PhishRod

Version de l'intégration : 3.0

Configurer l'intégration de PhishRod dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Racine de l'API Chaîne https://api.bitsighttech.com Oui Racine de l'API de l'instance PhishRod.
Clé API Mot de passe N/A Oui Clé API du compte PhishRod.
ID client Mot de passe N/A Oui ID client du compte PhishRod.
Nom d'utilisateur Chaîne N/A Oui Nom d'utilisateur du compte PhishRod.
Mot de passe Mot de passe N/A Oui Mot de passe du compte PhishRod.
Vérifier le protocole SSL Case à cocher Cochée Oui Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur BitSight est valide.

Actions

Ping

Description

Testez la connectivité à PhishRod avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".

Paramètres

N/A

Date d'exécution

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False

Mur des cas

Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit (is_success=true) : "La connexion au serveur PhishRod a bien été établie avec les paramètres de connexion fournis."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue (is_success= false) : "Échec de la connexion au serveur PhishRod. Error is {0}".format(exception.stacktrace)

Général

Mettre à jour un incident

Description

Mettez à jour un incident dans PhishRod.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID de l'incident Chaîne N/A Oui Spécifiez l'ID de l'incident à mettre à jour.
État LDD

Supprimer

Valeurs possibles :

  • Sûr
  • Supprimer
Non Spécifiez l'état de l'incident.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False

Résultat JSON

{
    "statusMarked": false,
    "message": "Incident status is already marked."
}

Mur des cas

Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si statusmarked == "true" (is_success=true) : "L'incident {incident id} a bien été mis à jour dans PhishRod.

Si statusmarked == "false" (is_success=false) : "L'état de l'incident {incident id} a déjà été modifié dans PhishRod."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'incident". Raison : {0}''.format(error.Stacktrace)

Si message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Raison : {0}".format(message)"

 Général

Marquer un incident

Description

Marquez un incident dans PhishRod.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID de l'incident Chaîne N/A Oui Spécifiez l'ID de l'incident à marquer.
État LDD

Marquer pour l'analyse secondaire

Valeurs possibles :

  • SMark For Secondary Analysis
  • Marquer comme spam
  • Marquer comme sûr
Non Indiquez comment les incidents doivent être marqués.
Commentaire Chaîne N/A Oui Spécifiez le commentaire décrivant les raisons pour lesquelles l'incident doit être signalé.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False

Résultat JSON

{
    "code": "200",
    "status": "Incident status has already been updated before."
}

Mur des cas

Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état 200 est signalé (is_success=true) : "L'incident {incident id} a été marqué comme résolu dans PhishRod."

Si le code d'état 200 est signalé et que l'état est "L'état de l'incident a déjà été modifié" (is_success = false) : "L'incident {incident id} a déjà été marqué dans PhishRod.

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Marquer l'incident". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 400 ou 404 est signalé : "Erreur lors de l'exécution de l'action "Marquer l'incident". Raison : {0}".format(message)"

 Général

Connecteurs

PhishRod – Connecteur d'incidents

Description

Extraire des informations sur les incidents de PhishRod

Configurer le connecteur PhishRod – Incidents dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom du champ de produit Chaîne Nom du produit Oui Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement Chaîne Champ d'événement Oui Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement" Chaîne N/A Non

Décrit le nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement Chaîne .* Non

Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement".

La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée.

Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes) PythonProcessTimeout 300 Oui Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API Chaîne https://{instance}.phishrod.co Oui Racine de l'API de l'instance PhishRod.
Clé API Mot de passe N/A Oui Clé API du compte PhishRod.
ID client Mot de passe N/A Oui ID client du compte PhishRod.
Nom d'utilisateur Chaîne N/A Oui Nom d'utilisateur du compte PhishRod.
Mot de passe Mot de passe N/A Oui Mot de passe du compte PhishRod.
Score de gravité des alertes Chaîne Moyenne Oui

Définissez la gravité de l'alerte en fonction de l'incident.

Valeurs possibles : "Informational", "Low", "Medium", "High", "Critical".
Utiliser une liste dynamique comme liste noire Case à cocher Décochée Oui Si cette option est activée, la liste dynamique est utilisée comme liste noire.
Vérifier le protocole SSL Case à cocher Cochée Oui Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Crowdstrike est valide.
Adresse du serveur proxy Chaîne N/A Non Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Non Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Non Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.