Cette page a été traduite par l'API Cloud Translation.

Illusive Networks

Version de l'intégration : 3.0

Cas d'utilisation des produits

Effectuer des actions actives : exécuter des analyses forensiques, enrichir des entités, ajouter/supprimer des utilisateurs/serveurs de tromperie.
Ingérer des incidents dans Simplify

Configurer l'intégration Illusive Networks sur Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne	http://x.x.x.x	Oui	Racine de l'API de l'instance Illusive Networks.
Clé API	Mot de passe	N/A	Oui	Clé API d'Illusive Networks. Remarque : La chaîne "Basic" ne doit pas faire partie de la valeur.
Fichier de certificat CA	Chaîne		Faux	Fichier de certificat CA encodé en base64.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur Illusive Networks est valide.

Générer une clé API

Accédez à la section "Settings" (Paramètres) de la console Illusive Networks.
Dans la section "Général", faites défiler la page jusqu'à la partie "Clés API".
Appuyez sur le bouton "Ajouter une clé".
Nous vous recommandons d'ajouter toutes les autorisations à la clé API.
Dans la chaîne fournie, vous devez tout copier, à l'exception de la chaîne "Basic".
Saisissez cette valeur dans le paramètre "Clé API" de l'intégration Google SecOps.

Mettre à jour la limite de fréquence

Une limite de débit s'applique à certains points de terminaison d'Illusive Networks. Pour le connecteur, il est essentiel que la limite soit suffisamment élevée pour que tous les incidents soient ingérés. Pour modifier la limite de débit, vous devez vous connecter au serveur de gestion et accéder à C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt.

Dans le fichier, recherchez les propriétés suivantes :

api.incident.rate.limit.maximum.num.requests
api.rate.limit.windows.duration.minutes

Nous vous recommandons de configurer votre compte comme suit :

api.incident.rate.limit.maximum.num.requests=100
api.rate.limit.windows.duration.minutes=1
api.monitoring.rate.limit.maximum.num.requests = 100
api.forensics.rate.limit.maximum.num.requests = 100

Actions

Ping

Description

Testez la connectivité à Illusive Networks avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Marketplace" de Google Security Operations.

Paramètres

N/A

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Si l'opération réussit : "La connexion au serveur Illusive Networks a bien été établie avec les paramètres de connexion fournis." Échec : impossible de se connecter au serveur Illusive Networks. Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Si l'opération réussit : "La connexion au serveur Illusive Networks a bien été établie avec les paramètres de connexion fournis."

Échec : impossible de se connecter au serveur Illusive Networks. Error is {0}".format(exception.stacktrace)

Général

Enrichir les entités

Description

Enrichissez les entités à l'aide des informations d'Illusive Networks. Entités acceptées : nom d'hôte.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
N/A

Exécuter sur

Cette action s'exécute sur l'entité hôte.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
ILLNET_machineName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_isHealthy	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_host	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_distinguishedName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_sourceDiscoveryName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_policyName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_operatingSystemName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_agentVersion	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_loggedInUserName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_machineExecutionUnifiedStatus	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_bitness	Lorsque disponible au format JSON (informations sur l'hôte)

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : si des données sont disponibles pour au moins une entité (is_success = true) : "Les entités suivantes ont été enrichies avec succès à l'aide d'Illusive Networks : \n {entity.identifier}". Si les données ne sont pas disponibles pour au moins une entité (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide d'Illusive Networks : \n {entity.identifier}". Si les données ne sont pas disponibles pour tous (is_success = false) : "Aucune entité n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) Si le code d'état est 429 : "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : Erreur de limitation du débit. Veuillez consulter la documentation pour savoir comment augmenter la limite de débit."	Général
Tableau du mur des cas	Nom : {entity.identifier} Seules deux colonnes seront disponibles : "Clé" et "Valeur".	Entité

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
si des données sont disponibles pour au moins une entité (is_success = true) : "Les entités suivantes ont été enrichies avec succès à l'aide d'Illusive Networks : \n {entity.identifier}".

Si les données ne sont pas disponibles pour au moins une entité (is_success = true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide d'Illusive Networks : \n {entity.identifier}".

Si les données ne sont pas disponibles pour tous (is_success = false) : "Aucune entité n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

Si le code d'état est 429 : "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : Erreur de limitation du débit. Veuillez consulter la documentation pour savoir comment augmenter la limite de débit."

Général

Tableau du mur des cas

Nom : {entity.identifier}

Seules deux colonnes seront disponibles : "Clé" et "Valeur".

Entité

Exécuter une analyse forensique

Description

Exécutez une analyse forensique sur le point de terminaison dans Illusive Networks. Fonctionne avec les entités d'adresse IP et de nom d'hôte.

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Inclure les informations système	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations système.
Inclure les informations sur les fichiers de préchargement	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur les fichiers de préchargement.
Inclure les informations d'ajout/suppression de programmes	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur les programmes d'ajout/suppression.
Inclure les informations sur les processus de démarrage	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur les processus de démarrage.
Inclure les informations sur les processus en cours d'exécution	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur les processus en cours d'exécution.
Inclure des informations sur les programmes d'assistance aux utilisateurs	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur les programmes d'assistance aux utilisateurs.
Inclure les informations de l'historique PowerShell	Case à cocher	Cochée	Oui	Si cette option est activée, l'action renvoie des informations sur l'historique PowerShell.
Nombre maximal d'articles à retourner	Integer	50	Non	Indiquez le nombre d'éléments à renvoyer. Si rien n'est fourni, l'action renverra tout.

Exécuter sur

Cette action s'applique aux entités suivantes :

Adresse IP
Hôte

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
ILLNET_osName	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_machineType	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_host	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_loggedInUser	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_userProfiles	Lorsque disponible au format JSON (informations sur l'hôte)
ILLNET_operatingSystemType	Lorsque disponible au format JSON (informations sur l'hôte)

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : si l'exécution a réussi pour au moins un point de terminaison (is_success = true) : "L'analyse forensique a été exécutée avec succès sur les points de terminaison suivants dans Illusive Networks : {entity.identifier}" Si l'opération n'a pas réussi pour au moins un point de terminaison : "L'action n'a pas pu obtenir d'informations à partir de l'analyse forensique sur les points de terminaison suivants : {entity.identifier}" Si aucune information n'est trouvée pour tous les points de terminaison : "Aucune information d'analyse n'a été trouvée sur les points de terminaison fournis." Message asynchrone : "Analyse forensique lancée sur les points de terminaison suivants : {identifiant de l'entité}. \n Analyse forensique terminée sur les points de terminaison suivants : " L'action doit échouer et arrêter l'exécution d'un playbook : en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. "Erreur lors de l'exécution de l'action "Exécuter l'analyse forensique". Raison : {0}''.format(error.Stacktrace) Si aucun des paramètres "include ..." n'est activé : "Erreur lors de l'exécution de l'action "Exécuter l'analyse forensique". Raison : vous devez activer au moins l'un des paramètres "Inclure…"	Général
Informations sur l'hôte du tableau du mur des cas	Nom : {entity.identifier} Seules deux colonnes seront disponibles : "Clé" et "Valeur".	Entité
Case Wall Table Prefetch_Info	Nom : "{entity.identifier}: Informations sur les fichiers de préchargement" Colonnes : Nom du fichier Heure de la dernière exécution Date et heure de modification du fichier Nom du fichier de préchargement	Général
Tableau du mur des cas INSTALLED_PROGRAMS_INFO	Nom : "{entity.identifier}: Informations sur l'ajout et la suppression de programmes" Colonnes : Nom à afficher Nom du fichier	Général
Tableau du mur des cas STARTUP_PROCESSES	Name: "{entity.identifier}: Startup Processes" Colonnes : Nom Commande Emplacement Utilisateur	Général
Tableau du mur des cas RUNNING_PROCESSES	Nom : "{entity.identifier}: Running Processes" Colonnes : Utilisateur Privilèges administratifs Commande ID du processus Nom du processus Heure de début	Général
Tableau du mur des cas USER_ASSIST_INFO	Nom : "{entity.identifier} : informations sur les programmes d'assistance aux utilisateurs" Colonnes : Nom du fichier Nom d'utilisateur Date de la dernière utilisation	****
Tableau du mur des cas POWER_SHELL_HISTORY	Nom : "{entity.identifier}: Historique PowerShell" Colonnes : Nom d'utilisateur Commande

Lister les éléments trompeurs

Description

Lister les éléments trompeurs disponibles dans Illusive Networks

Paramètres

Nom du paramètre à afficher	Type	Valeur par défaut	Obligatoire	Description
Type trompeur	LDD	Tous Valeurs possibles : Tous Utilisateurs uniquement Serveurs uniquement	Oui	Spécifiez le type d'éléments trompeurs à renvoyer.
État trompeur	LDD	Tous Valeurs possibles : Tous Approuvé uniquement, Suggéré uniquement	Oui	Spécifiez le type d'éléments trompeurs à renvoyer en fonction de l'état.
Nombre maximal d'éléments à renvoyer	Integer	50	Non	Indiquez le nombre d'éléments à renvoyer. Valeur par défaut : 50. Si rien n'est spécifié, l'action renvoie tous les éléments.

Nom du paramètre à afficher

Type

Valeur par défaut

Obligatoire

Description

Type trompeur

LDD

Tous

Valeurs possibles :

Tous

Utilisateurs uniquement

Serveurs uniquement

Oui

Spécifiez le type d'éléments trompeurs à renvoyer.

État trompeur

LDD

Tous

Valeurs possibles :

Tous

Approuvé uniquement, Suggéré uniquement

Oui

Spécifiez le type d'éléments trompeurs à renvoyer en fonction de l'état.

Nombre maximal d'éléments à renvoyer

Integer

Non

Indiquez le nombre d'éléments à renvoyer. Valeur par défaut : 50. Si rien n'est spécifié, l'action renvoie tous les éléments.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : si le code 200 est renvoyé et que des données sont disponibles (is_success = true) : "Successfully returned available deceptive items from Illusive Networks". Si le code 200 est renvoyé et qu'aucune donnée n'est disponible (is_success=false) : "Aucune donnée n'a été trouvée concernant les éléments trompeurs en fonction des critères fournis dans Illusive Networks." L'action doit échouer et arrêter l'exécution d'un playbook : en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. "Erreur lors de l'exécution de l'action "Lister les éléments trompeurs". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom : "Utilisateurs trompeurs" Colonne : Nom d'utilisateur Mot de passe Domaine Règles Utilisateur AD Actif État	Général
Tableau du mur des cas	Nom : "Serveurs trompeurs" Colonne : Hôte Services Règles AD Server État	Général

Ajouter un utilisateur trompeur

Description

Ajoutez des utilisateurs trompeurs dans Illusive Networks.

Paramètres

Nom	Valeur par défaut	Obligatoire	Description
Nom d'utilisateur	N/A	Oui	Spécifiez le nom d'utilisateur du nouvel utilisateur trompeur.
Mot de passe	N/A	Oui	Spécifiez le mot de passe du nouvel utilisateur trompeur.
Domaine DNS	N/A	Non	Spécifiez le nom de domaine du nouvel utilisateur trompeur.
Noms des règles	N/A	Non	Spécifiez une liste de règles séparées par une virgule qui doivent être appliquées au nouvel utilisateur trompeur. Si aucune valeur n'est fournie, l'action utilisera par défaut toutes les règles.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Success (is_success=true) → L'utilisateur trompeur a bien été ajouté aux réseaux Illusive. Cas 1 : User Already Exists (fail) : erreur lors de l'exécution de l'action "{action name}". Motif : L'utilisateur trompeur "{username}" existe déjà. Cas 2 : Code d'état 400 (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : {error message}. Cas 3 : Erreur générale (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Success (is_success=true) → L'utilisateur trompeur a bien été ajouté aux réseaux Illusive.

Cas 1 : User Already Exists (fail) : erreur lors de l'exécution de l'action "{action name}". Motif : L'utilisateur trompeur "{username}" existe déjà.

Cas 2 : Code d'état 400 (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : {error message}.

Cas 3 : Erreur générale (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.

Général

Supprimer un utilisateur trompeur

Description

Supprimez l'utilisateur trompeur d'Illusive Networks.

Paramètres

Nom	Valeur par défaut	Obligatoire	Description
Nom d'utilisateur	N/A	Oui	Spécifiez le nom d'utilisateur trompeur à supprimer.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Succès : l'utilisateur trompeur a bien été supprimé dans les réseaux Illusive. Cas 1 : L'utilisateur n'existe pas (is_success=false) : l'action n'a pas pu supprimer l'utilisateur trompeur "{username}". Motif : L'utilisateur trompeur "{username}" n'existe pas. Cas 2 : Erreur générale (échec) :Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Succès : l'utilisateur trompeur a bien été supprimé dans les réseaux Illusive.

Cas 1 : L'utilisateur n'existe pas (is_success=false) : l'action n'a pas pu supprimer l'utilisateur trompeur "{username}". Motif : L'utilisateur trompeur "{username}" n'existe pas.

Cas 2 : Erreur générale (échec) :Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.

Général

Ajouter un serveur trompeur

Description

Ajoutez des serveurs trompeurs dans Illusive Networks.

Paramètres

Nom	Valeur par défaut	Obligatoire	Description
Nom du serveur	N/A	Oui	Spécifiez le nom du nouveau serveur trompeur.
Types de services	DB	Oui	Spécifiez une liste de types de services séparés par une virgule pour le nouveau serveur trompeur.
Noms des règles		Non	Spécifiez une liste de règles séparées par une virgule qui doivent être appliquées au nouveau serveur trompeur. Si aucune valeur n'est fournie, l'action utilisera par défaut toutes les règles.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Réussite (is_success=true) : le serveur trompeur a bien été ajouté aux réseaux Illusive. Cas 1 : Le serveur existe déjà (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : Le serveur trompeur "{server name}" existe déjà. Cas 2 : État 400 (échec) :Erreur lors de l'exécution de l'action "{action name}". Motif : {error message}. Cas 3 : Erreur générale – Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Réussite (is_success=true) : le serveur trompeur a bien été ajouté aux réseaux Illusive.

Cas 1 : Le serveur existe déjà (échec) : erreur lors de l'exécution de l'action "{action name}". Motif : Le serveur trompeur "{server name}" existe déjà.

Cas 2 : État 400 (échec) :Erreur lors de l'exécution de l'action "{action name}". Motif : {error message}.

Cas 3 : Erreur générale – Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.

Général

Supprimer un serveur trompeur

Description

Supprimez le serveur trompeur d'Illusive Networks.

Paramètres

Nom	Valeur par défaut	Obligatoire	Description
Nom du serveur	N/A	Oui	Spécifiez le nom du serveur trompeur à supprimer.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Succès : le serveur trompeur a bien été supprimé dans les réseaux Illusive. Cas 1 : Le serveur n'existe pas (is_success=false) : l'action n'a pas pu supprimer le serveur trompeur "{server name}". Motif : Le serveur trompeur "{server name}" n'existe pas. Cas 2 : Erreur générale – Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Succès : le serveur trompeur a bien été supprimé dans les réseaux Illusive.

Cas 1 : Le serveur n'existe pas (is_success=false) : l'action n'a pas pu supprimer le serveur trompeur "{server name}". Motif : Le serveur trompeur "{server name}" n'existe pas.

Cas 2 : Erreur générale – Erreur lors de l'exécution de l'action "{action name}". Motif : {error traceback}.

Général

Connecteurs

Connecteur Illusive Networks – Incidents

Description

Extrayez les incidents avec la chronologie forensique associée à partir d'Illusive Networks.

Configurer le connecteur Illusive Networks – Incidents dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type>	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	details_serviceType	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	http://x.x.x.x	Oui	Racine de l'API de l'instance Illusive Networks.
Clé API	Chaîne	N/A	Oui	Clé API d'Illusive Networks. Remarque : La chaîne "Basic" ne doit pas faire partie de la valeur.
Gravité de l'alerte	Chaîne	Moyenne	Oui	Gravité de l'alerte Google SecOps qui sera créée en fonction des incidents provenant d'Illusive Networks. Valeurs possibles : Information Faible Moyen Élevée Critique
Nombre maximal d'heures en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les incidents.
Nombre maximal d'incidents à extraire	Integer	10	Non	Nombre d'incidents à traiter par itération de connecteur. La valeur maximale est de 1 000.
Utiliser la liste blanche comme liste noire	Case à cocher	Cochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Illusive Networks est valide.
Fichier de certificat CA	Chaîne	N/A	Non	Fichier de certificat CA encodé en base64.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.