Illusive Networks
Versão da integração: 3.0
Casos de uso de produtos
- Realizar ações ativas: executar verificações forenses, enriquecer entidades, adicionar/remover usuários/servidores de fraude.
- Ingerir incidentes no Simplify.
Configurar a integração do Illusive Networks no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Raiz da API | String | http://x.x.x.x | Sim | Raiz da API da instância do Illusive Networks. |
Chave de API | Senha | N/A | Sim | Chave de API da Illusive Networks. |
Arquivo de certificado de CA | String | Falso | Arquivo de certificado de CA codificado em Base64. | |
Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor da Illusive Networks é válido. |
Como gerar uma chave de API
- Navegue até a seção "Configurações" no console da Illusive Networks.
- Na seção "Geral", role para baixo até a parte "Chaves de API".
- Pressione o botão "Adicionar chave".
- Recomendamos adicionar todas as permissões à chave de API.
- Copie tudo da string fornecida, exceto a string "Basic".
- Coloque esse valor no parâmetro "Chave de API" da integração do Google SecOps.
Como atualizar o limite de taxa
Há um limite de taxa para determinados endpoints na Illusive Networks. Para o conector, é fundamental que o limite seja alto o suficiente para que todos os incidentes sejam ingeridos. Para atualizar o limite de taxa, faça login
no servidor de gerenciamento e acesse: C:\Program
Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt
No arquivo, procure as seguintes propriedades:
- api.incident.rate.limit.maximum.num.requests
- api.rate.limit.windows.duration.minutes
Recomendamos a seguinte configuração:
- api.incident.rate.limit.maximum.num.requests=100
- api.rate.limit.windows.duration.minutes=1
- api.monitoring.rate.limit.maximum.num.requests = 100
- api.forensics.rate.limit.maximum.num.requests = 100
Ações
Ping
Descrição
Teste a conectividade com a Illusive Networks usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor da Illusive Networks usando os parâmetros fornecidos" Não foi possível: (falha) - Não foi possível se conectar ao servidor da Illusive Networks. O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Aprimorar entidades usando informações da Illusive Networks. Entidades aceitas: nome do host.
Parâmetros
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
N/A |
Executar em
Essa ação é executada na entidade "Host".
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado do JSON
{
"machineId": "00428a29-0343-4e13-aa97-3b624739c509",
"machineName": "HELLO",
"isHealthy": false,
"lastDeploymentMethodType": "WMI",
"distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
"groupName": null,
"sourceDiscoveryName": "iln.local",
"collectData": true,
"policyName": null,
"assignmentStatus": "ANALYSIS",
"operatingSystemType": "Windows",
"operatingSystemName": "Windows Server 2016 Standard Evaluation",
"operatingSystemVersion": "10.0 (14393)",
"agentVersion": null,
"bitness": null,
"loggedInUserName": null,
"lastLogonTime": 1613078764501,
"succeededDeceptionFamilies": 0,
"shouldBeUninstalledDeceptionFamilies": 0,
"desiredDeceptionFamilies": 0,
"deceptionFamiliesPercentages": null,
"lastExecutionType": "AGENT",
"machineLastExecutionPhaseType": "CONNECTION",
"machineLastExecutionPhaseStatus": "FAILURE",
"machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
"mitigationStatusType": null,
"machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
"machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
"endpointTrapHealthCheckHostStatus": "NotTested",
"endpointTrapHealthCheckHostStatusLastUpdated": null,
"failedDeceptionFamilies": 0,
"inProgressDeceptionFamilies": 0,
"notDeployedDeceptionFamilies": 0,
"policyId": null,
"ghost": false
}
Enriquecimento de entidades
Nome do campo de enriquecimento | Lógica: quando aplicar |
---|---|
ILLNET_machineName | Quando disponível em JSON (informações do host) |
ILLNET_isHealthy | Quando disponível em JSON (informações do host) |
ILLNET_host | Quando disponível em JSON (informações do host) |
ILLNET_distinguishedName | Quando disponível em JSON (informações do host) |
ILLNET_sourceDiscoveryName | Quando disponível em JSON (informações do host) |
ILLNET_policyName | Quando disponível em JSON (informações do host) |
ILLNET_operatingSystemName | Quando disponível em JSON (informações do host) |
ILLNET_agentVersion | Quando disponível em JSON (informações do host) |
ILLNET_loggedInUserName | Quando disponível em JSON (informações do host) |
ILLNET_machineExecutionUnifiedStatus | Quando disponível em JSON (informações do host) |
ILLNET_bitness | Quando disponível em JSON (informações do host) |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados não estiverem disponíveis para pelo menos uma (is_success = true): "Não foi possível enriquecer as seguintes entidades usando a Illusive Networks: \n {entity.identifier}". if data not available for all (is_success = false): "No entities were enriched". A ação precisa falhar e interromper a execução de um playbook: Se o código de status for 429: "Erro ao executar a ação "Enriquecer entidades". Motivo: erro de limitação de taxa. Consulte a documentação para saber como aumentar o limite de taxa". |
Geral |
Tabela do painel de casos | Nome: {entity.identifier} Haverá apenas duas colunas:chave e valor. |
Entidade |
Executar verificação forense
Descrição
Execute uma verificação forense no endpoint das redes ilusórias. Funciona com entidades de IP e nome de host.
Parâmetros
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Incluir informações do sistema | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações do sistema. |
Incluir informações de arquivos de pré-busca | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre arquivos de pré-busca. |
Incluir informações de "Adicionar ou remover programas" | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre programas de adição e remoção. |
Incluir informações sobre processos de inicialização | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre processos de inicialização. |
Incluir informações sobre processos em execução | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre processos em execução. |
Incluir informações sobre programas de assistência ao usuário | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre programas de assistência ao usuário. |
Incluir informações do histórico do PowerShell | Caixa de seleção | Selecionado | Sim | Se ativada, a ação vai retornar informações sobre o histórico do PowerShell. |
Número máximo de itens a serem retornados |
Número inteiro | 50 | Não | Especifique quantos itens serão retornados. Se nada for fornecido, a ação vai retornar tudo. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado do JSON
{
"Entity.identifier": {
"host_info": "{Host_info part}",
"prefetch_info": "{prefetch_info}",
"installed_programs_info": "{installed_programs_info}",
"startup_processes": "{startup_processes}",
"running_processes": "{running_processes}",
"user_assist_info": "{user_assist_info}",
"powershell_history": "{powershell history}"
}
}
Enriquecimento de entidades
Nome do campo de enriquecimento | Lógica: quando aplicar |
---|---|
ILLNET_osName | Quando disponível em JSON (informações do host) |
ILLNET_machineType | Quando disponível em JSON (informações do host) |
ILLNET_host | Quando disponível em JSON (informações do host) |
ILLNET_loggedInUser | Quando disponível em JSON (informações do host) |
ILLNET_userProfiles | Quando disponível em JSON (informações do host) |
ILLNET_operatingSystemType | Quando disponível em JSON (informações do host) |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não houver sucesso em pelo menos um: "Não foi possível receber informações da verificação forense nos seguintes endpoints: {entity.identifier}" Se não houver sucesso para todos: "Nenhuma informação forense foi encontrada nos endpoints fornecidos." Mensagem assíncrona: "Iniciamos a verificação forense nos seguintes endpoints: {entity identifier}. \n A verificação forense foi concluída nos seguintes endpoints." A ação precisa falhar e interromper a execução de um playbook: Se nenhum dos parâmetros "include ..." estiver ativado: "Erro ao executar a ação "Executar verificação forense". Motivo: é necessário ativar pelo menos um dos parâmetros "Incluir ..." |
Geral |
Informações do host da tabela do painel de casos | Nome: {entity.identifier} Haverá apenas duas colunas:chave e valor. |
Entidade |
Pré-busca de tabela do Painel de casos_Info | Nome: "{entity.identifier}: Prefetch Files Information" Colunas: Nome do arquivo Hora da última execução Horário de modificação do arquivo Nome do arquivo de pré-busca |
Geral |
Tabela do painel de casos INSTALLED_PROGRAMS_INFO |
Nome: "{entity.identifier}: Informações de Adicionar ou remover programas" Colunas: Nome de exibição Nome do arquivo |
Geral |
Tabela do painel de casos STARTUP_PROCESSES |
Nome: "{entity.identifier}: Startup Processes" Colunas: Nome Comando Local Usuário |
Geral |
Tabela do painel de casos RUNNING_PROCESSES |
Nome: "{entity.identifier}: Processos em execução" Colunas: Usuário Privilégios de administrador Comando ID do processo Nome do processo Horário de início |
Geral |
Tabela do painel de casos USER_ASSIST_INFO |
Nome: "{entity.identifier}: Informações sobre programas de assistência ao usuário" Colunas: Nome do arquivo Nome de usuário Data do último uso |
**** |
Tabela do painel de casos POWER_SHELL_HISTORY |
Nome: "{entity.identifier}: Powershell History" Colunas: Nome de usuário Comando |
Listar itens enganosos
Descrição
Liste os itens enganosos disponíveis na Illusive Networks.
Parâmetros
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Tipo enganoso | DDL | Todos Valores possíveis: Todos Somente usuários Somente servidores |
Sim | Especifique que tipo de itens enganosos devem ser retornados. |
Deceptive State | DDL | Todos Valores possíveis: Todos Somente aprovado, somente sugerido |
Sim | Especifique quais tipos de itens enganosos devem ser retornados com base no estado. |
Número máximo de itens a serem retornados | Número inteiro | 50 | Não | Especifique quantos itens serão retornados. Padrão: 50. Se nada for especificado, a ação vai retornar todos os itens. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Resultado do JSON
{
"users": [
{
"username": "backupad",
"password": "5437niwY",
"domainName": "intw-lab.local",
"policyNames": [
"Full Protection"
],
"adUser": false,
"activeUser": false,
"deceptiveState": "APPROVED"
},
{
"username": "jvillar",
"password": "ritA1102",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
},
{
"username": "gaccess.user",
"password": "psUiS01",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
},
{
"username": "service.user",
"password": "mAkaYe4",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
}
],
"servers": [
{
"host": "10.0.0.2",
"serviceTypes": [
"DB"
],
"policyNames": [
"Full Protection"
],
"adHost": false,
"deceptiveState": "APPROVED"
},
{
"host": "10.0.0.1",
"serviceTypes": [
"DB"
],
"policyNames": [
"Full Protection"
],
"adHost": false,
"deceptiveState": "APPROVED"
}
]
}
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se 200 e nenhum dado estiver disponível (is_success=false) "Nenhum dado foi encontrado sobre itens enganosos com base nos critérios fornecidos na Illusive Networks." A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Tabela do painel de casos | Nome: "Usuários enganosos" Coluna: Nome de usuário Senha Domínio Políticas Usuário do AD Ativo Estado |
Geral |
Tabela do painel de casos | Nome: "Servidores enganosos" Coluna: Host Serviços Políticas Servidor de anúncios Estado |
Geral |
Adicionar usuário enganoso
Descrição
Adicione usuários enganosos na Illusive Networks.
Parâmetros
Nome | Valor padrão | É obrigatório | Descrição |
---|---|---|---|
Nome de usuário | N/A | Sim | Especifique o nome de usuário do novo usuário enganoso. |
Senha | N/A | Sim | Especifique a senha do novo usuário enganoso. |
Domínio DNS | N/A | Não | Especifique o nome de domínio do novo usuário enganoso. |
Nomes de políticas | N/A | Não | Especifique uma lista separada por vírgulas de políticas que precisam ser aplicadas ao novo usuário enganoso. Se nada for fornecido, a ação usará todas as políticas por padrão. |
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | Sucesso (is_success=true) → O usuário enganoso foi adicionado às redes ilusórias. Caso 1. User Already Exists (fail) - Error executing action "{action name}". Motivo: o usuário enganoso "{username}" já existe. Caso 2. Código de status 400 (falha): erro ao executar a ação "{nome da ação}". Motivo: {error message}. Caso 3: Erro geral (falha): erro ao executar a ação "{action name}". Motivo: {error traceback}. |
Geral |
Remover usuário enganoso
Descrição
Remova o usuário enganoso da Illusive Networks.
Parâmetros
Nome | Valor padrão | É obrigatório | Descrição |
---|---|---|---|
Nome de usuário | N/A | Sim | Especifique o nome de usuário da pessoa enganosa que precisa ser removida. |
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | Sucesso: o usuário enganoso foi removido das redes ilusórias. Caso 1. O usuário não existe (is_success=false): não foi possível remover o usuário enganoso "{username}". Motivo: o usuário enganoso "{username}" não existe. Caso 2. Erro geral (falha): Erro ao executar a ação "{nome da ação}". Motivo: {error traceback}. |
Geral |
Adicionar servidor enganoso
Descrição
Adicione servidores enganosos na Illusive Networks.
Parâmetros
Nome | Valor padrão | É obrigatório | Descrição |
---|---|---|---|
Nome do servidor | N/A | Sim | Especifique o nome do novo servidor enganoso. |
Tipos de serviço | BD | Sim | Especifique uma lista separada por vírgulas de tipos de serviço para o novo servidor enganoso. |
Nomes de políticas | Não | Especifique uma lista separada por vírgulas de políticas que precisam ser aplicadas ao novo servidor enganoso. Se nada for fornecido, a ação usará todas as políticas por padrão. |
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | Sucesso (is_success=true) → O servidor enganoso foi adicionado às redes ilusórias. Caso 1. O servidor já existe (falha): Erro ao executar a ação "{nome da ação}". Motivo: o servidor enganoso "{server name}" já existe. Caso 2. Status 400 (falha): Erro ao executar a ação "{action name}". Motivo: {error message}. Caso 3: Erro geral: erro ao executar a ação "{nome da ação}". Motivo: {error traceback}. |
Geral |
Remover servidor enganoso
Descrição
Remova o servidor enganoso da Illusive Networks.
Parâmetros
Nome | Valor padrão | É obrigatório | Descrição |
---|---|---|---|
Nome do servidor | N/A | Sim | Especifique o nome do servidor enganoso que precisa ser removido. |
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Painel de casos
Tipo de resultado | Valor / Descrição | Tipo |
---|---|---|
Mensagem de saída* | Sucesso: o servidor enganoso foi removido das redes ilusórias. Caso 1. O servidor não existe (is_success=false): não foi possível remover o servidor enganoso "{server name}". Motivo: o servidor enganoso "{server name}" não existe. Caso 2. Erro geral: erro ao executar a ação "{nome da ação}". Motivo: {error traceback}. |
Geral |
Conectores
Illusive Networks: conector de incidentes
Descrição
Extrair incidentes com linha do tempo forense relacionada da Illusive Networks.
Configurar o conector de incidentes da Illusive Networks no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
Nome de exibição do parâmetro | Type> | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
Nome do campo do evento | String | details_serviceType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
Raiz da API | String | http://x.x.x.x | Sim | Raiz da API da instância do Illusive Networks. |
Chave de API | String | N/A | Sim | Chave de API da Illusive Networks. Observação: a string "Basic" não pode fazer parte do valor. |
Gravidade do alerta | String | Médio | Sim | Gravidade do alerta do Google SecOps que será criado com base nos incidentes da Illusive Networks. Valores possíveis: Informativa Baixo Médio Alta Crítico |
Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar incidentes. |
Número máximo de incidentes a serem buscados | Número inteiro | 10 | Não | Quantos incidentes processar por iteração de conector. O máximo é 1.000. |
Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Selecionado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor da Illusive Networks é válido. |
Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.