IntSights

Dokumen ini memberikan panduan tentang cara mengintegrasikan IntSights dengan Google SecOps.

Mengonfigurasi integrasi IntSights di Google Security Operations

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Tindakan

Tambahkan Catatan

Deskripsi

Tambahkan catatan ke pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda tambahi catatan.
Catatan String T/A Ya Tentukan catatan untuk pemberitahuan.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil (is_success=true): "Successfully add a note to the alert with ID '{0}' in Intsights ".format(alert id)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Add Note". Reason: {0}''.format(error.Stacktrace)

Jika kode status 404 dilaporkan: "Error executing action "Add Note". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di IntSights.'

 Umum

Tanya Analis

Deskripsi

Tanyakan kepada analis terkait pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan tempat Anda ingin mengajukan pertanyaan kepada analis.
Komentar String T/A Ya Tentukan komentar untuk analis.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id)

Jika kode status 400 atau 500 dilaporkan: "Tindakan tidak dapat meminta analis dalam pemberitahuan dengan ID {0} di Intsights. Reason: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Ask an Analyst". Reason: {0}''.format(error.Stacktrace)

 Umum

Menetapkan Pemberitahuan

Deskripsi

Menetapkan pemberitahuan kepada analis di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda ubah penugasannya.
ID Penerima Hak String T/A Tidak

Tentukan ID analis yang harus ditetapkan untuk pemberitahuan.
Catatan: Jika "ID Penerima Tugas" dan "Alamat Email Penerima Tugas" ditentukan, tindakan akan memprioritaskan "ID Penerima Tugas".
Alamat Email Penerima Tugas String T/A Tidak

Tentukan alamat email analis yang harus ditetapkan ke pemberitahuan.
Catatan: Jika "ID Penerima Tugas" dan "Alamat Email Penerima Tugas" ditentukan, tindakan akan memprioritaskan "ID Penerima Tugas".

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dengan ID penerima tugas: "Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights ".format(assignee id, alert id)

Jika berhasil dengan alamat email penerima tugas: "Berhasil menetapkan analis dengan alamat email '{0}' ke pemberitahuan dengan ID {1} di Intsights ".format(alamat email penerima tugas, ID pemberitahuan)

Jika penerima tugas tidak ditemukan, kode statusnya adalah 400, dan bekerja dengan ID penerima tugas:

"Tindakan tidak dapat mengubah tugas pada pemberitahuan dengan ID {0}. Alasan: Penerima tugas dengan ID {1} tidak ditemukan.".format(alert_id, assignee id)"


Jika penerima tugas tidak ditemukan, kode statusnya adalah 400, dan alamat email penerima tugas yang digunakan: "Tindakan tidak dapat mengubah penugasan pada pemberitahuan dengan ID {0}. Alasan: Penerima tugas dengan alamat email {1} tidak ditemukan.format(alert_id, email address)"

Jika kode status 400 atau 500 dilaporkan: "Tindakan tidak dapat mengubah penetapan pada pemberitahuan dengan ID {0}. Reason: {1}.".format(alert_id, response)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Assign Alert". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "ID Penerima tugas" dan "Alamat email Penerima tugas" tidak ditentukan: "ID atau Alamat Email Penerima tugas harus ditentukan."

 Umum

Tutup Pemberitahuan

Deskripsi

Tutup pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda tutup.
Alasan DDL

Masalah Teratasi

Nilai yang Mungkin:

  • Masalah Teratasi
  • Khusus Informasi
  • Masalah yang Kami Ketahui
  • Domain Milik Perusahaan
  • Aplikasi/Profil yang Sah
  • Tidak Terkait dengan Perusahaan Saya
  • Positif Palsu
  • Lainnya
 Ya Tentukan alasan mengapa pemberitahuan harus ditutup.
Info Tambahan String T/A Tidak Tentukan informasi tambahan yang menjelaskan alasan peringatan harus ditutup.
Rate Bilangan bulat 5 Tidak Tentukan rating pemberitahuan. Maksimum adalah 5.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully closed the alert with ID '{0}' in Intsights ".format(alert id)

Jika kode status 400 dilaporkan: "Tindakan tidak dapat menutup pemberitahuan dengan ID {0} di Intsights. Reason: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Close Alert". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Rate" tidak berada dalam rentang 1-5: "Nilai tarif harus berada dalam rentang 1 hingga 5."

 Umum

Download CSV Pemberitahuan

Deskripsi

Download file CSV yang berisi informasi terkait pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang CSV-nya ingin Anda download.
Jalur Folder Download String T/A Ya Tentukan jalur ke folder tempat Anda ingin menyimpan file CSV.
Timpa Kotak centang T/A Tidak Jika diaktifkan, tindakan akan menimpa file dengan nama yang sama.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "absolute_paths": ["/opt/file_1"]
}
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil untuk setidaknya satu CSV (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id)

Jika kode status 400 dilaporkan (is_success=true): "No CSV information was found for the alert with ID {alert_id} in Intsights."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan:

"Error saat menjalankan tindakan "Download CSV Pemberitahuan". Reason: {0}''.format(error.Stacktrace)

Jika file dengan nama yang sama sudah ada, tetapi "Ganti" disetel ke salah (false): "Error saat menjalankan tindakan "Download CSV Pemberitahuan". Alasan: file dengan jalur {0} sudah ada. Hapus file atau tetapkan "Overwrite" ke benar."

Jika kode status 404 dilaporkan: "Error executing action "Download Alert CSV". Alasan: Tidak dapat menemukan pemberitahuan dengan ID {ID}'

 Umum

Mendapatkan Gambar Pemberitahuan

Deskripsi

Mengambil informasi tentang gambar peringatan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Gambar Notifikasi CSV T/A Ya

Tentukan daftar ID gambar pemberitahuan yang dipisahkan koma.
Contoh: id1,id2.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
  {
    "image_name": "5b59daf4bdafd90xxxxxx",
    "image_base64_content": "image content in base64"
  }
]
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil untuk setidaknya satu gambar: "Successfully retrieved images from the following IDs in Intsights:".format(list of ids)

Jika tidak berhasil untuk setidaknya satu gambar: "Action wasn't able to successfully retrieve images from the following IDs in Intsights:\n".format(list of ids)

Jika tidak berhasil untuk semua gambar: "No images were retrieved".

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Get Alert Image". Reason: {0}''.format(error.Stacktrace)

 Umum

Ping

Deskripsi

Periksa konektivitas.

Parameter

T/A

Kasus penggunaan

T/A

Terus Berjalan

Tindakan ini dijalankan pada entity URL.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
N/A
Pengayaan Entity

T/A

Insight

T/A

Buka Kembali Pemberitahuan

Deskripsi

Membuka kembali pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Benar Tentukan ID pemberitahuan yang ingin Anda buka kembali.

Terus Berjalan

Tindakan ini tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully reopened the alert with ID '{0}' in Intsights ".format(alert id)

Jika kode status 400 dilaporkan: "Action was not able to reopen the alert with ID {0} in Intsights. Reason: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Reopen Alert". Reason: {0}''.format(error.Stacktrace)

 Umum

Menelusuri IOC

Deskripsi

Atur dan telusuri semua IOC Anda dalam satu dasbor yang mudah digunakan. Dasbor TIP terpusat merangkum IOC menurut tingkat keparahan dan tingkat keyakinan, sehingga Anda dapat dengan mudah memahami IOC berbahaya mana yang menimbulkan risiko terbesar bagi organisasi Anda.

Parameter

T/A

Kasus penggunaan

T/A

Terus Berjalan

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[{
   "EntityResult":
     {
        "Status": "Active",
        "Domain": "sephoratv.com",
        "Severity":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.833Z",
           "Features":
             [{
                 "Score": 10, "Name": "base_intsights_multiple",
                  "Match": 1
               },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_names",
                  "Match": 0
                },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_ip_addresses",
                  "Match": 1
              }],
           "LastUpdateMessage": "",
           "Value": "Low",
           "Score": 20
          },
        "SourceID": "59e376681bb0800644e1368f",
        "Value": "sephoratv.com",
        "Flags": {"IsInAlexa": false},
        "LastSeen": "2019-01-20T04:24:27.258Z",
        "_id": "5c43f80483df230007485c48",
        "Type": "Domains",
        "Enrichment":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.613Z",
           "Data":
               {
                  "domain_status_blocked": false,
                  "latest_resolution_date": "2019-01-20T04:27:22.299Z",
                  "associated_malware_ip_addresses": ["185.16.44.132"],
                  "contact_emails": [],
                  "referencing_file_hashes": [],
                  "malware_category": [],
                  "mail_servers": ["a.mx.domainoo.fr."],
                  "associated_malware_names": [],
                  "threat_actor_category": [],
                  "campaigns": [],
                  "associated_malware_families": [],
                  "resolved_ips": ["185.16.44.132"],
                  "cve_ids": [],
                  "downloaded_file_hashes": [],
                  "domain_expired": false,
                  "communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
                  "name_servers": ["a.ns.domainoo.fr.",
                                   "b.ns.domainoo.fr.",
                                   "c.ns.domainoo.fr."],
                  "registrar": "N/A",
                  "threat_actors": []
                }
           },
        "FirstSeen": "2019-01-20T04:24:27.258Z",
        "AccountID": null
    },
 "Entity": "sephoratv.com"
}]
Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
Status Menampilkan apakah ada dalam hasil JSON
Domain Menampilkan apakah ada dalam hasil JSON
Keparahan Menampilkan apakah ada dalam hasil JSON
SourceID Menampilkan apakah ada dalam hasil JSON
Nilai Menampilkan apakah ada dalam hasil JSON
Flag Menampilkan apakah ada dalam hasil JSON
Terakhir Terlihat Menampilkan apakah ada dalam hasil JSON
_id Menampilkan apakah ada dalam hasil JSON
Jenis Menampilkan apakah ada dalam hasil JSON
Pengayaan Menampilkan apakah ada dalam hasil JSON
Pertama Terlihat Menampilkan apakah ada dalam hasil JSON
AccountID Menampilkan apakah ada dalam hasil JSON
Insight

Ya

Konektor

Konektor Intsights

Deskripsi

Mengambil masalah dari Intsights ke Google SecOps.

Mengonfigurasi Konektor Insight di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Parameter Jenis Nilai Default Deskripsi
DeviceProductField String Details_Source_NetworkType Nama kolom yang digunakan untuk menentukan produk perangkat.
EventClassId String Details_Title Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis).
PythonProcessTimeout String 60 Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini.
Root API String https://api.intsights.com Root API server Intsights.
ID Akun String T/A ID akun untuk login.
Kunci API Sandi T/A Kunci API untuk login.
Verifikasi SSL Kotak centang Tidak dicentang Apakah akan memverifikasi sertifikat SSL server.
Maksimum Hari Mundur Bilangan bulat 3 Jumlah maksimum hari ke belakang untuk menarik pemberitahuan.
Jumlah Maksimum Pemberitahuan Per Siklus Bilangan bulat 10 Jumlah maksimum pemberitahuan yang akan diambil per siklus konektor tunggal.
Alamat Server Proxy String T/A Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Sandi proxy untuk mengautentikasi.

Aturan Konektor

Dukungan Proxy

Konektor mendukung proxy.

Daftar yang diizinkan/Daftar yang tidak diizinkan

Konektor mendukung aturan Daftar Putih/Daftar Hitam.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.