ObserveIT
統合バージョン: 4.0
ユースケース
ObserveIT アラートを取り込み、それらを使用して Google Security Operations アラートを作成します。次に、Google SecOps でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
クライアント ID とクライアント シークレットを生成する
- https://
: /v2/apps/portal/home.html?#creds. - [+ Create App] ボタンを押します。
[Application Name] パラメータを入力します。
[保存] を押します。
新しい ObserveIT アプリケーションが表示されます。このボタンを押すと、次のウィンドウが表示されます。
[クライアント ID] と [クライアント シークレット] をコピーします。
これらの値を統合構成で使用します。
Google SecOps で ObserveIT の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://<address>:<port> | はい | ObserveIT API ルート。 |
| クライアント ID | 文字列 | なし | はい | ObserveIT アプリのクライアント ID。 |
| クライアント シークレット | パスワード | なし | はい | ObserveIT アプリのクライアント シークレット。 |
| Use SSL | チェックボックス | オン | はい | SSL/TLS 接続を有効にするオプション |
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、ObserveIT への接続をテストします。
パラメータ
なし
プレイブックのユースケースの例
このアクションは、Google Security Operations の [Marketplace] タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
コネクタ
ObserveIT - Alerts Connector
説明
ObserveIT からアラートを取得します。
Google SecOps で ObserveIT - Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | eventType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://x.x.x.x:x | はい | ObserveIT サーバーの API ルート。 |
| クライアント ID | 文字列 | なし | はい | ObserveIT アプリのクライアント ID。 |
| クライアント シークレット | パスワード | はい | ObserveIT アプリのクライアント シークレット。 | |
| 取得する最も低い重大度 | 文字列 | 中 | はい | アラートの取得に使用される最も低い重大度。 可能な値: 中 高 重大 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | どの時点からアラートを取得するかの時間数。 |
| 取得するアラートの最大数 | Integer | 25 | いいえ | 1 回のコネクタの反復処理で対応するアラートの数。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| Use SSL | チェックボックス | オン | はい | SSL/TLS 接続を有効にするオプション |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。