Outpost24
Versión de integración: 5.0
Configura la integración de Outpost24 en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://your-appliance.outpost24.com | Sí | Es la raíz de la API de la instancia de Outpost24. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Outpost24. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Outpost24. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Outpost24 sea válido. |
Casos de uso
- Realiza el enriquecimiento de entidades
- Ingestión de alertas
Acciones
Enriquece entidades
Descripción
Enriquece las entidades con información de Outpost24. Entidades admitidas: dirección IP y nombre de host.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla de verificación | Marcado | No | Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad. |
| Devuelve información de la búsqueda | Casilla de verificación | Marcado | No | Si está habilitada, la acción también recupera información sobre los hallazgos que se encontraron en el endpoint. |
| Tipo de resultado | DDL | Todos Valores posibles:
|
No | Especifica el tipo de hallazgos que se devolverán. |
| Filtro de nivel de riesgo de los resultados | CSV | Inicial, Recomendación, Baja, Media, Alta, Crítica | No | Especifica una lista separada por comas de los hallazgos del nivel de riesgo que se usan durante el filtrado. Los valores posibles son Initial, Recommendation, Low, Medium, High y Critical. Si no se proporciona nada, la acción recupera hallazgos con todos los niveles de riesgo. |
| Cantidad máxima de hallazgos que se devolverán | Número entero | 100 | No | Especifica la cantidad de hallazgos que se procesarán por entidad. Si no se proporciona nada, la acción devuelve 100 hallazgos. |
Ejecutar en
La acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Nombre de host | Cuando está disponible en JSON |
| ip | Cuando está disponible en JSON |
| expuesta | Cuando está disponible en JSON |
| businessCriticality | Cuando está disponible en JSON |
| created | Cuando está disponible en JSON |
| firstSeen | Cuando está disponible en JSON |
| source | Cuando está disponible en JSON |
| count_initial_findings | Cuando está disponible en JSON |
| count_recommendation_findings | Cuando está disponible en JSON |
| count_low_findings | Cuando está disponible en JSON |
| count_medium_findings | Cuando está disponible en JSON |
| count_high_findings | Cuando está disponible en JSON |
| count_critical_findings | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad\general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de Outpost24 Mobile: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información de Outpost24: {entity.identifier}" Si los datos no están disponibles para ninguna entidad (is_success=false): "No se enriqueció ninguna de las entidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace): "Error executing action "Enrich Entities". Motivo: Se proporcionaron valores de filtro de nivel de riesgo no válidos: {csv of invalid values}. Los valores posibles son: Inicial, Recomendación, Baja, Media, Alta y Crítica. |
General |
| Tabla del muro de casos | Título de la tabla: {entity.identifier} Columnas de la tabla:
|
Entidad |
| Tabla del muro de casos | Título de la tabla: {entity.identifier} Columnas de la tabla:
|
Tabla |
Ping
Descripción
Prueba la conectividad con Outpost24 con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo (entidad\general |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Outpost24 server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente: "No se pudo conectar al servidor de Outpost24. Error is {0}".format(exception.stacktrace) |
General |
Conectores
Outpost24: conector de Outscan Findings
Descripción
Extrae información sobre los resultados de la exploración externa de Outpost24.
Configura el conector de resultados de Outscan de Outpost24 en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | tipo | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 300 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://your-appliance.outpost24.com | Sí | Es la raíz de la API de la instancia de Outpost24. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Outpost24. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Outpost24. |
| Tipo de filtro | CSV | Vulnerabilidad, información y puerto | Sí | Lista de filtros de tipo separados por comas para el hallazgo. Valores posibles: Vulnerability, Information, Port. |
| Lowest Risk To Fetch | String | N/A | No | Es el riesgo más bajo que se debe usar para recuperar alertas. Los valores posibles son Initial, Recommendation, Low, Medium, High y Critical. Si no se especifica nada, el conector ingiere alertas con todos los niveles de riesgo. |
| Máx. de días hacia atrás | Número entero | 1 | No | Cantidad de horas durante las que se deben recuperar los hallazgos. |
| Cantidad máxima de hallazgos que se pueden recuperar | Número entero | 100 | No | Es la cantidad de hallazgos que se procesarán en cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Outpost24 sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.