Outpost24
Integrationsversion: 5.0
Outpost24-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://your-appliance.outpost24.com | Ja | API-Stammverzeichnis der Outpost24-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Outpost24-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des Outpost24-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Outpost24-Server gültig ist. |
Anwendungsbereiche
- Elemente anreichern
- Aufnahme von Benachrichtigungen
Aktionen
Entitäten anreichern
Beschreibung
Entitäten mit Informationen von Outpost24 anreichern Unterstützte Einheiten: IP-Adresse, Hostname.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
| Informationen zu Ergebnissen zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion auch Informationen zu Ergebnissen abgerufen, die auf dem Endpunkt gefunden wurden. |
| Ergebnistyp | DDL | Alle Mögliche Werte:
|
Nein | Geben Sie den Typ der zurückzugebenden Ergebnisse an. |
| Filter für das Risikolevel von Ergebnissen | CSV | Erste, Empfehlung, Niedrig, Mittel, Hoch, Kritisch | Nein | Geben Sie eine durch Kommas getrennte Liste von Ergebnissen für Risikostufen an, die beim Filtern verwendet werden. Mögliche Werte: „Initial“, „Recommendation“, „Low“, „Medium“, „High“, „Critical“. Wenn nichts angegeben ist, werden mit der Aktion Ergebnisse mit allen Risikostufen abgerufen. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der Ergebnisse an, die pro Entität verarbeitet werden sollen. Wenn nichts angegeben wird, werden 100 Ergebnisse zurückgegeben. |
Ausführen am
Die Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Hostname | Wenn in JSON verfügbar |
| ip | Wenn in JSON verfügbar |
| ausgesetzt | Wenn in JSON verfügbar |
| businessCriticality | Wenn in JSON verfügbar |
| erstellt | Wenn in JSON verfügbar |
| firstSeen | Wenn in JSON verfügbar |
| source | Wenn in JSON verfügbar |
| count_initial_findings | Wenn in JSON verfügbar |
| count_recommendation_findings | Wenn in JSON verfügbar |
| count_low_findings | Wenn in JSON verfügbar |
| count_medium_findings | Wenn in JSON verfügbar |
| count_high_findings | Wenn in JSON verfügbar |
| count_critical_findings | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Einheit verfügbar sind (is_success=true): „Die folgenden Einheiten wurden mit Informationen von Outpost24 Mobile angereichert: {entity.identifier}“. Wenn für eine Entität keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht mit Informationen von Outpost24 anreichern: {entity.identifier}“ Wenn für keine Entität Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace): „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: Ungültige Filterwerte für das Risikoniveau angegeben: {csv of invalid values}. Mögliche Werte: „Initial“, „Recommendation“, „Low“, „Medium“, „High“, „Critical“. |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} Tabellenspalten:
|
Entität |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} Tabellenspalten:
|
Tabelle |
Ping
Beschreibung
Testen Sie die Verbindung zu Outpost24 mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ (Entität \ Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Outpost24 server with the provided connection parameters!“ (Die Verbindung zum Outpost24-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Outpost24-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Connectors
Outpost24 – Outscan Findings Connector
Beschreibung
Informationen zu Outscan-Ergebnissen von Outpost24 abrufen.
Outpost24 – Outscan Findings Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 300 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://your-appliance.outpost24.com | Ja | API-Stammverzeichnis der Outpost24-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Outpost24-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des Outpost24-Kontos. |
| Filtertyp | CSV | Sicherheitslücke, Information, Port | Ja | Durch Kommas getrennte Liste von Typfiltern für den Befund. Mögliche Werte: „Vulnerability“, „Information“, „Port“. |
| Geringstes Risiko beim Abrufen | String | – | Nein | Das niedrigste Risiko, das zum Abrufen von Benachrichtigungen verwendet werden muss. Mögliche Werte: „Initial“, „Recommendation“, „Low“, „Medium“, „High“, „Critical“. Wenn nichts angegeben ist, werden Warnungen mit allen Risikostufen aufgenommen. |
| Max. Tage rückwärts | Ganzzahl | 1 | Nein | Die Anzahl der Stunden, für die Ergebnisse abgerufen werden sollen. |
| Maximale Anzahl abzurufender Ergebnisse | Ganzzahl | 100 | Nein | Die Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Outpost24-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten