Outpost24
Versión de integración: 5.0
Configurar la integración de Outpost24 en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://your-appliance.outpost24.com | Sí | Raíz de la API de la instancia de Outpost24. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Outpost24. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Outpost24. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Outpost24 sea válido. |
Casos prácticos
- Enriquecer entidades
- Ingestión de alertas
Acciones
Enriquecer entidades
Descripción
Enriquece las entidades con información de Outpost24. Entidades admitidas: IP Address y Hostname.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. |
| Return Finding Information | Casilla | Marcada | No | Si está habilitada, la acción también obtiene información sobre las detecciones que se han encontrado en el endpoint. |
| Tipo de resultado | DDL | Todo Posibles valores:
|
No | Especifica el tipo de resultados que quieres obtener. |
| Buscar filtro de nivel de riesgo | CSV | Inicial, Recomendación, Bajo, Medio, Alto y Crítico | No | Especifica una lista separada por comas de las conclusiones del nivel de riesgo que se usan durante el filtrado. Valores posibles: Initial, Recommendation, Low, Medium, High y Critical. Si no se proporciona nada, la acción obtiene resultados con todos los niveles de riesgo. |
| Número máximo de resultados que se devolverán | Entero | 100 | No | Especifica el número de resultados que se deben procesar por entidad. Si no se proporciona nada, la acción devuelve 100 resultados. |
Fecha de ejecución
La acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| nombre de host | Cuando esté disponible en JSON |
| ip | Cuando esté disponible en JSON |
| expuesto | Cuando esté disponible en JSON |
| businessCriticality | Cuando esté disponible en JSON |
| creado | Cuando esté disponible en JSON |
| firstSeen | Cuando esté disponible en JSON |
| fuente | Cuando esté disponible en JSON |
| count_initial_findings | Cuando esté disponible en JSON |
| count_recommendation_findings | Cuando esté disponible en JSON |
| count_low_findings | Cuando esté disponible en JSON |
| count_medium_findings | Cuando esté disponible en JSON |
| count_high_findings | Cuando esté disponible en JSON |
| count_critical_findings | Cuando esté disponible en JSON |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Successfully enriched the following entities using information from Outpost24 Mobile: {entity.identifier}". ("Se han enriquecido correctamente las siguientes entidades con información de Outpost24 Mobile: {entity.identifier}"). Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to enrich the following entities using information from Outpost24: {entity.identifier}" ("La acción no ha podido enriquecer las siguientes entidades con información de Outpost24: {entity.identifier}") Si no hay datos disponibles para ninguna entidad (is_success=false): "None of the provided entities were enriched." ("No se ha enriquecido ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace): "Error al ejecutar la acción "Enrich Entities". Motivo: se han proporcionado valores de filtro de nivel de riesgo no válidos: {csv of invalid values}. Valores posibles: Initial, Recommendation, Low, Medium, High, Critical. |
General |
| Tabla del panel de casos | Título de la tabla: {entity.identifier} Columnas de tabla:
|
Entidad |
| Tabla del panel de casos | Título de la tabla: {entity.identifier} Columnas de tabla:
|
Tabla |
Ping
Descripción
Prueba la conectividad con Outpost24 con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Outpost24 server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Outpost24 con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor de Outpost24. Error: {0}".format(exception.stacktrace) |
General |
Conectores
Outpost24 - Conector de resultados de Outscan
Descripción
Extrae información sobre los resultados de análisis externos de Outpost24.
Configurar el conector de resultados de Outscan de Outpost24 en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | tipo | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 300 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://your-appliance.outpost24.com | Sí | Raíz de la API de la instancia de Outpost24. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Outpost24. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Outpost24. |
| Tipo de filtro | CSV | Vulnerabilidad, información y puerto | Sí | Lista de filtros de tipo de la detección separados por comas. Valores posibles: Vulnerability, Information y Port. |
| Riesgo más bajo para obtener | Cadena | N/A | No | El riesgo más bajo que se debe usar para obtener alertas. Valores posibles: Initial, Recommendation, Low, Medium, High y Critical. Si no se especifica nada, el conector ingiere alertas con todos los niveles de riesgo. |
| Máximo de días hacia atrás | Entero | 1 | No | Número de horas durante las que se deben obtener los resultados. |
| Número máximo de resultados que se van a obtener | Entero | 100 | No | Número de resultados que se deben procesar por iteración de conector. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista de permitidos se usa como lista de bloqueo. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Outpost24 sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.