PhishRod
Versão da integração: 3.0
Configurar a integração do PhishRod no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api.bitsighttech.com | Sim | Raiz da API da instância do PhishRod. |
| Chave de API | Senha | N/A | Sim | Chave de API da conta do PhishRod. |
| ID do cliente | Senha | N/A | Sim | ID do cliente da conta do PhishRod. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do PhishRod. |
| Senha | Senha | N/A | Sim | Senha da conta do PhishRod. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do BitSight é válido. |
Ações
Ping
Descrição
Teste a conectividade com o PhishRod usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Data de execução
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success=true): "Conexão bem-sucedida com o servidor PhishRod usando os parâmetros de conexão fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for bem-sucedida (is_success= false): "Falha ao se conectar ao servidor PhishRod! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar incidente
Descrição
Atualize um incidente no PhishRod.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código do incidente | String | N/A | Sim | Especifique o ID do incidente que precisa ser atualizado. |
| Status | DDL | Excluir Valores possíveis:
| Não | Especifique o status do incidente. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"statusMarked": false,
"message": "Incident status is already marked."
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se statusmarked == "true" (is_success=true): "O incidente {incident id} foi atualizado no PhishRod. If statusmarked == "false" (is_success=false): "Incident {incident id} status was already modified previously in PhishRod." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Atualizar incidente". Motivo: {0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". Motivo: {0}".format(message)" |
Geral |
Marcar incidente
Descrição
Marcar um incidente no PhishRod.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código do incidente | String | N/A | Sim | Especifique o ID do incidente que precisa ser marcado. |
| Status | DDL | Marcar para análise secundária Valores possíveis:
| Não | Especifique como os incidentes precisam ser marcados. |
| Comentário | String | N/A | Sim | Especifique o comentário que descreve os motivos para a marcação do incidente. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"code": "200",
"status": "Incident status has already been updated before."
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "O incidente {incident id} foi marcado com sucesso no PhishRod." Se o código de status 200 for informado e o status for "O status do incidente já foi atualizado antes" (is_success = false): "O incidente {incident id} já foi marcado anteriormente no PhishRod. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Marcar incidente". Motivo: {0}''.format(error.Stacktrace) Se o código de status 400 ou 404 for informado: "Erro ao executar a ação "Marcar incidente". Motivo: {0}".format(message)" |
Geral |
Conectores
PhishRod: conector de incidentes
Descrição
Extrair informações sobre incidentes do PhishRod.
Configurar o conector de incidentes do PhishRod no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | Campo de evento | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | N/A | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | PythonProcessTimeout | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance}.phishrod.co | Sim | Raiz da API da instância do PhishRod. |
| Chave de API | Senha | N/A | Sim | Chave de API da conta do PhishRod. |
| ID do cliente | Senha | N/A | Sim | ID do cliente da conta do PhishRod. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do PhishRod. |
| Senha | Senha | N/A | Sim | Senha da conta do PhishRod. |
| Pontuação de gravidade do alerta | String | Médio | Sim | Defina a gravidade do alerta com base no incidente. Valores possíveis: Informacional, Baixa, Média, Alta, Crítica. |
| Usar lista dinâmica como lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista dinâmica será usada como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor do Crowdstrike é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.