Illusive Networks

Versão da integração: 3.0

Casos de uso de produtos

  1. Realizar ações ativas: executar verificações forenses, enriquecer entidades, adicionar/remover usuários/servidores de fraude.
  2. Ingerir incidentes no Simplify.

Configurar a integração do Illusive Networks no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Raiz da API String http://x.x.x.x Sim Raiz da API da instância do Illusive Networks.
Chave de API Senha N/A Sim

Chave de API da Illusive Networks.
Observação: a string "Basic" não pode fazer parte do valor.

Arquivo de certificado de CA String Falso Arquivo de certificado de CA codificado em Base64.
Verificar SSL Caixa de seleção Selecionado Sim Se ativada, verifique se o certificado SSL da conexão com o servidor da Illusive Networks é válido.

Como gerar uma chave de API

  1. Navegue até a seção "Configurações" no console da Illusive Networks.
  2. Na seção "Geral", role para baixo até a parte "Chaves de API".
  3. Pressione o botão "Adicionar chave".
  4. Recomendamos adicionar todas as permissões à chave de API.
  5. Copie tudo da string fornecida, exceto a string "Basic".
  6. Coloque esse valor no parâmetro "Chave de API" da integração do Google SecOps.

Como atualizar o limite de taxa

Há um limite de taxa para determinados endpoints na Illusive Networks. Para o conector, é fundamental que o limite seja alto o suficiente para que todos os incidentes sejam ingeridos. Para atualizar o limite de taxa, faça login no servidor de gerenciamento e acesse: C:\Program Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt

No arquivo, procure as seguintes propriedades:

  • api.incident.rate.limit.maximum.num.requests
  • api.rate.limit.windows.duration.minutes

Recomendamos a seguinte configuração:

  • api.incident.rate.limit.maximum.num.requests=100
  • api.rate.limit.windows.duration.minutes=1
  • api.monitoring.rate.limit.maximum.num.requests = 100
  • api.forensics.rate.limit.maximum.num.requests = 100

Ações

Ping

Descrição

Teste a conectividade com a Illusive Networks usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".

Parâmetros

N/A

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor da Illusive Networks usando os parâmetros fornecidos"

Não foi possível: (falha) - Não foi possível se conectar ao servidor da Illusive Networks. O erro é {0}".format(exception.stacktrace)

Geral

Enriquecer entidades

Descrição

Aprimorar entidades usando informações da Illusive Networks. Entidades aceitas: nome do host.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
N/A

Executar em

Essa ação é executada na entidade "Host".

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
    "machineId": "00428a29-0343-4e13-aa97-3b624739c509",
    "machineName": "HELLO",
    "isHealthy": false,
    "lastDeploymentMethodType": "WMI",
    "distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
    "groupName": null,
    "sourceDiscoveryName": "iln.local",
    "collectData": true,
    "policyName": null,
    "assignmentStatus": "ANALYSIS",
    "operatingSystemType": "Windows",
    "operatingSystemName": "Windows Server 2016 Standard Evaluation",
    "operatingSystemVersion": "10.0 (14393)",
    "agentVersion": null,
    "bitness": null,
    "loggedInUserName": null,
    "lastLogonTime": 1613078764501,
    "succeededDeceptionFamilies": 0,
    "shouldBeUninstalledDeceptionFamilies": 0,
    "desiredDeceptionFamilies": 0,
    "deceptionFamiliesPercentages": null,
    "lastExecutionType": "AGENT",
    "machineLastExecutionPhaseType": "CONNECTION",
    "machineLastExecutionPhaseStatus": "FAILURE",
    "machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
    "mitigationStatusType": null,
    "machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
    "machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
    "endpointTrapHealthCheckHostStatus": "NotTested",
    "endpointTrapHealthCheckHostStatusLastUpdated": null,
    "failedDeceptionFamilies": 0,
    "inProgressDeceptionFamilies": 0,
    "notDeployedDeceptionFamilies": 0,
    "policyId": null,
    "ghost": false
}
Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
ILLNET_machineName Quando disponível em JSON (informações do host)
ILLNET_isHealthy Quando disponível em JSON (informações do host)
ILLNET_host Quando disponível em JSON (informações do host)
ILLNET_distinguishedName Quando disponível em JSON (informações do host)
ILLNET_sourceDiscoveryName Quando disponível em JSON (informações do host)
ILLNET_policyName Quando disponível em JSON (informações do host)
ILLNET_operatingSystemName Quando disponível em JSON (informações do host)
ILLNET_agentVersion Quando disponível em JSON (informações do host)
ILLNET_loggedInUserName Quando disponível em JSON (informações do host)
ILLNET_machineExecutionUnifiedStatus Quando disponível em JSON (informações do host)
ILLNET_bitness Quando disponível em JSON (informações do host)
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se os dados estiverem disponíveis para pelo menos uma (is_success = true): "Enriquecimento das seguintes entidades usando a Illusive Networks: \n {entity.identifier}".

Se os dados não estiverem disponíveis para pelo menos uma (is_success = true): "Não foi possível enriquecer as seguintes entidades usando a Illusive Networks: \n {entity.identifier}".

if data not available for all (is_success = false): "No entities were enriched".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

Se o código de status for 429: "Erro ao executar a ação "Enriquecer entidades". Motivo: erro de limitação de taxa. Consulte a documentação para saber como aumentar o limite de taxa".

Geral
Tabela do painel de casos

Nome: {entity.identifier}

Haverá apenas duas colunas:chave e valor.

Entidade

Executar verificação forense

Descrição

Execute uma verificação forense no endpoint das redes ilusórias. Funciona com entidades de IP e nome de host.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Incluir informações do sistema Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações do sistema.
Incluir informações de arquivos de pré-busca Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre arquivos de pré-busca.
Incluir informações de "Adicionar ou remover programas" Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre programas de adição e remoção.
Incluir informações sobre processos de inicialização Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre processos de inicialização.
Incluir informações sobre processos em execução Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre processos em execução.
Incluir informações sobre programas de assistência ao usuário Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre programas de assistência ao usuário.
Incluir informações do histórico do PowerShell Caixa de seleção Selecionado Sim Se ativada, a ação vai retornar informações sobre o histórico do PowerShell.

Número máximo de itens a serem retornados

Número inteiro 50 Não Especifique quantos itens serão retornados. Se nada for fornecido, a ação vai retornar tudo.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
    "Entity.identifier": {
        "host_info": "{Host_info part}",
        "prefetch_info": "{prefetch_info}",
        "installed_programs_info": "{installed_programs_info}",
        "startup_processes": "{startup_processes}",
        "running_processes": "{running_processes}",
        "user_assist_info": "{user_assist_info}",
        "powershell_history": "{powershell history}"
    }
}
Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
ILLNET_osName Quando disponível em JSON (informações do host)
ILLNET_machineType Quando disponível em JSON (informações do host)
ILLNET_host Quando disponível em JSON (informações do host)
ILLNET_loggedInUser Quando disponível em JSON (informações do host)
ILLNET_userProfiles Quando disponível em JSON (informações do host)
ILLNET_operatingSystemType Quando disponível em JSON (informações do host)
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se for executada com sucesso em pelo menos um (is_success = true): "Successfully ran forensic scan on the following endpoints in Illusive Networks: {entity.identifier}"

Se não houver sucesso em pelo menos um: "Não foi possível receber informações da verificação forense nos seguintes endpoints: {entity.identifier}"

Se não houver sucesso para todos: "Nenhuma informação forense foi encontrada nos endpoints fornecidos."

Mensagem assíncrona: "Iniciamos a verificação forense nos seguintes endpoints: {entity identifier}. \n

A verificação forense foi concluída nos seguintes endpoints."

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Executar verificação forense". Motivo: {0}''.format(error.Stacktrace)

Se nenhum dos parâmetros "include ..." estiver ativado: "Erro ao executar a ação "Executar verificação forense". Motivo: é necessário ativar pelo menos um dos parâmetros "Incluir ..."

Geral
Informações do host da tabela do painel de casos

Nome: {entity.identifier}

Haverá apenas duas colunas:chave e valor.

Entidade
Pré-busca de tabela do Painel de casos_Info

Nome: "{entity.identifier}: Prefetch Files Information"

Colunas:

Nome do arquivo

Hora da última execução

Horário de modificação do arquivo

Nome do arquivo de pré-busca

Geral

Tabela do painel de casos

INSTALLED_PROGRAMS_INFO

Nome: "{entity.identifier}: Informações de Adicionar ou remover programas"

Colunas:

Nome de exibição

Nome do arquivo

Geral

Tabela do painel de casos

STARTUP_PROCESSES

Nome: "{entity.identifier}: Startup Processes"

Colunas:

Nome

Comando

Local

Usuário

Geral

Tabela do painel de casos

RUNNING_PROCESSES

Nome: "{entity.identifier}: Processos em execução"

Colunas:

Usuário

Privilégios de administrador

Comando

ID do processo

Nome do processo

Horário de início

Geral

Tabela do painel de casos

USER_ASSIST_INFO

Nome: "{entity.identifier}: Informações sobre programas de assistência ao usuário"

Colunas:

Nome do arquivo

Nome de usuário

Data do último uso

****

Tabela do painel de casos

POWER_SHELL_HISTORY

Nome: "{entity.identifier}: Powershell History"

Colunas:

Nome de usuário

Comando

Listar itens enganosos

Descrição

Liste os itens enganosos disponíveis na Illusive Networks.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Tipo enganoso DDL

Todos

Valores possíveis:

Todos

Somente usuários

Somente servidores

Sim Especifique que tipo de itens enganosos devem ser retornados.
Deceptive State DDL

Todos

Valores possíveis:

Todos

Somente aprovado, somente sugerido

Sim Especifique quais tipos de itens enganosos devem ser retornados com base no estado.
Número máximo de itens a serem retornados Número inteiro 50 Não Especifique quantos itens serão retornados. Padrão: 50. Se nada for especificado, a ação vai retornar todos os itens.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
    "users": [
        {
            "username": "backupad",
            "password": "5437niwY",
            "domainName": "intw-lab.local",
            "policyNames": [
                "Full Protection"
            ],
            "adUser": false,
            "activeUser": false,
            "deceptiveState": "APPROVED"
        },
        {
            "username": "jvillar",
            "password": "ritA1102",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "gaccess.user",
            "password": "psUiS01",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        },
        {
            "username": "service.user",
            "password": "mAkaYe4",
            "domainName": "intw-lab.local",
            "policyNames": [],
            "adUser": true,
            "activeUser": false,
            "deceptiveState": "SUGGESTED"
        }
    ],
    "servers": [
        {
            "host": "10.0.0.2",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        },
        {
            "host": "10.0.0.1",
            "serviceTypes": [
                "DB"
            ],
            "policyNames": [
                "Full Protection"
            ],
            "adHost": false,
            "deceptiveState": "APPROVED"
        }
    ]
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se 200 e os dados estiverem disponíveis (is_success = true): "Successfully returned available deceptive items from Illusive Networks".

Se 200 e nenhum dado estiver disponível (is_success=false) "Nenhum dado foi encontrado sobre itens enganosos com base nos critérios fornecidos na Illusive Networks."

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "List Deceptive Items". Motivo: {0}''.format(error.Stacktrace)

Geral
Tabela do painel de casos

Nome: "Usuários enganosos"

Coluna:

Nome de usuário

Senha

Domínio

Políticas

Usuário do AD

Ativo

Estado

Geral
Tabela do painel de casos

Nome: "Servidores enganosos"

Coluna:

Host

Serviços

Políticas

Servidor de anúncios

Estado

Geral

Adicionar usuário enganoso

Descrição

Adicione usuários enganosos na Illusive Networks.

Parâmetros

Nome Valor padrão É obrigatório Descrição
Nome de usuário N/A Sim Especifique o nome de usuário do novo usuário enganoso.
Senha N/A Sim Especifique a senha do novo usuário enganoso.
Domínio DNS N/A Não Especifique o nome de domínio do novo usuário enganoso.
Nomes de políticas N/A Não Especifique uma lista separada por vírgulas de políticas que precisam ser aplicadas ao novo usuário enganoso. Se nada for fornecido, a ação usará todas as políticas por padrão.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Sucesso (is_success=true) → O usuário enganoso foi adicionado às redes ilusórias.

Caso 1. User Already Exists (fail) - Error executing action "{action name}". Motivo: o usuário enganoso "{username}" já existe.

Caso 2. Código de status 400 (falha): erro ao executar a ação "{nome da ação}". Motivo: {error message}.

Caso 3: Erro geral (falha): erro ao executar a ação "{action name}". Motivo: {error traceback}.

Geral

Remover usuário enganoso

Descrição

Remova o usuário enganoso da Illusive Networks.

Parâmetros

Nome Valor padrão É obrigatório Descrição
Nome de usuário N/A Sim Especifique o nome de usuário da pessoa enganosa que precisa ser removida.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Sucesso: o usuário enganoso foi removido das redes ilusórias.

Caso 1. O usuário não existe (is_success=false): não foi possível remover o usuário enganoso "{username}". Motivo: o usuário enganoso "{username}" não existe.

Caso 2. Erro geral (falha): Erro ao executar a ação "{nome da ação}". Motivo: {error traceback}.

Geral

Adicionar servidor enganoso

Descrição

Adicione servidores enganosos na Illusive Networks.

Parâmetros

Nome Valor padrão É obrigatório Descrição
Nome do servidor N/A Sim Especifique o nome do novo servidor enganoso.
Tipos de serviço BD Sim Especifique uma lista separada por vírgulas de tipos de serviço para o novo servidor enganoso.
Nomes de políticas Não Especifique uma lista separada por vírgulas de políticas que precisam ser aplicadas ao novo servidor enganoso. Se nada for fornecido, a ação usará todas as políticas por padrão.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Sucesso (is_success=true) → O servidor enganoso foi adicionado às redes ilusórias.

Caso 1. O servidor já existe (falha): Erro ao executar a ação "{nome da ação}". Motivo: o servidor enganoso "{server name}" já existe.

Caso 2. Status 400 (falha): Erro ao executar a ação "{action name}". Motivo: {error message}.

Caso 3: Erro geral: erro ao executar a ação "{nome da ação}". Motivo: {error traceback}.

Geral

Remover servidor enganoso

Descrição

Remova o servidor enganoso da Illusive Networks.

Parâmetros

Nome Valor padrão É obrigatório Descrição
Nome do servidor N/A Sim Especifique o nome do servidor enganoso que precisa ser removido.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Sucesso: o servidor enganoso foi removido das redes ilusórias.

Caso 1. O servidor não existe (is_success=false): não foi possível remover o servidor enganoso "{server name}". Motivo: o servidor enganoso "{server name}" não existe.

Caso 2. Erro geral: erro ao executar a ação "{nome da ação}". Motivo: {error traceback}.

Geral

Conectores

Illusive Networks: conector de incidentes

Descrição

Extrair incidentes com linha do tempo forense relacionada da Illusive Networks.

Configurar o conector de incidentes da Illusive Networks no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro Type> Valor padrão É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento String details_serviceType Sim Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente String "" Não

Descreve o nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, o ambiente será o padrão.

Padrão de regex do ambiente String .* Não

Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente".

O padrão é ".*" para capturar tudo e retornar o valor sem alterações.

Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex.

Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.

Tempo limite do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String http://x.x.x.x Sim Raiz da API da instância do Illusive Networks.
Chave de API String N/A Sim Chave de API da Illusive Networks. Observação: a string "Basic" não pode fazer parte do valor.
Gravidade do alerta String Médio Sim

Gravidade do alerta do Google SecOps que será criado com base nos incidentes da Illusive Networks.

Valores possíveis:

Informativa

Baixo

Médio

Alta

Crítico

Máximo de horas para trás Número inteiro 1 Não Número de horas de onde buscar incidentes.
Número máximo de incidentes a serem buscados Número inteiro 10 Não Quantos incidentes processar por iteração de conector. O máximo é 1.000.
Usar a lista de permissões como uma lista de proibições Caixa de seleção Selecionado Sim Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL Caixa de seleção Desmarcado Sim Se ativada, verifique se o certificado SSL da conexão com o servidor da Illusive Networks é válido.
Arquivo de certificado de CA String N/A Não Arquivo de certificado de CA codificado em Base64.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha N/A Não A senha do proxy para autenticação.

Regras de conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.