Questa pagina è stata tradotta dall'API Cloud Translation.

Illusive Networks

Versione integrazione: 3.0

Casi d'uso del prodotto

Eseguire azioni attive: eseguire scansioni forensi, arricchire le entità, aggiungere/rimuovere utenti/server fraudolenti.
Importa gli incidenti in Simplify.

Configurare l'integrazione di Illusive Networks su Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Root API	Stringa	http://x.x.x.x	Sì	Radice dell'API dell'istanza Illusive Networks.
Chiave API	Password	N/D	Sì	Chiave API di Illusive Networks. Nota: la stringa "Basic" non deve far parte del valore.
File del certificato CA	Stringa		Falso	File del certificato CA con codifica Base64.
Verifica SSL	Casella di controllo	Selezionata	Sì	Se abilitato, verifica che il certificato SSL per la connessione al server Illusive Networks sia valido.

Come generare la chiave API

Vai alla sezione "Impostazioni" nella console Illusive Networks
Nella sezione "Generali", scorri verso il basso fino alla parte "Chiavi API".
Premi il pulsante "Aggiungi chiave".
Ti consigliamo di aggiungere tutte le autorizzazioni alla chiave API.
Dalla stringa fornita, devi copiare tutto tranne la stringa "Basic".
Inserisci questo valore nel parametro "Chiave API" dell'integrazione di Google SecOps.

Come aggiornare il limite di frequenza

Esiste un limite di frequenza per determinati endpoint in Illusive Networks. Per il connettore è fondamentale che il limite sia sufficientemente alto, in modo che tutti gli incidenti vengano inseriti. Per aggiornare il limite di frequenza, devi accedere al server di gestione e andare a: C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt

Nel file, cerca le seguenti proprietà:

api.incident.rate.limit.maximum.num.requests
api.rate.limit.windows.duration.minutes

Ti consigliamo di configurare quanto segue:

api.incident.rate.limit.maximum.num.requests=100
api.rate.limit.windows.duration.minutes=1
api.monitoring.rate.limit.maximum.num.requests = 100
api.forensics.rate.limit.maximum.num.requests = 100

Azioni

Dindin

Descrizione

Testa la connettività a Illusive Networks con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Se l'operazione va a buon fine: "Connessione al server Illusive Networks riuscita con i parametri di connessione forniti." Non riuscita: (fail) - Impossibile connettersi al server Illusive Networks. Error is {0}".format(exception.stacktrace)	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Se l'operazione va a buon fine: "Connessione al server Illusive Networks riuscita con i parametri di connessione forniti."

Non riuscita: (fail) - Impossibile connettersi al server Illusive Networks. Error is {0}".format(exception.stacktrace)

Generale

Arricchisci entità

Descrizione

Arricchisci le entità utilizzando le informazioni di Illusive Networks. Entità supportate: Nome host.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
N/D

Run On

Questa azione viene eseguita sull'entità Host.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}

Arricchimento delle entità

Nome del campo di arricchimento	Logica: quando applicare
ILLNET_machineName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_isHealthy	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_host	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_distinguishedName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_sourceDiscoveryName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_policyName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_operatingSystemName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_agentVersion	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_loggedInUserName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_machineExecutionUnifiedStatus	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_bitness	Se disponibile in formato JSON (informazioni sull'host)

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se i dati sono disponibili per almeno un'entità (is_success = true): "Successfully enriched the following entities using Illusive Networks: \n {entity.identifier}". se i dati non sono disponibili per almeno un'entità (is_success = true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando Illusive Networks: \n {entity.identifier}". se i dati non sono disponibili per tutti (is_success = false): "Nessuna entità è stata arricchita". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) Se il codice di stato è 429: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: errore di limite di frequenza. Consulta la documentazione su come aumentare il limite di frequenza".	Generale
Tabella Bacheca casi	Nome: {entity.identifier} Ci saranno solo due colonne: Chiave e Valore.	Entità

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se i dati sono disponibili per almeno un'entità (is_success = true): "Successfully enriched the following entities using Illusive Networks: \n {entity.identifier}".

se i dati non sono disponibili per almeno un'entità (is_success = true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando Illusive Networks: \n {entity.identifier}".

se i dati non sono disponibili per tutti (is_success = false): "Nessuna entità è stata arricchita".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace)

Se il codice di stato è 429: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: errore di limite di frequenza. Consulta la documentazione su come aumentare il limite di frequenza".

Generale

Tabella Bacheca casi

Nome: {entity.identifier}

Ci saranno solo due colonne: Chiave e Valore.

Entità

Esegui scansione forense

Descrizione

Esegui la scansione forense sull'endpoint in Illusive Networks. Funziona con le entità IP e nome host.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Includi informazioni di sistema	Casella di controllo	Selezionata	Sì	Se abilitata, l'azione restituirà le informazioni di sistema.
Includi informazioni sui file di prefetch	Casella di controllo	Selezionata	Sì	Se abilitata, l'azione restituirà informazioni sui file di prefetch.
Includi informazioni su Installazione applicazioni	Casella di controllo	Selezionata	Sì	Se attivata, l'azione restituirà informazioni sui programmi di aggiunta/rimozione.
Includi informazioni sui processi di avvio	Casella di controllo	Selezionata	Sì	Se attivata, l'azione restituirà informazioni sui processi di avvio.
Includi informazioni sui processi in esecuzione	Casella di controllo	Selezionata	Sì	Se attivata, l'azione restituirà informazioni sui processi in esecuzione.
Includi informazioni sui programmi di assistenza agli utenti	Casella di controllo	Selezionata	Sì	Se attivata, l'azione restituirà informazioni sui programmi di assistenza per gli utenti.
Includi informazioni sulla cronologia di PowerShell	Casella di controllo	Selezionata	Sì	Se attivata, l'azione restituirà informazioni sulla cronologia di PowerShell.
Numero massimo di elementi da restituire	Numero intero	50	No	Specifica il numero di articoli da restituire. Se non viene fornito nulla, l'azione restituirà tutto.

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Host

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}

Arricchimento delle entità

Nome del campo di arricchimento	Logica: quando applicare
ILLNET_osName	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_machineType	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_host	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_loggedInUser	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_userProfiles	Se disponibile in formato JSON (informazioni sull'host)
ILLNET_operatingSystemType	Se disponibile in formato JSON (informazioni sull'host)

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se è stata eseguita correttamente per almeno un'entità (is_success = true): "Successfully ran forensic scan on the following endpoints in Illusive Networks: {entity.identifier}" Se l'operazione non è riuscita per almeno un endpoint: "L'azione non è riuscita a ottenere informazioni dalla scansione forense sui seguenti endpoint: {entity.identifier}" Se non è stato trovato nulla: "Non sono state trovate informazioni forensi sugli endpoint forniti." Messaggio asincrono: "È stata avviata la scansione forense sui seguenti endpoint: {entity identifier}. \n Scansione forense completata sui seguenti endpoint." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Esegui scansione forense". Motivo: {0}''.format(error.Stacktrace) Se nessuno dei parametri "include…" è attivato: "Errore durante l'esecuzione dell'azione "Esegui scansione forense". Motivo: devi attivare almeno uno dei parametri "Includi…"	Generale
Informazioni sull'host della tabella della bacheca richieste	Nome: {entity.identifier} Ci saranno solo due colonne: Chiave e Valore.	Entità
Case Wall Table Prefetch_Info	Nome: "{entity.identifier}: Prefetch Files Information" Colonne: Nome file Data/ora ultima esecuzione Data e ora di modifica del file Nome file precaricamento	Generale
Tabella Bacheca casi INSTALLED_PROGRAMS_INFO	Nome: "{entity.identifier}: Add-Remove Programs Information" Colonne: Nome visualizzato Nome file	Generale
Tabella Bacheca casi STARTUP_PROCESSES	Nome: "{entity.identifier}: Startup Processes" Colonne: Nome Comando Località Utente	Generale
Tabella Bacheca casi RUNNING_PROCESSES	Nome: "{entity.identifier}: Running Processes" Colonne: Utente Privilegi amministrativi Comando ID processo Nome processo Ora di inizio	Generale
Tabella Bacheca casi USER_ASSIST_INFO	Nome: "{entity.identifier}: User-Assist Programs Information" Colonne: Nome file Nome utente Data ultimo utilizzo	****
Tabella Bacheca casi POWER_SHELL_HISTORY	Nome: "{entity.identifier}: Powershell History" Colonne: Nome utente Comando

Elenca articoli ingannevoli

Descrizione

Elenca gli elementi ingannevoli disponibili in Illusive Networks.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Tipo ingannevole	DDL	Tutti Valori possibili: Tutti Solo utenti Solo server	Sì	Specifica il tipo di elementi ingannevoli da restituire.
Deceptive State	DDL	Tutti Valori possibili: Tutti Solo approvati, Solo suggeriti	Sì	Specifica il tipo di elementi ingannevoli da restituire in base allo stato.
Numero massimo di articoli da restituire	Numero intero	50	No	Specifica il numero di articoli da restituire. Valore predefinito: 50. Se non viene specificato nulla, l'azione restituirà tutti gli elementi.

Nome visualizzato del parametro

Tipo

Valore predefinito

È obbligatorio

Descrizione

Tipo ingannevole

DDL

Tutti

Valori possibili:

Tutti

Solo utenti

Solo server

Sì

Specifica il tipo di elementi ingannevoli da restituire.

Deceptive State

DDL

Tutti

Valori possibili:

Tutti

Solo approvati, Solo suggeriti

Sì

Specifica il tipo di elementi ingannevoli da restituire in base allo stato.

Numero massimo di articoli da restituire

Numero intero

Specifica il numero di articoli da restituire. Valore predefinito: 50. Se non viene specificato nulla, l'azione restituirà tutti gli elementi.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se 200 e i dati sono disponibili (is_success = true): "Successfully returned available deceptive items from Illusive Networks". Se 200 e nessun dato è disponibile (is_success=false) "Non sono stati trovati dati relativi a elementi ingannevoli in base ai criteri forniti in Illusive Networks." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Elenca elementi ingannevoli". Motivo: {0}''.format(error.Stacktrace)	Generale
Tabella Bacheca casi	Nome: "Utenti ingannevoli" Colonna: Nome utente Password Dominio Norme Utente AD Attivo Stato	Generale
Tabella Bacheca casi	Nome: "Server ingannevoli" Colonna: Host Servizi Norme AD Server Stato	Generale

Aggiungi utente ingannevole

Descrizione

Aggiungi utenti ingannevoli in Illusive Networks.

Parametri

Nome	Valore predefinito	È obbligatorio	Descrizione
Nome utente	N/D	Sì	Specifica il nome utente del nuovo utente ingannevole.
Password	N/D	Sì	Specifica la password per il nuovo utente ingannevole.
Dominio DNS	N/D	No	Specifica il nome di dominio per il nuovo utente ingannevole.
Nomi delle policy	N/D	No	Specifica un elenco separato da virgole di norme da applicare al nuovo utente ingannevole. Se non viene fornito nulla, l'azione utilizzerà per impostazione predefinita tutti i criteri.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Operazione riuscita (is_success=true) → Utente ingannevole aggiunto correttamente nelle reti Illusive. Caso 1. User Already Exists (fail) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: esiste già l'utente ingannevole "{username}". Scenario 2. Codice di stato 400 (errore) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error message}. Caso 3. Errore generico (non riuscito) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Operazione riuscita (is_success=true) → Utente ingannevole aggiunto correttamente nelle reti Illusive.

Caso 1. User Already Exists (fail) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: esiste già l'utente ingannevole "{username}".

Scenario 2. Codice di stato 400 (errore) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error message}.

Caso 3. Errore generico (non riuscito) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.

Generale

Rimuovere l'utente ingannevole

Descrizione

Rimuovi l'utente ingannevole da Illusive Networks.

Parametri

Nome	Valore predefinito	È obbligatorio	Descrizione
Nome utente	N/D	Sì	Specifica il nome utente dell'utente ingannevole da rimuovere.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Successo → Utente ingannevole rimosso correttamente in Illusive Networks. Caso 1. L'utente non esiste (is_success=false) - L'azione non è riuscita a rimuovere l'utente ingannevole "{username}". Motivo: l'utente ingannevole "{username}" non esiste. Scenario 2. Errore generico (non riuscito) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Successo → Utente ingannevole rimosso correttamente in Illusive Networks.

Caso 1. L'utente non esiste (is_success=false) - L'azione non è riuscita a rimuovere l'utente ingannevole "{username}". Motivo: l'utente ingannevole "{username}" non esiste.

Scenario 2. Errore generico (non riuscito) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.

Generale

Aggiungi server ingannevole

Descrizione

Aggiungi server ingannevoli in Illusive Networks.

Parametri

Nome	Valore predefinito	È obbligatorio	Descrizione
Nome server	N/D	Sì	Specifica il nome del nuovo server ingannevole.
Tipi di servizi	DB	Sì	Specifica un elenco separato da virgole di tipi di servizio per il nuovo server ingannevole.
Nomi delle policy		No	Specifica un elenco separato da virgole di criteri da applicare al nuovo server ingannevole. Se non viene fornito nulla, l'azione utilizzerà per impostazione predefinita tutti i criteri.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Successo (is_success=true) → Il server ingannevole è stato aggiunto correttamente alle reti Illusive. Caso 1. Server Already Exists (fail) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: il server ingannevole "{server name}" esiste già. Scenario 2. Stato 400 (errore) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error message}. Caso 3. Errore generico - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Successo (is_success=true) → Il server ingannevole è stato aggiunto correttamente alle reti Illusive.

Caso 1. Server Already Exists (fail) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: il server ingannevole "{server name}" esiste già.

Scenario 2. Stato 400 (errore) - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error message}.

Caso 3. Errore generico - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.

Generale

Rimuovere il server ingannevole

Descrizione

Rimuovi il server ingannevole da Illusive Networks.

Parametri

Nome	Valore predefinito	È obbligatorio	Descrizione
Nome server	N/D	Sì	Specifica il nome del server ingannevole da rimuovere.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Successo → Rimozione riuscita del server ingannevole nelle reti Illusive. Caso 1. Il server non esiste (is_success=false) - L'azione non è riuscita a rimuovere il server ingannevole "{server name}". Motivo: il server ingannevole "{server name}" non esiste. Scenario 2. Errore generico - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Successo → Rimozione riuscita del server ingannevole nelle reti Illusive.

Caso 1. Il server non esiste (is_success=false) - L'azione non è riuscita a rimuovere il server ingannevole "{server name}". Motivo: il server ingannevole "{server name}" non esiste.

Scenario 2. Errore generico - Errore durante l'esecuzione dell'azione "{action name}". Motivo: {error traceback}.

Generale

Connettori

Illusive Networks - Incidents Connector

Descrizione

Estrai gli incidenti con la cronologia forense correlata da Illusive Networks.

Configura il connettore Illusive Networks - Incidents in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro	Tipo>	Valore predefinito	È obbligatorio	Descrizione
Nome campo prodotto	Stringa	Nome prodotto	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento	Stringa	details_serviceType	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente	Stringa	""	No	Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex ambiente	Stringa	.*	No	Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi)	Numero intero	180	Sì	Limite di timeout per il processo Python che esegue lo script corrente.
Root API	Stringa	http://x.x.x.x	Sì	Radice dell'API dell'istanza Illusive Networks.
Chiave API	Stringa	N/D	Sì	Chiave API di Illusive Networks. Nota: la stringa "Basic" non deve far parte del valore.
Gravità avviso	Stringa	Media	Sì	Gravità dell'avviso di Google SecOps che verrà creato in base agli incidenti di Illusive Networks. Valori possibili: Informativo Bassa Media Alta Critico
Ore massime indietro	Numero intero	1	No	Numero di ore da cui recuperare gli incidenti.
Numero massimo di incidenti da recuperare	Numero intero	10	No	Numero di incidenti da elaborare per un'iterazione del connettore. Il valore massimo è 1000.
Utilizzare la lista consentita come lista nera	Casella di controllo	Selezionata	Sì	Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata.
Verifica SSL	Casella di controllo	Deselezionata	Sì	Se abilitato, verifica che il certificato SSL per la connessione al server Illusive Networks sia valido.
File del certificato CA	Stringa	N/D	No	File del certificato CA con codifica Base64.
Indirizzo del server proxy	Stringa	N/D	No	L'indirizzo del server proxy da utilizzare.
Nome utente proxy	Stringa	N/D	No	Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy	Password	N/D	No	La password del proxy per l'autenticazione.

Regole del connettore

Supporto proxy

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.