Outpost24

集成版本:5.0

在 Google Security Operations 中配置 Outpost24 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
API 根 字符串 https://your-appliance.outpost24.com Outpost24 实例的 API 根。
用户名 字符串 不适用 Outpost24 账号的用户名。
密码 密码 不适用 Outpost24 账号的密码。
验证 SSL 复选框 勾选 如果启用,则验证与 Outpost24 服务器的连接所用的 SSL 证书是否有效。

使用场景

  1. 丰富实体信息
  2. 提醒提取

操作

丰富实体

说明

使用 Outpost24 的信息丰富实体。支持的实体:IP 地址、主机名。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
创建分析数据 复选框 勾选 如果启用,该操作会创建一个包含有关实体的所有检索到的信息的分析洞见。
返回发现结果信息 复选框 勾选 如果已启用,该操作还会检索端点上发现的调查结果的相关信息。
发现结果类型 DDL

全部

可能的值:

  • 全部
  • 漏洞
  • 信息
  • 端口
 指定要返回的发现类型。
发现结果风险等级过滤条件 CSV 初始、建议、低、中、高、严重

指定以逗号分隔的风险级别发现结果列表,用于过滤。

可能的值:初始、建议、低、中、高、严重。

如果未提供任何内容,该操作会提取所有风险级别的发现结果。
要返回的发现结果数量上限 整数 100

指定每个实体要处理的发现结果数量。

如果未提供任何内容,则该操作会返回 100 个发现结果。

运行于

该操作在以下实体上运行:

  • IP 地址
  • 主机名

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "id": 24358,
    "ip": "10.205.0.35",
    "hostname": "lix18.mirmine.net",
    "businessCriticality": "MEDIUM",
    "exposed": false,
    "created": "2021-09-09T12:58:47.085514Z",
    "firstSeen": "2021-09-09T12:58:47.085514Z",
    "source": [
        "NETSEC"
    ]
"Findings": [list of findings]
}
实体扩充
扩充项字段名称 逻辑 - 应用场景
主机名 以 JSON 格式提供时
ip 以 JSON 格式提供时
实验组 以 JSON 格式提供时
businessCriticality 以 JSON 格式提供时
已创建 以 JSON 格式提供时
firstSeen 以 JSON 格式提供时
来源 以 JSON 格式提供时
count_initial_findings 以 JSON 格式提供时
count_recommendation_findings 以 JSON 格式提供时
count_low_findings 以 JSON 格式提供时
count_medium_findings 以 JSON 格式提供时
count_high_findings 以 JSON 格式提供时
count_critical_findings 以 JSON 格式提供时
案例墙
结果类型 值 / 说明 类型(实体\常规)
输出消息*

操作不应失败,也不应停止 playbook 执行

如果某个实体有数据 (is_success=true):“已使用来自 Outpost24 Mobile 的信息成功扩充以下实体:{entity.identifier}”。

如果某个实体没有数据 (is_success=true):“Action wasn't able to enrich the following entities using information from Outpost24: {entity.identifier}”(操作无法使用来自 Outpost24 的信息来丰富以下实体:{entity.identifier})

如果没有任何实体的数据(is_success=false):“未扩充任何提供的实体。”

操作应失败并停止 playbook 执行

如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace): "执行操作“丰富实体”时出错。原因:提供的风险级别过滤条件值无效:{csv of invalid values}。可能的值:初始、建议、低、中、高、严重。

 常规
“案例墙”表格

表格标题:{entity.identifier}

表格列

 实体
“案例墙”表格

表格标题:{entity.identifier}

表格列

  • CVE
  • 产品名称
  • 服务名称
  • 类型
  • 解决方案
  • 原因
  • 说明
  • 风险等级

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Outpost24 的连接。

参数

不适用

运行于

此操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
N/A
案例墙
结果类型 值/说明 类型(实体\常规
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功:“已使用提供的连接参数成功连接到 Outpost24 服务器!”

操作应失败并停止 playbook 执行

如果不成功:“Failed to connect to the Outpost24 server! 错误为 {0}".format(exception.stacktrace)

 常规

连接器

Outpost24 - Outscan 发现结果连接器

说明

从 Outpost24 拉取有关 Outscan 发现结果的信息。

在 Google SecOps 中配置 Outpost24 - Outscan Findings 连接器

有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器

连接器参数

使用以下参数配置连接器:

参数显示名称 类型 默认值 是否为必需属性 说明
商品字段名称 字符串 产品名称 输入源字段名称,以便检索产品字段名称。
事件字段名称 字符串 类型 输入源字段名称,以便检索事件字段名称。
环境字段名称 字符串 “”

描述存储环境名称的字段的名称。

如果找不到环境字段,则环境为默认环境。
环境正则表达式模式 字符串 .*

要对“环境字段名称”字段中找到的值运行的正则表达式模式。

默认值为 .*,用于捕获所有内容并返回未更改的值。

用于允许用户通过正则表达式逻辑来操纵环境字段。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。
脚本超时(秒) 整数 300 运行当前脚本的 Python 进程的超时时间限制。
API 根 字符串 https://your-appliance.outpost24.com Outpost24 实例的 API 根。
用户名 字符串 不适用 Outpost24 账号的用户名。
密码 密码 不适用 Outpost24 账号的密码。
类型过滤 CSV 漏洞、信息、端口

以英文逗号分隔的发现类型过滤条件列表。

可能的值:Vulnerability、Information、Port。
最低提取风险 字符串 不适用

用于提取提醒的最低风险。

可能的值:初始、建议、低、中、高、严重。

如果未指定任何内容,连接器会注入所有风险级别的提醒。
回溯的天数上限 整数 1 应提取发现结果的小时数。
要提取的最多发现数 整数 100 每次连接器迭代要处理的发现结果数量。
将白名单用作黑名单 复选框 尚未核查 如果启用,白名单将用作黑名单。
验证 SSL 复选框 勾选 如果启用,则验证与 Outpost24 服务器的连接所用的 SSL 证书是否有效。
代理服务器地址 字符串 不适用 要使用的代理服务器的地址。
代理用户名 字符串 不适用 用于进行身份验证的代理用户名。
代理密码 密码 不适用 用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。