PhishRod
Versione integrazione: 3.0
Configurare l'integrazione di PhishRod in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://api.bitsighttech.com | Sì | La radice dell'API dell'istanza di PhishRod. |
| Chiave API | Password | N/D | Sì | Chiave API dell'account PhishRod. |
| ID client | Password | N/D | Sì | ID client dell'account PhishRod. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account PhishRod. |
| Password | Password | N/D | Sì | Password dell'account PhishRod. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server BitSight sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a PhishRod con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Pubblica su
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine (is_success=true): "Connessione al server PhishRod riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine (is_success= false): "Failed to connect to the PhishRod server! Error is {0}".format(exception.stacktrace) |
Generale |
Aggiorna incidente
Descrizione
Aggiorna un incidente in PhishRod.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID incidente | Stringa | N/D | Sì | Specifica l'ID dell'incidente da aggiornare. |
| Stato | DDL | Elimina Valori possibili:
| No | Specifica lo stato dell'incidente. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If statusmarked == "true" (is_success=true): "Successfully updated incident {incident id} in PhishRod. If statusmarked == "false" (is_success=false): "Incident {incident id} status was already modified previously in PhishRod." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna incidente". Motivo: {0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Motivo: {0}".format(message)" |
Generale |
Contrassegna incidente
Descrizione
Contrassegnare un incidente in PhishRod.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID incidente | Stringa | N/D | Sì | Specifica l'ID dell'incidente da contrassegnare. |
| Stato | DDL | Contrassegna per l'analisi secondaria Valori possibili:
| No | Specifica come devono essere contrassegnati gli incidenti. |
| Commento | Stringa | N/D | Sì | Specifica il commento che descrive i motivi per cui l'incidente deve essere contrassegnato. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"code": "200",
"status": "Incident status has already been updated before."
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully marked the incident {incident id} in PhishRod." (L'incidente {incident id} è stato contrassegnato correttamente in PhishRod.) Se viene segnalato il codice di stato 200 e lo stato è "Incident status has already been updated before" (is_success = false): "Incident {incident id} was already marked previously in PhishRod. L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Segna incidente". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 400 o 404: "Errore durante l'esecuzione dell'azione "Segnala incidente". Motivo: {0}".format(message)" |
Generale |
Connettori
PhishRod - Incidents Connector
Descrizione
Recuperare informazioni sugli incidenti da PhishRod.
Configura PhishRod - Incidents Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Campo evento | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | N/D | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | PythonProcessTimeout | 300 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance}.phishrod.co | Sì | La radice dell'API dell'istanza di PhishRod. |
| Chiave API | Password | N/D | Sì | Chiave API dell'account PhishRod. |
| ID client | Password | N/D | Sì | ID client dell'account PhishRod. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account PhishRod. |
| Password | Password | N/D | Sì | Password dell'account PhishRod. |
| Punteggio di gravità dell'avviso | Stringa | Media | Sì | Imposta la gravità dell'avviso in base all'incidente. Valori possibili: Informativo, Basso, Medio, Alto, Critico. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Deselezionata | Sì | Se abilitato, l'elenco dinamico viene utilizzato come lista nera. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Crowdstrike sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.