PhishRod

統合バージョン: 3.0

Google Security Operations で PhishRod の統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
API ルート 文字列 https://api.bitsighttech.com はい PhishRod インスタンスの API ルート。
API キー パスワード なし はい PhishRod アカウントの API キー。
クライアント ID パスワード なし はい PhishRod アカウントのクライアント ID。
ユーザー名 文字列 なし はい PhishRod アカウントのユーザー名。
パスワード パスワード なし はい PhishRod アカウントのパスワード。
SSL を確認する チェックボックス オン 有効になっている場合は、BitSight サーバーへの接続用の SSL 証明書が有効であることを確認します。

アクション

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、PhishRod への接続をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。

アクションの結果

スクリプトの結果

スクリプトの結果名 値のオプション
is_success True/False is_success:False

ケースウォール

結果のタイプ 値 / 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

成功した場合(is_success=true): 「指定された接続パラメータを使用して PhishRod サーバーに正常に接続しました。」

アクションが失敗し、ハンドブックの実行が停止します。

成功しなかった場合(is_success= false): 「PhishRod サーバーに接続できませんでした。エラーは {0} です。」format(exception.stacktrace)

全般

インシデントを更新

説明

PhishRod でインシデントを更新します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
インシデント ID 文字列 なし はい 更新する必要があるインシデントの ID を指定します。
ステータス DDL

削除

有効な値:

  • 安全
  • 削除
いいえ インシデントのステータスを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

スクリプトの結果名 値のオプション
is_success True/False is_success:False

JSON の結果

{
    "statusMarked": false,
    "message": "Incident status is already marked."
}

Case Wall

結果のタイプ 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

statusmarked == "true"(is_success=true)の場合: 「PhishRod でインシデント {インシデント ID} が正常に更新されました。

statusmarked == "false"(is_success=false)の場合: 「インシデント {インシデント ID} のステータスは、PhishRod で以前にすでに変更されています。」

アクションが失敗し、ハンドブックの実行が停止します。

間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「インシデントの更新」の実行エラー。理由: {0}」.format(error.Stacktrace)

メッセージ != 「インシデントのステータスはすでにマークされています。」かつ「statusMarked」: false の場合「アクション「インシデントの更新」の実行エラー。理由: {0}」.format(message)"

全般

インシデントをマークする

説明

PhishRod でインシデントをマークします。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
インシデント ID 文字列 なし はい マークする必要があるインシデントの ID を指定します。
ステータス DDL

Mark For Secondary Analysis

有効な値:

  • SMark For Secondary Analysis
  • 迷惑メールに分類する
  • 安全としてマークする
いいえ インシデントのマーク方法を指定します。
コメント 文字列 なし はい インシデントをマークする理由を説明するコメントを指定します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果

スクリプトの結果名 値のオプション
is_success True/False is_success:False

JSON の結果

{
    "code": "200",
    "status": "Incident status has already been updated before."
}

Case Wall

結果のタイプ 説明 種類
出力メッセージ *

アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。

200 ステータス コードが報告された場合(is_success=true): 「PhishRod でインシデント {インシデント ID} が正常にマークされました。」

200 ステータス コードが報告され、ステータスが「インシデントのステータスはすでに更新されています」(is_success = false)の場合: 「インシデント {incident id} はすでに PhishRod でマークされています。

アクションが失敗し、ハンドブックの実行が停止します。

間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「インシデントをマーク」の実行エラー。理由: {0}」.format(error.Stacktrace)

400 または 404 のステータス コードが報告された場合:「アクション「インシデントをマーク」の実行エラー。理由: {0}」.format(message)"

全般

コネクタ

PhishRod - Incidents Connector

説明

PhishRod からインシデントに関する情報を pull します。

Google SecOps で PhishRod - Incidents Connector を構成する

Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。

コネクタ パラメータ

次のパラメータを使用してコネクタを構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
プロダクト フィールド名 文字列 プロダクト名 ソース フィールド名を入力してプロダクト フィールド名を取得します。
イベント フィールド名 文字列 イベント フィールド はい ソース フィールド名を入力してイベント フィールド名を取得します。
環境フィールド名 文字列 なし いいえ

環境名が保存されるフィールドの名前を記述します。

環境フィールドがない場合、その環境がデフォルトの環境です。

環境の正規表現パターン 文字列 .* いいえ

[環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。

デフォルトは、すべてキャッチして値を変更せずに返す .* です。

ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。

スクリプトのタイムアウト(秒) PythonProcessTimeout 300 現在のスクリプトを実行している Python プロセスのタイムアウト上限。
API ルート 文字列 https://{instance}.phishrod.co はい PhishRod インスタンスの API ルート。
API キー パスワード なし はい PhishRod アカウントの API キー。
クライアント ID パスワード なし はい PhishRod アカウントのクライアント ID。
ユーザー名 文字列 なし はい PhishRod アカウントのユーザー名。
パスワード パスワード なし はい PhishRod アカウントのパスワード。
アラートの重大度スコア 文字列 はい

インシデントに基づいてアラートの重大度を設定します。

有効な値: 情報、低、中、高、重大。

動的リストを拒否リストとして使用する チェックボックス オフ 有効にすると、動的リストが拒否リストとして使用されます。
SSL を確認 チェックボックス オン 有効になっている場合は、Crowdstrike サーバーへの接続用の SSL 証明書が有効であることを確認します。
プロキシ サーバーのアドレス 文字列 なし いいえ 使用するプロキシ サーバーのアドレス。
プロキシのユーザー名 文字列 なし いいえ 認証に使用するプロキシのユーザー名。
プロキシ パスワード パスワード なし いいえ 認証に使用するプロキシ パスワード。

コネクタルール

プロキシのサポート

コネクタでプロキシがサポートされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。