PhishRod
集成版本:3.0
在 Google Security Operations 中配置 PhishRod 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://api.bitsighttech.com | 是 | PhishRod 实例的 API 根。 |
| API 密钥 | 密码 | 不适用 | 是 | PhishRod 账号的 API 密钥。 |
| 客户端 ID | 密码 | 不适用 | 是 | PhishRod 账号的客户端 ID。 |
| 用户名 | 字符串 | 不适用 | 是 | PhishRod 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | PhishRod 账号的密码。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 BitSight 服务器的连接所用的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 PhishRod 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功 (is_success=true): “已使用提供的连接参数成功连接到 PhishRod 服务器!” 操作应失败并停止 playbook 执行: 如果不成功 (is_success= false):“Failed to connect to the PhishRod server! 错误为 {0}".format(exception.stacktrace) |
常规 |
更新突发事件
说明
在 PhishRod 中更新突发事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件 ID | 字符串 | 不适用 | 是 | 指定需要更新的突发事件的 ID。 |
| 状态 | DDL | 删除 可能的值:
| 否 | 指定突发事件的状态。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"statusMarked": false,
"message": "Incident status is already marked."
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果 statusmarked == "true"(is_success=true):“已成功在 PhishRod 中更新事件 {incident id}。 如果 statusmarked == "false"(is_success=false):“PhishRod 中之前已修改过事件 {incident id} 的状态。” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、未连接到服务器等其他错误),请执行以下操作:“Error executing action "Update Incident". 原因:{0}''.format(error.Stacktrace) 如果 message != "Incident status is already marked." and ""statusMarked"": false" "Error executing action "Update Incident". 原因:{0}".format(message)" |
常规 |
标记突发事件
说明
在 PhishRod 中标记突发事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件 ID | 字符串 | 不适用 | 是 | 指定需要标记的突发事件的 ID。 |
| 状态 | DDL | 标记为“用于次要分析” 可能的值:
| 否 | 指定如何标记突发事件。 |
| 评论 | 字符串 | 不适用 | 是 | 指定用于描述标记事件原因的注释。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"code": "200",
"status": "Incident status has already been updated before."
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“Successfully marked the incident {incident id} in PhishRod.” 如果报告了 200 状态代码,且状态为“之前已更新过事件状态”(is_success = false):“PhishRod 中之前已标记过事件 {incident id}。 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Mark Incident"”(执行“标记为突发事件”操作时出错)。原因:{0}''.format(error.Stacktrace) 如果报告了 400 或 404 状态代码:“Error executing action "Mark Incident". 原因:{0}".format(message)" |
常规 |
连接器
PhishRod - Incidents 连接器
说明
从 PhishRod 中提取有关突发事件的信息。
在 Google SecOps 中配置 PhishRod - Incidents 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 活动字段 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | 不适用 | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | PythonProcessTimeout | 300 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{instance}.phishrod.co | 是 | PhishRod 实例的 API 根。 |
| API 密钥 | 密码 | 不适用 | 是 | PhishRod 账号的 API 密钥。 |
| 客户端 ID | 密码 | 不适用 | 是 | PhishRod 账号的客户端 ID。 |
| 用户名 | 字符串 | 不适用 | 是 | PhishRod 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | PhishRod 账号的密码。 |
| 提醒严重程度得分 | 字符串 | 中 | 是 | 根据突发事件设置提醒的严重程度。 可能的值:信息性、低、中、高、严重。 |
| 将动态列表用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Crowdstrike 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。