Outpost24
통합 버전: 5.0
Google Security Operations에서 Outpost24 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://your-appliance.outpost24.com | 예 | Outpost24 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Outpost24 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Outpost24 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Outpost24 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
사용 사례
- 항목 보강 실행
- 알림 수집
작업
항목 보강
설명
Outpost24의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: IP 주소, 호스트 이름
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. |
| 발견 항목 정보 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 엔드포인트에서 발견된 결과에 관한 정보도 가져옵니다. |
| 발견 항목 유형 | DDL | 전체 가능한 값은 다음과 같습니다.
|
아니요 | 반환할 감지 결과의 유형을 지정합니다. |
| 발견 항목 위험 수준 필터 | CSV | Initial, Recommendation, Low, Medium, High, Critical | 아니요 | 필터링 중에 사용되는 위험 수준 결과의 쉼표로 구분된 목록을 지정합니다. 가능한 값: Initial, Recommendation, Low, Medium, High, Critical 아무것도 제공하지 않으면 작업에서 모든 위험 수준의 발견 항목을 가져옵니다. |
| 반환할 최대 발견 항목 수 | 정수 | 100 | 아니요 | 엔티티당 처리할 발견 항목 수를 지정합니다. 아무것도 제공하지 않으면 작업에서 100개의 발견 항목을 반환합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 호스트 이름 | JSON으로 제공되는 경우 |
| ip | JSON으로 제공되는 경우 |
| 노출됨 | JSON으로 제공되는 경우 |
| businessCriticality | JSON으로 제공되는 경우 |
| 생성됨 | JSON으로 제공되는 경우 |
| firstSeen | JSON으로 제공되는 경우 |
| source | JSON으로 제공되는 경우 |
| count_initial_findings | JSON으로 제공되는 경우 |
| count_recommendation_findings | JSON으로 제공되는 경우 |
| count_low_findings | JSON으로 제공되는 경우 |
| count_medium_findings | JSON으로 제공되는 경우 |
| count_high_findings | JSON으로 제공되는 경우 |
| count_critical_findings | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값 / 설명 | 유형(항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Outpost24 Mobile: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Outpost24: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 항목에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace): '작업 '항목 보강'을 실행하는 동안 오류가 발생했습니다. 이유: 잘못된 위험 수준 필터 값이 제공되었습니다({잘못된 값의 CSV}). 가능한 값: Initial, Recommendation, Low, Medium, High, Critical' |
일반 |
| 케이스 월 테이블 | 테이블 제목: {entity.identifier} 테이블 열:
|
항목 |
| 케이스 월 테이블 | 테이블 제목: {entity.identifier} 테이블 열:
|
표 |
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Outpost24에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값/설명 | 유형 (항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Outpost24 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Outpost24 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
커넥터
Outpost24 - Outscan Findings Connector
설명
Outpost24에서 아웃스캔 결과에 관한 정보를 가져옵니다.
Google SecOps에서 Outpost24 - Outscan 발견 항목 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 300 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://your-appliance.outpost24.com | 예 | Outpost24 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Outpost24 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Outpost24 계정의 비밀번호입니다. |
| 유형 필터 | CSV | 취약점, 정보, 포트 | 예 | 취약점의 유형 필터의 쉼표로 구분된 목록입니다. 가능한 값: 취약점, 정보, 포트 |
| 가져올 가장 낮은 위험도 | 문자열 | 해당 사항 없음 | 아니요 | 알림을 가져오는 데 사용해야 하는 가장 낮은 위험입니다. 가능한 값: Initial, Recommendation, Low, Medium, High, Critical 아무것도 지정하지 않으면 커넥터가 모든 위험 수준의 알림을 수집합니다. |
| 최대 이전 일수 | 정수 | 1 | 아니요 | 발견 항목을 가져올 시간(단위: 시간)입니다. |
| 가져올 최대 발견 항목 수 | 정수 | 100 | 아니요 | 커넥터 반복당 처리할 발견 항목 수입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Outpost24 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.