PhishRod
統合バージョン: 3.0
Google Security Operations で PhishRod の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
API ルート | 文字列 | https://api.bitsighttech.com | はい | PhishRod インスタンスの API ルート。 |
API キー | パスワード | なし | はい | PhishRod アカウントの API キー。 |
クライアント ID | パスワード | なし | はい | PhishRod アカウントのクライアント ID。 |
ユーザー名 | 文字列 | なし | はい | PhishRod アカウントのユーザー名。 |
パスワード | パスワード | なし | はい | PhishRod アカウントのパスワード。 |
SSL を確認する | チェックボックス | オン | ○ | 有効になっている場合は、BitSight サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、PhishRod への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
ケースウォール
結果のタイプ | 値 / 説明 | 種類 |
---|---|---|
出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合(is_success=true): 「指定された接続パラメータを使用して PhishRod サーバーに正常に接続しました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合(is_success= false): 「PhishRod サーバーに接続できませんでした。エラーは {0} です。」format(exception.stacktrace) |
全般 |
インシデントを更新
説明
PhishRod でインシデントを更新します。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
インシデント ID | 文字列 | なし | はい | 更新する必要があるインシデントの ID を指定します。 |
ステータス | DDL | 削除 有効な値:
| いいえ | インシデントのステータスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Case Wall
結果のタイプ | 説明 | 種類 |
---|---|---|
出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 statusmarked == "true"(is_success=true)の場合: 「PhishRod でインシデント {インシデント ID} が正常に更新されました。 statusmarked == "false"(is_success=false)の場合: 「インシデント {インシデント ID} のステータスは、PhishRod で以前にすでに変更されています。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「インシデントの更新」の実行エラー。理由: {0}」.format(error.Stacktrace) メッセージ != 「インシデントのステータスはすでにマークされています。」かつ「statusMarked」: false の場合「アクション「インシデントの更新」の実行エラー。理由: {0}」.format(message)" |
全般 |
インシデントをマークする
説明
PhishRod でインシデントをマークします。
パラメータ
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
インシデント ID | 文字列 | なし | はい | マークする必要があるインシデントの ID を指定します。 |
ステータス | DDL | Mark For Secondary Analysis 有効な値:
| いいえ | インシデントのマーク方法を指定します。 |
コメント | 文字列 | なし | はい | インシデントをマークする理由を説明するコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
{
"code": "200",
"status": "Incident status has already been updated before."
}
Case Wall
結果のタイプ | 説明 | 種類 |
---|---|---|
出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「PhishRod でインシデント {インシデント ID} が正常にマークされました。」 200 ステータス コードが報告され、ステータスが「インシデントのステータスはすでに更新されています」(is_success = false)の場合: 「インシデント {incident id} はすでに PhishRod でマークされています。 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「インシデントをマーク」の実行エラー。理由: {0}」.format(error.Stacktrace) 400 または 404 のステータス コードが報告された場合:「アクション「インシデントをマーク」の実行エラー。理由: {0}」.format(message)" |
全般 |
コネクタ
PhishRod - Incidents Connector
説明
PhishRod からインシデントに関する情報を pull します。
Google SecOps で PhishRod - Incidents Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
---|---|---|---|---|
プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
イベント フィールド名 | 文字列 | イベント フィールド | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
環境フィールド名 | 文字列 | なし | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
スクリプトのタイムアウト(秒) | PythonProcessTimeout | 300 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
API ルート | 文字列 | https://{instance}.phishrod.co | はい | PhishRod インスタンスの API ルート。 |
API キー | パスワード | なし | はい | PhishRod アカウントの API キー。 |
クライアント ID | パスワード | なし | はい | PhishRod アカウントのクライアント ID。 |
ユーザー名 | 文字列 | なし | はい | PhishRod アカウントのユーザー名。 |
パスワード | パスワード | なし | はい | PhishRod アカウントのパスワード。 |
アラートの重大度スコア | 文字列 | 中 | はい | インシデントに基づいてアラートの重大度を設定します。 有効な値: 情報、低、中、高、重大。 |
動的リストを拒否リストとして使用する | チェックボックス | オフ | ○ | 有効にすると、動的リストが拒否リストとして使用されます。 |
SSL を確認 | チェックボックス | オン | ○ | 有効になっている場合は、Crowdstrike サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。