PhishRod
Versión de la integración: 3.0
Configura la integración de PhishRod en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://api.bitsighttech.com | Sí | Es la raíz de la API de la instancia de PhishRod. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la cuenta de PhishRod. |
| ID de cliente | Contraseña | N/A | Sí | Es el ID de cliente de la cuenta de PhishRod. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de PhishRod. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de PhishRod. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de BitSight sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad a PhishRod con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success=true): "Te conectaste correctamente al servidor de PhishRod con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente (is_success= false): "No se pudo conectar al servidor de PhishRod. Error is {0}".format(exception.stacktrace) |
General |
Actualizar incidente
Descripción
Actualiza un incidente en PhishRod.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del incidente | String | N/A | Sí | Especifica el ID del incidente que se debe actualizar. |
| Estado | DDL | Borrar Valores posibles:
| No | Especifica el estado del incidente. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si statusmarked == "true" (is_success=true): "Se actualizó correctamente el incidente {ID del incidente} en PhishRod. Si statusmarked == "false" (is_success=false): "El estado del incidente {incident id} ya se modificó anteriormente en PhishRod". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el siguiente mensaje: "Error al ejecutar la acción "Actualizar incidente". Motivo: {0}''.format(error.Stacktrace) Si message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Motivo: {0}".format(message)" |
General |
Marcar incidente
Descripción
Marca un incidente en PhishRod.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del incidente | String | N/A | Sí | Especifica el ID del incidente que se debe marcar. |
| Estado | DDL | Marcar para el análisis secundario Valores posibles:
| No | Especifica cómo se deben marcar los incidentes. |
| Comentario | String | N/A | Sí | Especifica el comentario que describe los motivos por los que se marcó el incidente. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"code": "200",
"status": "Incident status has already been updated before."
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se marcó correctamente el incidente {id del incidente} en PhishRod". Si se informa el código de estado 200 y el estado es "El estado del incidente ya se actualizó antes" (is_success = false): "El incidente {ID del incidente} ya se marcó anteriormente en PhishRod. La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Marcar incidente". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 400 o 404: "Error executing action "Mark Incident". Motivo: {0}".format(message)" |
General |
Conectores
PhishRod: conector de incidentes
Descripción
Extrae información sobre incidentes de PhishRod.
Configura el conector de incidentes de PhishRod en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | Campo del evento | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | N/A | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | PythonProcessTimeout | 300 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{instance}.phishrod.co | Sí | Es la raíz de la API de la instancia de PhishRod. |
| Clave de API | Contraseña | N/A | Sí | Es la clave de API de la cuenta de PhishRod. |
| ID de cliente | Contraseña | N/A | Sí | Es el ID de cliente de la cuenta de PhishRod. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de PhishRod. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de PhishRod. |
| Puntuación de gravedad de la alerta | String | Medio | Sí | Establece la gravedad de la alerta según el incidente. Los valores posibles son Informativo, Bajo, Medio, Alto y Crítico. |
| Usar la lista dinámica como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista dinámica se usa como lista negra. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Crowdstrike sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.