Diese Seite wurde von der Cloud Translation API übersetzt.

Nozomi Networks

Integrationsversion: 5.0

Anwendungsbereiche

Informationen zu Assets anreichern
Abfragen für die Nozomi-Installation ausführen
Führen Sie CLI-Befehle für die Nozomi-Installation aus.

Nozomi Networks-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
API-URL	String	https://x.x.x.x:port	Ja	Nozomi-API-URL für die Verbindung
Nutzername	String	–	Ja	Nutzername des Nozomi-Kontos, der für die Verbindung verwendet werden soll
Passwort	Passwort	–	Ja	Das Passwort für das Nozomi-Konto, das für die Verbindung verwendet werden soll
SSL überprüfen	Kästchen	Deaktiviert	Nein	Geben Sie an, ob das Zertifikat der API-URL vor der Verbindung validiert werden soll.
CA-Zertifikat	String	–	Nein

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zur Nozomi Networks-Instanz mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Nozomi Networks instance with the provided connection parameters!“ (Die Verbindung zur Nozomi Networks-Instanz mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei kritischem Fehler, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the Nozomi Networks instance! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Nozomi Networks instance with the provided connection parameters!“ (Die Verbindung zur Nozomi Networks-Instanz mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei kritischem Fehler, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the Nozomi Networks instance! Fehler: {0}".format(exception.stacktrace)

Allgemein

Entitäten anreichern

Beschreibung

Google SecOps-Host- oder IP-Entitäten basierend auf den Informationen des Nozomi Networks-Geräts anreichern.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Zusätzliche Felder, die der Anreicherung hinzugefügt werden sollen	String	–	Nein	Eine durch Kommas getrennte Liste von Feldern, die zusätzlich aus der Knotenabfrage übernommen und zu den Feldern hinzugefügt werden sollen, die standardmäßig für die Anreicherung verwendet werden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "result": [
        {
            "appliance_host": "nozomi-n2os.local",
            "label": "DESKTOP-8P0TH6Q.local",
            "id": "172.30.202.127",
            "_asset_kb_id": null,
            "ip": "172.30.202.127",
            "mac_address": "00:50:56:a2:51:88",
            "mac_address:info": {
                "source": "",
                "likelihood": 0,
                "likelihood_level": "unconfirmed"
            },
            "mac_vendor": "VMware, Inc.",
            "_private_status": "no",
            "subnet": "172.30.202.0/24",
            "vlan_id": null,
            "vlan_id:info": {
                "source": "passive"
            },
            "zone": "Internal",
            "level": "5",
            "type": "computer",
            "type:info": {
                "source": "passive"
            },
            "os": "Windows 10 / Server 2016",
            "vendor": null,
            "vendor:info": {
                "source": "passive"
            },
            "product_name": null,
            "product_name:info": {
                "source": "passive"
            },
            "firmware_version": null,
            "firmware_version:info": {
                "source": "passive"
            },
            "serial_number": null,
            "serial_number:info": {
                "source": "passive"
            },
            "is_broadcast": false,
            "is_public": false,
            "reputation": null,
            "is_confirmed": true,
            "is_learned": true,
            "is_fully_learned": true,
            "is_disabled": false,
            "_is_licensed": true,
            "roles": [
                "other"
            ],
            "links": [
                {
                    "id": "224.0.0.252",
                    "protos": [
                        {
                            "name": "llmnr",
                            "last_activity": "1602495882225"
                        }
                    ]
                },
                {
                    "id": "172.30.202.255",
                    "protos": [
                        {
                            "name": "browser",
                            "last_activity": "1605052230602"
                        },
                        {
                            "name": "netbios-ns",
                            "last_activity": "1604654773056"
                        }
                    ]
                },
                {
                    "id": "224.0.0.251",
                    "protos": [
                        {
                            "name": "mdns",
                            "last_activity": "1602636321803"
                        }
                    ]
                },
                {
                    "id": "239.255.255.250",
                    "protos": [
                        {
                            "name": "ssdp",
                            "last_activity": "1600331209918"
                        }
                    ]
                }
            ],
            "links_count": "5",
            "protocols": [
                "browser",
                "llmnr",
                "mdns",
                "netbios-ns",
                "ssdp"
            ],
            "created_at": "1595315728295",
            "first_activity_time": "1595315728295",
            "last_activity_time": "1605052230602",
            "received.packets": "0",
            "received.bytes": "0",
            "received.last_5m_bytes": "0",
            "received.last_15m_bytes": "0",
            "received.last_30m_bytes": "0",
            "sent.packets": "5088",
            "sent.bytes": "1031179",
            "sent.last_5m_bytes": "0",
            "sent.last_15m_bytes": "0",
            "sent.last_30m_bytes": "0",
            "tcp_retransmission.percent": 0,
            "tcp_retransmission.packets": "0",
            "tcp_retransmission.bytes": "0",
            "tcp_retransmission.last_5m_bytes": "0",
            "tcp_retransmission.last_15m_bytes": "0",
            "tcp_retransmission.last_30m_bytes": "0",
            "variables_count": null,
            "device_id": "TIP-HW-HOST-033",
            "properties": {},
            "custom_fields": {},
            "bpf_filter": "ip host 172.30.202.127",
            "device_modules": {},
            "capture_device": "em1"
        }
    ],

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Nozomi.level	Wenn nicht null
Nozomi.appliance_host	Wenn nicht null
Nozomi.ip	Wenn nicht null
Nozomi.mac_address	Wenn nicht null
Nozomi.vlan_id	Wenn nicht null
Nozomi.os	Wenn nicht null
Nozomi.roles	Wenn nicht null
Nozomi.vendor	Wenn nicht null
Nozomi.firmware_version	Wenn nicht null
Nozomi.serial_number	Wenn nicht null
Nozomi.product_name	Wenn nicht null
Nozomi.type	Wenn nicht null
Nozomi.protocols	Wenn nicht null
Nozomi.device_id	Wenn nicht null
Nozomi.capture_device	Wenn nicht null
Nozomi.is_broadcast	Wenn nicht null
Nozomi.is_public	Wenn nicht null
Nozomi.is_confirmed	Wenn nicht null
Nozomi.is_disabled	Wenn nicht null
Nozomi.is_licensed	Wenn nicht null

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn erfolgreich und mindestens eine der angegebenen Entitäten angereichert wurde:Gib „Successfully enriched entities: {0}“ aus.format([entity.Identifier]). Wenn nicht alle bereitgestellten Entitäten angereichert werden können:Gib „No entities were enriched.“ aus. Wenn keine Daten auf dem Nozomi-Gerät gefunden werden, um bestimmte Entitäten anzureichern:print "Action was not able to find Nozomi Guardian information to enrich the following entities: {0}".format([entity.identifier]) Wenn in Nozomi mehrere Übereinstimmungen für einige Google SecOps-Entitäten gefunden wurden, wurde die erste Übereinstimmung verwendet, um Entitäten anzureichern: print "Multiple matches were found in Nozomi Guardian, taking first match for the following entities:/n {0}".format(entity.identifiers list) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Enrich Entities action! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn erfolgreich und mindestens eine der angegebenen Entitäten angereichert wurde:Gib „Successfully enriched entities: {0}“ aus.format([entity.Identifier]).
Wenn nicht alle bereitgestellten Entitäten angereichert werden können:Gib „No entities were enriched.“ aus.
Wenn keine Daten auf dem Nozomi-Gerät gefunden werden, um bestimmte Entitäten anzureichern:print "Action was not able to find Nozomi Guardian information to enrich the following entities: {0}".format([entity.identifier])
Wenn in Nozomi mehrere Übereinstimmungen für einige Google SecOps-Entitäten gefunden wurden, wurde die erste Übereinstimmung verwendet, um Entitäten anzureichern: print "Multiple matches were found in Nozomi Guardian, taking first match for the following entities:/n {0}".format(entity.identifiers list)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Enrich Entities action! Fehler: {0}".format(exception.stacktrace)

Allgemein

Abfrage ausführen

Beschreibung

Führen Sie eine Abfrage auf einem Nozomi Networks-Gerät aus.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Abfrage	String	–	Ja	Geben Sie eine Abfrage an, die auf dem Nozomi Networks-Gerät ausgeführt werden soll, z. B. „alerts \| head 10“.
Aufzeichnungslimit	Ganzzahl	10	Nein	Kann verwendet werden, um anzugeben, wie viele Datensätze von der Aktion zurückgegeben werden können. Wenn der Standardwert 10 festgelegt ist, wird der finalen Abfrage der Parameter „\| head 10“ hinzugefügt, um die Anzahl der zurückgegebenen Datensätze zu begrenzen. Wenn für den Parameter nichts angegeben ist, werden alle Abfrageergebnisse zurückgegeben. Negative Werte werden ignoriert.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "result": [
        {
            "id": "0bee5f36-9b50-4037-8b02-f02f5cd637c3",
            "type_id": "VI:NEW-ARP",
            "name": "New ARP",
            "description": "New ARP packet from node with MAC address 00:50:56:a2:e8:0b and IP address 172.30.202.8",
            "severity": 10,
            "mac_src": "00:50:56:a2:e8:0b",
            "mac_dst": "ff:ff:ff:ff:ff:ff",
            "ip_src": "172.30.202.8",
            "ip_dst": null,
            "risk": "6.0",
            "protocol": "arp",
            "src_roles": "other",
            "dst_roles": "other",
            "time": 1604974955058,
            "ack": false,
            "id_src": "00:50:56:a2:e8:0b",
            "id_dst": "ff:ff:ff:ff:ff:ff",
            "synchronized": false,
            "appliance_id": "",
            "port_src": null,
            "port_dst": null,
            "label_src": null,
            "label_dst": null,
            "trigger_id": null,
            "trigger_type": null,
            "appliance_host": "nozomi-n2os.local",
            "appliance_ip": "172.30.202.226",
            "transport_protocol": "ethernet",
            "is_security": true,
            "note": null,
            "appliance_site": null,
            "parents": [
                "9827b15f-bbdf-483a-b074-8991793f80f3",
                "e76a4060-50f1-47cd-98c4-fb25bfb16433"
            ],
            "is_incident": false,
            "properties": {
                "base_risk": 4,
                "from_id": "00:50:56:a2:e8:0b",
                "is_dst_node_learned": true,
                "is_dst_reputation_bad": false,
                "is_src_node_learned": false,
                "is_src_reputation_bad": false,
                "to_id": "ff:ff:ff:ff:ff:ff"
            },
            "created_time": 1604974955058,
            "incident_keys": [],
            "bpf_filter": "ether host 00:50:56:a2:e8:0b and ether host ff:ff:ff:ff:ff:ff and ether proto 0x0806",
            "closed_time": 0,
            "status": "open",
            "session_id": "154400:50:56:a2:e8:0bff:ff:ff:ff:ff:ff0000175aff64a32",
            "replicated": false,
            "capture_device": "em1",
            "threat_name": "",
            "type_name": "New ARP",
            "sec_profile_visible": true,
            "zone_src": "Layer2",
            "zone_dst": "Layer2"
        },

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg:print „Query executed successfully“ (Abfrage erfolgreich ausgeführt). if nothing found: print "Query executed successfully, but did not return any results.". if error: print "Query didn't completed due to error: {0}".format(exception.stacktrace). Bei Zeitüberschreitung: „Die Anfrage wurde aufgrund einer Zeitüberschreitung nicht abgeschlossen {0}“.format(exception.stacktrace) ausgeben. Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)	Allgemein
Tabelle	Tabellentitel:Abfrageergebnisse Spalten:Spalten werden dynamisch basierend auf dem Abfrageergebnis generiert.	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden:

Bei Erfolg:print „Query executed successfully“ (Abfrage erfolgreich ausgeführt).
if nothing found: print "Query executed successfully, but did not return any results.".
if error: print "Query didn't completed due to error: {0}".format(exception.stacktrace).
Bei Zeitüberschreitung: „Die Anfrage wurde aufgrund einer Zeitüberschreitung nicht abgeschlossen {0}“.format(exception.stacktrace) ausgeben.

Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)

Allgemein

Tabelle

Tabellentitel:Abfrageergebnisse

Spalten:Spalten werden dynamisch basierend auf dem Abfrageergebnis generiert.

Allgemein

Befehlszeilenbefehl ausführen

Beschreibung

Führen Sie einen CLI-Befehl auf einem Nozomi Networks-Gerät aus.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
CLI-Befehl	String	–	Ja	Geben Sie einen CLI-Befehl an, der auf dem Nozomi Networks-Gerät ausgeführt werden soll. Hinweis: Die Nozomi-API bietet keine Validierung für ausgeführte CLI-Befehle. Es liegt in der Verantwortung des Nutzers, dafür zu sorgen, dass der bereitgestellte CLI-Befehl korrekt ist.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg: „CLI Command executed“ ausgeben. Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden:

Bei Erfolg: „CLI Command executed“ ausgeben.

Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)

Allgemein

Sicherheitslücken auflisten

Beschreibung

Listet Sicherheitslücken auf, die vom Nozomi-Gerät basierend auf den bereitgestellten Aktions-Eingabeparametern erkannt wurden.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
IP-Adresse	String	–	Nein	Sicherheitslücken für die angegebene IP-Adresse auflisten. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
CVE-Wert	Ganzzahl	–	Nein	Die Sicherheitslücke mit dem niedrigsten CVE-Schweregrad muss aufgeführt werden. Der Schweregrad kann eine Zahl zwischen 0 und 10 sein.
Name der Sicherheitslücke enthält	String	–	Nein	Geben Sie einen String an, den der Name der Sicherheitslücke enthalten muss, damit sie aufgeführt wird.
CVE-ID	String	–	Nein	Wenn Sie wissen, nach welcher bestimmten CVE Sie suchen, geben Sie die zugehörige ID in diesem Feld an, z. B. CVE-2020-1207. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Aufzeichnungslimit	Ganzzahl	25	Ja	Kann verwendet werden, um anzugeben, wie viele Datensätze von der Aktion zurückgegeben werden können.
Sollen Sicherheitslücken, die als behoben markiert wurden, berücksichtigt werden?	Kästchen	Deaktiviert	Nein	Geben Sie an, ob die Aktion auch Sicherheitslücken zurückgeben soll, die als behoben markiert sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "result": [
        {
            "id": "cb9054a6-11a6-47ff-9c08-8033e42f9e63",
            "node_id": "172.30.202.71",
            "cve": "CVE-2017-8718",
            "cve_summary": "The Microsoft JET Database Engine in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows an attacker to take control of an affected system, due to how it handles objects in memory, aka \"Microsoft JET Database Engine Remote Code Execution Vulnerability\". This CVE ID is unique from CVE-2017-8717.",
            "cve_score": 9.3,
            "cve_creation_time": 1507886940000,
            "cve_update_time": 1508488860000,
            "time": 1598516419115,
            "cwe_id": "119",
            "cwe_name": "Improper Restriction of Operations within the Bounds of a Memory Buffer",
            "matching_cpes": [
                "cpe:/o:microsoft:windows_server_2016:-:-:-"
            ],
            "cve_references": [
                {
                    "name": "101162",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "BID",
                    "url": "http://www.securityfocus.com/bid/101162"
                },
                {
                    "name": "1039527",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "SECTRACK",
                    "url": "http://www.securitytracker.com/id/1039527"
                },
                {
                    "name": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718",
                    "reference_type": "VENDOR_ADVISORY",
                    "source": "CONFIRM",
                    "url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8718"
                }
            ],
            "likelihood": 0.4,
            "resolved": false,
            "resolved_reason": "",
            "resolved_source": null,
            "installed_on": null,
            "appliance_id": "",
            "appliance_ip": "",
            "appliance_host": "",
            "zone": "Internal"
        }
    ],

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg:print "Search executed successfully". Wenn nichts gefunden wurde:Gib „Die Suche wurde erfolgreich ausgeführt, hat aber keine Ergebnisse zurückgegeben.“ aus. Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)	Allgemein
Tabelle	Tabellentitel: Gefundene Sicherheitslücken Spalten: IP-Adresse CVE-ID Name der Sicherheitslücke Beschreibung der Sicherheitslücke CVE-Wert Zone Wurde behoben Verweise Erstellungszeitpunkt der CVE Zeit der CVE-Aktualisierung	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden:

Bei Erfolg:print "Search executed successfully".
Wenn nichts gefunden wurde:Gib „Die Suche wurde erfolgreich ausgeführt, hat aber keine Ergebnisse zurückgegeben.“ aus.

Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Failed to execute Run a Query action! Fehler: {0}".format(exception.stacktrace)

Allgemein

Tabelle

Tabellentitel: Gefundene Sicherheitslücken

Spalten:

IP-Adresse

CVE-ID

Name der Sicherheitslücke

Beschreibung der Sicherheitslücke

CVE-Wert

Zone

Wurde behoben

Verweise

Erstellungszeitpunkt der CVE

Zeit der CVE-Aktualisierung

Allgemein

Connector

Nozomi Networks Alerts Connector

Beschreibung

Connector zum Abrufen von Nozomi Networks-Benachrichtigungen für Google SecOps.

Nozomi Networks Alerts Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Vorgang	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-URL	String	https://x.x.x.x:port	Ja	Nozomi-API-URL für die Verbindung
Nutzername	String	–	Ja	Nutzername des Nozomi-Kontos, der für die Verbindung verwendet werden soll
Passwort	Passwort	–	Ja	Das Passwort für das Nozomi-Konto, das für die Verbindung verwendet werden soll
SSL überprüfen	Kästchen	Deaktiviert	Nein	Geben Sie an, ob das Zertifikat der API-URL vor der Verbindung validiert werden soll.
CA-Zertifikat	String	–	Nein
Mindestschweregrad für Abruf	integer	–	Nein	Benachrichtigungen mit dem geringsten Schweregrad müssen aufgenommen werden. Der Schweregrad kann eine Zahl zwischen 0 und 10 sein.
Nur Benachrichtigungen mit dem Attribut „is_security“ aufnehmen, das auf „True“ gesetzt ist?	Kästchen	Deaktiviert	Nein	Geben Sie an, ob nur Benachrichtigungen mit dem Attribut „is_security“ auf „True“ gesetzt werden sollen.
Sollen nur Benachrichtigungen aufgenommen werden, bei denen das Attribut „is_incident“ auf „True“ gesetzt ist?	Kästchen	Deaktiviert	Nein	Geben Sie an, ob nur Benachrichtigungen mit dem Attribut „is_incident“ auf „True“ gesetzt werden sollen.
Maximale Stunden rückwärts abrufen	Ganzzahl	8	Ja	Rufe Benachrichtigungen ab, die bis zu X Stunden zurückliegen.
Zeitintervall für den Rückwärtsabruf (Minuten)	Ganzzahl	60	Ja	Zeitintervall, das vom Connector verwendet werden soll, um Benachrichtigungen abzurufen (maximal Stunden zurück). Wenn Nozomi Device in einem großen Netzwerk bereitgestellt wird, kann die Anzahl der generierten Benachrichtigungen erheblich sein. Daher kann dieser Parameter in Minuten verwendet werden, um die maximale Anzahl von Stunden rückwärts in kleinere Segmente aufzuteilen und diese einzeln zu verarbeiten. Das Zeitintervall darf nicht größer als der Wert für „Max. Stunden rückwärts“ sein.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
Proxyserveradresse	String		Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String		Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort		Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten