Outpost24
整合版本:5.0
在 Google Security Operations 中設定 Outpost24 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://your-appliance.outpost24.com | 是 | Outpost24 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Outpost24 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Outpost24 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連至 Outpost24 伺服器的 SSL 憑證是否有效。 |
應用實例
- 執行實體擴充作業
- 擷取快訊
動作
充實實體
說明
使用 Outpost24 的資訊擴充實體。支援的實體:IP 位址、主機名稱。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
| 退還尋找資訊 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作也會擷取端點上發現的調查結果相關資訊。 |
| 發現項目類型 | DDL | 全部 可能的值包括:
|
否 | 指定要傳回的調查結果類型。 |
| 發現項目風險等級篩選器 | CSV | 初始、建議、低、中、高、重大 | 否 | 指定以逗號分隔的風險等級發現項目清單,用於篩選。 可能的值:初始、建議、低、中、高、重大。 如未提供任何內容,動作會擷取所有風險等級的發現項目。 |
| 要傳回的調查結果數量上限 | 整數 | 100 | 否 | 指定每個實體要處理的調查結果數量。 如未提供任何內容,動作會傳回 100 個發現項目。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": 24358,
"ip": "10.205.0.35",
"hostname": "lix18.mirmine.net",
"businessCriticality": "MEDIUM",
"exposed": false,
"created": "2021-09-09T12:58:47.085514Z",
"firstSeen": "2021-09-09T12:58:47.085514Z",
"source": [
"NETSEC"
]
"Findings": [list of findings]
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 主機名稱 | 以 JSON 格式提供時 |
| ip | 以 JSON 格式提供時 |
| 曝光 | 以 JSON 格式提供時 |
| businessCriticality | 以 JSON 格式提供時 |
| 已建立 | 以 JSON 格式提供時 |
| firstSeen | 以 JSON 格式提供時 |
| 來源 | 以 JSON 格式提供時 |
| count_initial_findings | 以 JSON 格式提供時 |
| count_recommendation_findings | 以 JSON 格式提供時 |
| count_low_findings | 以 JSON 格式提供時 |
| count_medium_findings | 以 JSON 格式提供時 |
| count_high_findings | 以 JSON 格式提供時 |
| count_critical_findings | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success=true):「Successfully enriched the following entities using information from Outpost24 Mobile: {entity.identifier}」(已使用 Outpost24 Mobile 的資訊,成功擴充下列實體:{entity.identifier})。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Outpost24: {entity.identifier}」(Action 無法使用 Outpost24 的資訊擴充下列實體:{entity.identifier}) 如果任何實體都沒有資料 (is_success=false):"None of the provided entities were enriched." 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace):「執行動作『Enrich Entities』時發生錯誤。原因:提供的風險等級篩選器值無效:{csv of invalid values}。可能的值:Initial、Recommendation、Low、Medium、High、Critical。' |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
資料表 |
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Outpost24 的連線。
參數
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值/說明 | 類型 (實體/一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Outpost24 server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Outpost24 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the Outpost24 server! Error is {0}".format(exception.stacktrace) |
一般 |
連接器
Outpost24 - Outscan Findings Connector
說明
從 Outpost24 提取有關掃描結果的資訊。
在 Google SecOps 中設定 Outpost24 - Outscan Findings Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 300 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://your-appliance.outpost24.com | 是 | Outpost24 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Outpost24 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Outpost24 帳戶的密碼。 |
| 類型篩選器 | CSV | 漏洞、資訊、連接埠 | 是 | 以半形逗號分隔的發現項目類型篩選器清單。 可能的值:Vulnerability、Information、Port。 |
| 最低擷取風險 | 字串 | 不適用 | 否 | 用於擷取快訊的最低風險。 可能的值:Initial、Recommendation、Low、Medium、High、Critical。 如未指定,連接器會擷取所有風險等級的快訊。 |
| 最多可回溯的天數 | 整數 | 1 | 否 | 要擷取發現項目的時數。 |
| 要擷取的調查結果數量上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的發現項目數量。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連至 Outpost24 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。