ObserveIT
Versione integrazione: 4.0
Casi d'uso
Importa gli avvisi di ObserveIT e utilizzali per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
Genera ID client e client secret
- Vai alla pagina https://
: /v2/apps/portal/home.html?#creds. - Premi il pulsante "+ Crea app".
Compila il parametro "Nome applicazione".
Premi "Salva".
Troverai una nuova applicazione ObserveIT. Premilo e vedrai questa finestra.
Copia "ID client" e "Client secret".
Utilizza questi valori nella configurazione dell'integrazione.
Configura l'integrazione di ObserveIT in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://<address>:<port> | Sì | Root API di ObserveIT. |
| ID client | Stringa | N/D | Sì | ID client dell'app ObserveIT. |
| Client secret | Password | N/D | Sì | Client secret dell'app ObserveIT. |
| Use SSL (Usa SSL) | Casella di controllo | Selezionata | Sì | Opzione per attivare la connessione SSL/TLS |
Azioni
Dindin
Descrizione
Testa la connettività a ObserveIT con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Esempi di casi d'uso del playbook
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Connettori
ObserveIT - Alerts Connector
Descrizione
Estrai gli avvisi da ObserveIT.
Configura ObserveIT - Alerts Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | eventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://x.x.x.x:x | Sì | Root API del server ObserveIT. |
| ID client | Stringa | N/D | Sì | ID client dell'app ObserveIT. |
| Client secret | Password | Sì | Client secret dell'app ObserveIT. | |
| Gravità minima da recuperare | Stringa | Media | Sì | La gravità minima che verrà utilizzata per recuperare gli avvisi. Valori possibili: Media Alta Critico |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. |
| Numero massimo di avvisi da recuperare | Numero intero | 25 | No | Numero di avvisi da elaborare per ogni iterazione del connettore. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Use SSL (Usa SSL) | Casella di controllo | Selezionata | Sì | Opzione per attivare la connessione SSL/TLS |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.