Outpost24
Versão da integração: 5.0
Configurar a integração do Outpost24 no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://your-appliance.outpost24.com | Sim | Raiz da API da instância do Outpost24. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Outpost24. |
| Senha | Senha | N/A | Sim | Senha da conta do Outpost24. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor Outpost24 é válido. |
Casos de uso
- Realizar o enriquecimento de entidades
- Assimilação de alertas
Ações
Enriquecer entidades
Descrição
Aprimore entidades usando informações do Outpost24. Entidades compatíveis: IPAddress, Hostname.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade. |
| Retornar informações de descoberta | Caixa de seleção | Selecionado | Não | Se ativada, a ação também vai recuperar informações sobre descobertas encontradas no endpoint. |
| Tipo de descoberta | DDL | Todos Valores possíveis:
|
Não | Especifique o tipo de descobertas a serem retornadas. |
| Filtro de nível de risco da descoberta | CSV | Inicial, Recomendação, Baixa, Média, Alta, Crítica | Não | Especifique uma lista separada por vírgulas de descobertas de nível de risco usadas durante a filtragem. Valores possíveis: Initial, Recommendation, Low, Medium, High, Critical. Se nada for informado, a ação vai buscar descobertas com todos os níveis de risco. |
| Número máximo de descobertas a serem retornadas | Número inteiro | 100 | Não | Especifique o número de descobertas a serem processadas por entidade. Se nada for fornecido, a ação vai retornar 100 descobertas. |
Executar em
A ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| nome do host | Quando disponível em JSON |
| ip | Quando disponível em JSON |
| exposta | Quando disponível em JSON |
| businessCriticality | Quando disponível em JSON |
| created | Quando disponível em JSON |
| firstSeen | Quando disponível em JSON |
| source | Quando disponível em JSON |
| count_initial_findings | Quando disponível em JSON |
| count_recommendation_findings | Quando disponível em JSON |
| count_low_findings | Quando disponível em JSON |
| count_medium_findings | Quando disponível em JSON |
| count_high_findings | Quando disponível em JSON |
| count_critical_findings | Quando disponível em JSON |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo (entidade \ geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "Aprimoramos as seguintes entidades usando informações do Outpost24 Mobile: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Outpost24: {entity.identifier}" Se os dados não estiverem disponíveis para nenhuma entidade (is_success=false):Nenhuma das entidades fornecidas foi enriquecida. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace): "Erro ao executar a ação "Enriquecer entidades". Motivo: valores de filtro de nível de risco inválidos fornecidos: {csv of invalid values}. Valores possíveis: "Initial", "Recommendation", "Low", "Medium", "High", "Critical". |
Geral |
| Tabela do painel de casos | Título da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
| Tabela do painel de casos | Título da tabela: {entity.identifier} Colunas da tabela:
|
Tabela |
Ping
Descrição
Teste a conectividade com o Outpost24 usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo (entidade \ geral |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedida: "Conexão bem-sucedida com o servidor Outpost24 usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não funcionar: "Não foi possível se conectar ao servidor Outpost24! O erro é {0}".format(exception.stacktrace) |
Geral |
Conectores
Outpost24: conector de descobertas do Outscan
Descrição
Extrai informações sobre descobertas de verificação externa do Outpost24.
Configurar o conector de descobertas do Outscan do Outpost24 no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://your-appliance.outpost24.com | Sim | Raiz da API da instância do Outpost24. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Outpost24. |
| Senha | Senha | N/A | Sim | Senha da conta do Outpost24. |
| Tipo de filtro | CSV | Vulnerabilidade, informação, porta | Sim | Lista separada por vírgulas de filtros de tipo para a descoberta. Valores possíveis: Vulnerability, Information, Port. |
| Menor risco de busca | String | N/A | Não | O menor risco que precisa ser usado para buscar alertas. Valores possíveis: Initial, Recommendation, Low, Medium, High, Critical. Se nada for especificado, o conector vai ingerir alertas com todos os níveis de risco. |
| Número máximo de dias para retroceder | Número inteiro | 1 | Não | O número de horas em que as descobertas devem ser buscadas. |
| Número máximo de descobertas a serem buscadas | Número inteiro | 100 | Não | O número de descobertas a serem processadas por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor Outpost24 é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.