PhishRod
Integrationsversion: 3.0
PhishRod-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://api.bitsighttech.com | Ja | API-Stammverzeichnis der PhishRod-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel des PhishRod-Kontos. |
| Client-ID | Passwort | – | Ja | Client-ID des PhishRod-Kontos. |
| Nutzername | String | – | Ja | Nutzername des PhishRod-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des PhishRod-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum BitSight-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu PhishRod mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success=true): „Die Verbindung zum PhishRod-Server wurde mit den angegebenen Verbindungsparametern hergestellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich (is_success= false): „Failed to connect to the PhishRod server! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Vorfall aktualisieren
Beschreibung
Aktualisieren Sie einen Vorfall in PhishRod.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorfall-ID | String | – | Ja | Geben Sie die ID des Vorfalls an, der aktualisiert werden muss. |
| Status | DDL | Löschen Mögliche Werte:
| Nein | Geben Sie den Status für den Vorfall an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn statusmarked == "true" (is_success=true): „Successfully updated incident {incident id} in PhishRod. Wenn statusmarked == "false" (is_success=false): „Incident {incident id} status was already modified previously in PhishRod.“ (Der Status des Vorfalls {incident id} wurde bereits in PhishRod geändert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Vorfall aktualisieren‘. Grund: {0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Grund: {0}".format(message)" |
Allgemein |
Vorfall markieren
Beschreibung
Markieren Sie einen Vorfall in PhishRod.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorfall-ID | String | – | Ja | Geben Sie die ID des Vorfalls an, der markiert werden muss. |
| Status | DDL | Für die sekundäre Analyse markieren Mögliche Werte:
| Nein | Geben Sie an, wie die Vorfälle markiert werden müssen. |
| Kommentar | String | – | Ja | Geben Sie den Kommentar an, in dem die Gründe für die Markierung des Vorfalls beschrieben werden. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"code": "200",
"status": "Incident status has already been updated before."
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully marked the incident {incident id} in PhishRod.“ (Der Vorfall {Vorfall-ID} wurde in PhishRod erfolgreich markiert.) Wenn der Statuscode 200 gemeldet wird und der Status „Incident status has already been updated before“ (is_success = false) lautet: „Incident {incident id} was already marked previously in PhishRod. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Vorfall markieren‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 400 oder 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Vorfall markieren‘. Grund: {0}".format(message)" |
Allgemein |
Connectors
PhishRod – Incidents Connector
Beschreibung
Informationen zu Vorfällen aus PhishRod abrufen
PhishRod – Incidents Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Ereignisfeld | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | – | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Ermöglicht es dem Nutzer, das Feld „environment“ (Umgebung) über Regex-Logik zu bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | PythonProcessTimeout | 300 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{instance}.phishrod.co | Ja | API-Stammverzeichnis der PhishRod-Instanz. |
| API-Schlüssel | Passwort | – | Ja | API-Schlüssel des PhishRod-Kontos. |
| Client-ID | Passwort | – | Ja | Client-ID des PhishRod-Kontos. |
| Nutzername | String | – | Ja | Nutzername des PhishRod-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des PhishRod-Kontos. |
| Schweregrad der Benachrichtigung | String | Mittel | Ja | Legen Sie den Schweregrad für die Benachrichtigung basierend auf dem Vorfall fest. Mögliche Werte: „Informational“, „Low“, „Medium“, „High“, „Critical“. |
| Dynamische Liste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Crowdstrike-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten