PhishRod
Versi integrasi: 3.0
Mengonfigurasi integrasi PhishRod di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://api.bitsighttech.com | Ya | Root API instance PhishRod. |
| Kunci API | Sandi | T/A | Ya | Kunci API akun PhishRod. |
| ID Klien | Sandi | T/A | Ya | ID klien akun PhishRod. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun PhishRod. |
| Sandi | Sandi | T/A | Ya | Sandi akun PhishRod. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server BitSight valid. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke PhishRod dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Dijalankan pada
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil (is_success=true): "Berhasil terhubung ke server PhishRod dengan parameter koneksi yang diberikan!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil (is_success= false): "Gagal terhubung ke server PhishRod! Error adalah {0}".format(exception.stacktrace) |
Umum |
Perbarui Insiden
Deskripsi
Memperbarui insiden di PhishRod.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insiden | String | T/A | Ya | Tentukan ID insiden yang perlu diperbarui. |
| Status | DDL | Hapus Nilai yang Mungkin:
| Tidak | Tentukan status insiden. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Repositori Kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika statusmarked == "true" (is_success=true): "Successfully updated incident {incident id} in PhishRod. Jika statusmarked == "false" (is_success=false): "Status insiden {ID insiden} sudah dimodifikasi sebelumnya di PhishRod." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Insiden". Alasan: {0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Alasan: {0}".format(message)" |
Umum |
Menandai Insiden
Deskripsi
Menandai insiden di PhishRod.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insiden | String | T/A | Ya | Tentukan ID insiden yang perlu ditandai. |
| Status | DDL | Tandai Untuk Analisis Sekunder Nilai yang Mungkin:
| Tidak | Tentukan cara insiden harus ditandai. |
| Komentar | String | T/A | Ya | Tentukan komentar yang menjelaskan alasan insiden ditandai. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"code": "200",
"status": "Incident status has already been updated before."
}
Repositori Kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil menandai insiden {ID insiden} di PhishRod." Jika kode status 200 dilaporkan dan statusnya adalah "Status insiden telah diperbarui sebelumnya" (is_success = false): "Insiden {ID insiden} telah ditandai sebelumnya di PhishRod. Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tandai Insiden". Alasan: {0}''.format(error.Stacktrace) Jika kode status 400 atau 404 dilaporkan: "Error saat menjalankan tindakan "Mark Incident". Alasan: {0}".format(message)" |
Umum |
Konektor
PhishRod - Incidents Connector
Deskripsi
Mengambil informasi tentang insiden dari PhishRod.
Mengonfigurasi PhishRod - Incidents Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | Kolom Peristiwa | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | T/A | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | PythonProcessTimeout | 300 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance}.phishrod.co | Ya | Root API instance PhishRod. |
| Kunci API | Sandi | T/A | Ya | Kunci API akun PhishRod. |
| ID Klien | Sandi | T/A | Ya | ID klien akun PhishRod. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun PhishRod. |
| Sandi | Sandi | T/A | Ya | Sandi akun PhishRod. |
| Skor Tingkat Keseriusan Pemberitahuan | String | Sedang | Ya | Tetapkan tingkat keparahan untuk pemberitahuan berdasarkan insiden. Kemungkinan nilai: Informasi, Rendah, Sedang, Tinggi, Kritis. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Crowdstrike valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.