Outpost24
Versione integrazione: 5.0
Configura l'integrazione di Outpost24 in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://your-appliance.outpost24.com | Sì | Radice API dell'istanza Outpost24. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Outpost24. |
| Password | Password | N/D | Sì | Password dell'account Outpost24. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Outpost24 sia valido. |
Casi d'uso
- Eseguire l'arricchimento delle entità
- Inserimento degli avvisi
Azioni
Arricchisci entità
Descrizione
Arricchisci le entità utilizzando le informazioni di Outpost24. Entità supportate: indirizzo IP, nome host.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un approfondimento contenente tutte le informazioni recuperate sull'entità. |
| Informazioni sui risultati della restituzione | Casella di controllo | Selezionata | No | Se abilitata, l'azione recupera anche informazioni sui risultati trovati sull'endpoint. |
| Tipo di risultato | DDL | Tutti Valori possibili:
|
No | Specifica il tipo di risultati da restituire. |
| Filtro per il livello di rischio dei risultati | CSV | Iniziale, Consigliato, Basso, Medio, Alto, Critico | No | Specifica un elenco separato da virgole dei risultati del livello di rischio utilizzati durante il filtraggio. Valori possibili: Iniziale, Consigliato, Basso, Medio, Alto, Critico. Se non viene fornito nulla, l'azione recupera i risultati con tutti i livelli di rischio. |
| Numero massimo di risultati da restituire | Numero intero | 100 | No | Specifica il numero di risultati da elaborare per entità. Se non viene fornito nulla, l'azione restituisce 100 risultati. |
Run On
L'azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| nome host | Quando disponibile in formato JSON |
| ip | Quando disponibile in formato JSON |
| esposto | Quando disponibile in formato JSON |
| businessCriticality | Quando disponibile in formato JSON |
| creato | Quando disponibile in formato JSON |
| firstSeen | Quando disponibile in formato JSON |
| origine | Quando disponibile in formato JSON |
| count_initial_findings | Quando disponibile in formato JSON |
| count_recommendation_findings | Quando disponibile in formato JSON |
| count_low_findings | Quando disponibile in formato JSON |
| count_medium_findings | Quando disponibile in formato JSON |
| count_high_findings | Quando disponibile in formato JSON |
| count_critical_findings | Quando disponibile in formato JSON |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Outpost24 Mobile: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Outpost24: {entity.identifier}" Se i dati non sono disponibili per nessuna entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace): "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: sono stati forniti valori di filtro del livello di rischio non validi: {csv of invalid values}. Valori possibili: Iniziale, Consigliato, Basso, Medio, Alto, Critico.' |
Generale |
| Tabella Bacheca casi | Titolo della tabella: {entity.identifier} Colonne della tabella:
|
Entità |
| Tabella Bacheca casi | Titolo della tabella: {entity.identifier} Colonne della tabella:
|
Tabella |
Dindin
Descrizione
Testa la connettività a Outpost24 con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo (entità/generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server Outpost24 riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Outpost24. Error is {0}".format(exception.stacktrace) |
Generale |
Connettori
Outpost24 - Outscan Findings Connector
Descrizione
Recupera informazioni sui risultati della scansione esterna da Outpost24.
Configura Outpost24 - Outscan Findings Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | tipo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 300 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://your-appliance.outpost24.com | Sì | Radice API dell'istanza Outpost24. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Outpost24. |
| Password | Password | N/D | Sì | Password dell'account Outpost24. |
| Tipo di filtro | CSV | Vulnerabilità, informazioni, porta | Sì | Elenco separato da virgole dei filtri per tipo per il problema. Valori possibili: Vulnerability, Information, Port. |
| Rischio più basso di recupero | Stringa | N/D | No | Il rischio più basso da utilizzare per recuperare gli avvisi. Valori possibili: Iniziale, Consigliato, Basso, Medio, Alto, Critico. Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutti i livelli di rischio. |
| Max Days Backwards | Numero intero | 1 | No | Il numero di ore per cui devono essere recuperati i risultati. |
| Numero massimo di risultati da recuperare | Numero intero | 100 | No | Il numero di risultati da elaborare per ogni iterazione del connettore. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita viene utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Outpost24 sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.