Outpost24
Version de l'intégration : 5.0
Configurer l'intégration Outpost24 dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://your-appliance.outpost24.com | Oui | Racine de l'API de l'instance Outpost24. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Outpost24. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Outpost24. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Outpost24 est valide. |
Cas d'utilisation
- Enrichir des entités
- Ingestion des alertes
Actions
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations d'Outpost24. Entités acceptées : adresse IP, nom d'hôte.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. |
| Informations sur les résultats de retour | Case à cocher | Cochée | Non | Si cette option est activée, l'action récupère également des informations sur les résultats trouvés sur le point de terminaison. |
| Type de résultat | LDD | Tous Valeurs possibles :
|
Non | Spécifiez le type de résultats à renvoyer. |
| Filtre du niveau de risque des résultats | CSV | Initial, Recommandation, Faible, Moyen, Élevé, Critique | Non | Spécifiez une liste de résultats de niveau de risque séparés par une virgule, qui sont utilisés lors du filtrage. Valeurs possibles : "Initial", "Recommendation", "Low", "Medium", "High", "Critical". Si rien n'est spécifié, l'action récupère les résultats avec tous les niveaux de risque. |
| Nombre maximal de résultats à renvoyer | Integer | 100 | Non | Spécifiez le nombre de résultats à traiter par entité. Si aucune valeur n'est fournie, l'action renvoie 100 résultats. |
Exécuter sur
L'action s'exécute sur les entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| nom d'hôte | Lorsqu'il est disponible au format JSON |
| ip | Lorsqu'il est disponible au format JSON |
| exposé | Lorsqu'il est disponible au format JSON |
| businessCriticality | Lorsqu'il est disponible au format JSON |
| créé | Lorsqu'il est disponible au format JSON |
| firstSeen | Lorsqu'il est disponible au format JSON |
| source | Lorsqu'il est disponible au format JSON |
| count_initial_findings | Lorsqu'il est disponible au format JSON |
| count_recommendation_findings | Lorsqu'il est disponible au format JSON |
| count_low_findings | Lorsqu'il est disponible au format JSON |
| count_medium_findings | Lorsqu'il est disponible au format JSON |
| count_high_findings | Lorsqu'il est disponible au format JSON |
| count_critical_findings | Lorsqu'il est disponible au format JSON |
Mur des cas
| Type de résultat | Valeur / Description | Type (entité \ général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations d'Outpost24 Mobile : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations d'Outpost24 : {entity.identifier}" Si aucune donnée n'est disponible pour une entité (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : {0}''.format(error.Stacktrace): "Erreur lors de l'exécution de l'action "Enrichir les entités". Motif : valeurs de filtre de niveau de risque non valides fournies : {csv of invalid values}. Valeurs possibles : "Initial", "Recommendation", "Low", "Medium", "High", "Critical". |
Général |
| Tableau du mur des cas | Titre du tableau : {entity.identifier} Colonnes du tableau :
|
Entité |
| Tableau du mur des cas | Titre du tableau : {entity.identifier} Colonnes du tableau :
|
Table |
Ping
Description
Testez la connectivité à Outpost24 avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Paramètres
N/A
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type (Entité \ Général |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion au serveur Outpost24 a été établie avec succès à l'aide des paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Outpost24 ! Error is {0}".format(exception.stacktrace) |
Général |
Connecteurs
Connecteur Outpost24 – Outscan Findings
Description
Extrayez des informations sur les résultats d'analyse externe à partir d'Outpost24.
Configurer le connecteur de résultats Outpost24-Outscan dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | type | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 300 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://your-appliance.outpost24.com | Oui | Racine de l'API de l'instance Outpost24. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Outpost24. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Outpost24. |
| Filtre par type | CSV | Faille, information, port | Oui | Liste de filtres de type pour le problème, séparés par une virgule. Valeurs possibles : "Vulnerability" (Vulnérabilité), "Information" (Information) ou "Port" (Port). |
| Risque le plus faible pour la récupération | Chaîne | N/A | Non | Risque le plus faible à utiliser pour récupérer les alertes. Valeurs possibles : "Initial", "Recommendation", "Low", "Medium", "High", "Critical". Si rien n'est spécifié, le connecteur ingère les alertes de tous les niveaux de risque. |
| Nombre maximal de jours en arrière | Integer | 1 | Non | Nombre d'heures pour lesquelles les résultats doivent être récupérés. |
| Nombre maximal de résultats à récupérer | Integer | 100 | Non | Nombre de résultats à traiter par itération de connecteur. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche est utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Outpost24 est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.