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

Éxito → Se quitó correctamente el servidor engañoso en las redes ilusorias.

Caso 1. El servidor no existe (is_success=false): No se pudo quitar el servidor engañoso “{server name}”. Motivo: No existe el servidor engañoso "{nombre del servidor}".

Caso 2: Error general: Se produjo un error al ejecutar la acción "{nombre de la acción}". Motivo: {error traceback}.

General

Conectores

Conector de incidentes de Illusive Networks

Descripción

Extrae incidentes con la línea de tiempo forense relacionada de Illusive Networks.

Configura el conector de incidentes de Illusive Networks en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo>	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	details_serviceType	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	180	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	http://x.x.x.x	Sí	Es la raíz de la API de la instancia de Illusive Networks.
Clave de API	String	N/A	Sí	Es la clave de API de Illusive Networks. Nota: La cadena "Basic" no debe formar parte del valor.
Gravedad de la alerta	String	Medio	Sí	Es la gravedad de la alerta de Google SecOps que se creará en función de los incidentes de Illusive Networks. Valores posibles: Informativo Baja Medio Alta Crítico
Horas máximas hacia atrás	Número entero	1	No	Cantidad de horas desde las que se recuperan los incidentes.
Cantidad máxima de incidentes para recuperar	Número entero	10	No	Cantidad de incidentes que se procesarán por iteración del conector. El máximo es 1,000.
Usar la lista blanca como lista negra	Casilla de verificación	Marcado	Sí	Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Verificar SSL	Casilla de verificación	Desmarcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Illusive Networks sea válido.
Archivo del certificado de CA	String	N/A	No	Archivo de certificado de CA codificado en Base64.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.