本頁面由 Cloud Translation API 翻譯而成。

PhishRod

整合版本：3.0

在 Google Security Operations 中設定 PhishRod 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
API 根層級	字串	https://api.bitsighttech.com	是	PhishRod 執行個體的 API 根目錄。
API 金鑰	密碼	不適用	是	PhishRod 帳戶的 API 金鑰。
用戶端 ID	密碼	不適用	是	PhishRod 帳戶的用戶端 ID。
使用者名稱	字串	不適用	是	PhishRod 帳戶的使用者名稱。
密碼	密碼	不適用	是	PhishRod 帳戶的密碼。
驗證 SSL	核取方塊	已勾選	是	如果啟用，系統會驗證連線至 BitSight 伺服器的 SSL 憑證是否有效。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數，測試與 PhishRod 的連線。

參數

不適用

執行日期

動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success=true)：「Successfully connected to the PhishRod server with the provided connection parameters!」(已使用提供的連線參數成功連線至 PhishRod 伺服器！) 動作應會失敗並停止執行應對手冊：如果未成功 (is_success= false)：「Failed to connect to the PhishRod server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success=true)： 「Successfully connected to the PhishRod server with the provided connection parameters!」(已使用提供的連線參數成功連線至 PhishRod 伺服器！)

動作應會失敗並停止執行應對手冊：

如果未成功 (is_success= false)：「Failed to connect to the PhishRod server! Error is {0}".format(exception.stacktrace)

一般

更新事件

說明

在 PhishRod 中更新事件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
事件 ID	字串	不適用	是	指定需要更新的事件 ID。
狀態	DDL	刪除可能的值：安全刪除	否	指定事件的狀態。

參數顯示名稱

類型

預設值

為必填項目

說明

事件 ID

字串

不適用

是

指定需要更新的事件 ID。

狀態

DDL

刪除

可能的值：

安全
刪除

否

指定事件的狀態。

執行日期

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
    "statusMarked": false,
    "message": "Incident status is already marked."
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果 statusmarked == "true" (is_success=true)：「已成功更新 PhishRod 中的事件 {事件 ID}。如果 statusmarked == "false" (is_success=false)：「Incident {incident id} status was already modified previously in PhishRod.」(事件 {事件 ID} 狀態先前已在 PhishRod 中修改)。動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Update Incident". 原因：{0}''.format(error.Stacktrace) If message != "Incident status is already marked." and ""statusMarked"": false"「Error executing action "Update Incident"」。原因：{0}".format(message)"	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果 statusmarked == "true" (is_success=true)：「已成功更新 PhishRod 中的事件 {事件 ID}。

如果 statusmarked == "false" (is_success=false)：「Incident {incident id} status was already modified previously in PhishRod.」(事件 {事件 ID} 狀態先前已在 PhishRod 中修改)。

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Update Incident". 原因：{0}''.format(error.Stacktrace)

If message != "Incident status is already marked." and ""statusMarked"": false"「Error executing action "Update Incident"」。原因：{0}".format(message)"

一般

標示事件

說明

在 PhishRod 中標示事件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
事件 ID	字串	不適用	是	指定需要標記的事件 ID。
狀態	DDL	標示為次要分析可能的值： SMark For Secondary Analysis 標示為垃圾郵件標示為安全	否	指定事件的標記方式。
註解	字串	不適用	是	請指定說明事件標記原因的註解。

參數顯示名稱

類型

預設值

為必填項目

說明

事件 ID

字串

不適用

是

指定需要標記的事件 ID。

狀態

DDL

標示為次要分析

可能的值：

SMark For Secondary Analysis
標示為垃圾郵件
標示為安全

否

指定事件的標記方式。

註解

字串

不適用

是

請指定說明事件標記原因的註解。

執行日期

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
    "code": "200",
    "status": "Incident status has already been updated before."
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報 200 狀態碼 (is_success=true)：「Successfully marked the incident {incident id} in PhishRod.」(已在 PhishRod 中成功標示事件 {事件 ID}。) 如果系統回報 200 狀態碼，且狀態為「Incident status has already been updated before」(is_success = false)：「Incident {incident id} was already marked previously in PhishRod. 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Mark Incident』動作時發生錯誤。原因：{0}''.format(error.Stacktrace) 如果系統回報 400 或 404 狀態碼：「Error executing action "Mark Incident". Reason: {0}".format(message)"	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報 200 狀態碼 (is_success=true)：「Successfully marked the incident {incident id} in PhishRod.」(已在 PhishRod 中成功標示事件 {事件 ID}。)

如果系統回報 200 狀態碼，且狀態為「Incident status has already been updated before」(is_success = false)：「Incident {incident id} was already marked previously in PhishRod.

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『Mark Incident』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

如果系統回報 400 或 404 狀態碼：「Error executing action "Mark Incident". Reason: {0}".format(message)"

一般

連接器

PhishRod - Incidents Connector

說明

從 PhishRod 提取事件相關資訊。

在 Google SecOps 中設定 PhishRod - Incidents Connector

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	產品名稱	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	事件欄位	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	不適用	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	PythonProcessTimeout	300	是	執行目前指令碼的 Python 程序逾時限制。
API 根層級	字串	https://{instance}.phishrod.co	是	PhishRod 執行個體的 API 根目錄。
API 金鑰	密碼	不適用	是	PhishRod 帳戶的 API 金鑰。
用戶端 ID	密碼	不適用	是	PhishRod 帳戶的用戶端 ID。
使用者名稱	字串	不適用	是	PhishRod 帳戶的使用者名稱。
密碼	密碼	不適用	是	PhishRod 帳戶的密碼。
警告嚴重性分數	字串	中	是	根據事件設定快訊的嚴重性。可能的值：資訊、低、中、高、重大。
將動態清單設為黑名單	核取方塊	已取消勾選	是	如果啟用，動態清單會做為黑名單使用。
驗證 SSL	核取方塊	已勾選	是	啟用後，系統會驗證連線至 Crowdstrike 伺服器的 SSL 憑證是否有效。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。