PhishRod
Versão da integração: 3.0
Configure a integração do PhishRod no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.bitsighttech.com | Sim | Raiz da API da instância do PhishRod. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da conta do PhishRod. |
| ID do cliente | Palavra-passe | N/A | Sim | ID de cliente da conta do PhishRod. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do PhishRod. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do PhishRod. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor BitSight é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao PhishRod com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
É apresentado em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido (is_success=true): "Ligação estabelecida com êxito ao servidor PhishRod com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido (is_success= false): "Failed to connect to the PhishRod server! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar incidente
Descrição
Atualize um incidente no PhishRod.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de incidente | String | N/A | Sim | Especifique o ID do incidente que tem de ser atualizado. |
| Estado | LDD | Eliminar Valores possíveis:
| Não | Especifique o estado do incidente. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Case Wall
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If statusmarked == "true" (is_success=true): "Successfully updated incident {incident id} in PhishRod. If statusmarked == "false" (is_success=false): "O estado do incidente {incident id} já foi modificado anteriormente no PhishRod." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar incidente". Motivo: {0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Motivo: {0}".format(message)" |
Geral |
Marcar incidente
Descrição
Marque um incidente no PhishRod.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de incidente | String | N/A | Sim | Especifique o ID do incidente que tem de ser marcado. |
| Estado | LDD | Marcar para análise secundária Valores possíveis:
| Não | Especifique como os incidentes têm de ser marcados. |
| Comentário | String | N/A | Sim | Especifique o comentário que descreve os motivos pelos quais o incidente deve ser marcado. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"code": "200",
"status": "Incident status has already been updated before."
}
Case Wall
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "O incidente {incident id} foi marcado com êxito no PhishRod." Se o código de estado 200 for comunicado e o estado for "Incident status has already been updated before" (is_success = false): "Incident {incident id} was already marked previously in PhishRod. A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Marcar incidente". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 400 ou 404: "Erro ao executar a ação "Marcar incidente". Motivo: {0}".format(message)" |
Geral |
Conetores
PhishRod - Incidents Connector
Descrição
Extraia informações sobre incidentes do PhishRod.
Configure o conetor de incidentes do PhishRod no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | Campo de evento | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | N/A | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | PythonProcessTimeout | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance}.phishrod.co | Sim | Raiz da API da instância do PhishRod. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da conta do PhishRod. |
| ID do cliente | Palavra-passe | N/A | Sim | ID de cliente da conta do PhishRod. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do PhishRod. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do PhishRod. |
| Pontuação da gravidade do alerta | String | Médio | Sim | Defina a gravidade do alerta com base no incidente. Valores possíveis: Informational, Low, Medium, High, Critical. |
| Use uma lista dinâmica como lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Crowdstrike é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.