QRadar
Versão da integração: 56.0
Implementações do QRadar suportadas
Esta integração suporta implementações do QRadar no local e na nuvem.
Acesso à rede do QRadar
Acesso à API do Google Security Operations ao QRadar: permita o tráfego através da porta 443 (HTTPS) ou conforme configurado no seu ambiente.
Defina autorizações do QRadar
Quando cria um utilizador e um perfil de segurança do Google SecOps dedicados no QRadar (conforme descrito nos passos seguintes), obtém um controlo mais detalhado sobre as autorizações. Esta abordagem é opcional, mas recomendada.
Uma integração do QRadar também pode funcionar através de uma conta de administrador existente.
Crie um utilizador do Google SecOps {:.hide-from-toc}
No QRadar, clique no ícone no canto superior esquerdo.
Aceda a Administração e clique em Utilizadores.
Clique em Novo e preencha as informações para criar um novo utilizador administrador.
Crie um perfil de segurança do Google SecOps
Aceda a Administração > Gestão de utilizadores > Perfis de segurança.
Crie um perfil com as seguintes definições:
- Precedência de autorizações: sem restrições
- Origens de registos: todos os grupos de origens de registos
- Rede: todas
- Domínios: todos os domínios
Implemente alterações
Clique em Implementar no ecrã.
Crie um serviço autorizado para aceder à API
Aceda a Administração > Gestão de utilizadores > Serviços autorizados.
Crie um serviço com as seguintes definições:
- Nome do serviço: Siemplify_Application_User
- Função de utilizador: administrador
- Perfil de segurança: administrador
- Data de validade: sem validade
Copie a chave de autenticação gerada e use-a nas definições de integração do Google SecOps (assistente de implementação).
Configure a integração do QRadar no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://IP_ADDRESS |
Sim | O caminho do URL que aponta para o servidor QRadar. |
| Chave da API | Palavra-passe | N/A | Sim | O token de segurança da API para autenticação. |
| Versão da API | String | N/A | Não | A versão da API usada. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Consulta de fluxos semelhantes
Descrição
Execute uma consulta AQL predefinida para encontrar fluxos relacionados com a entidade de endereço IP do Google SecOps especificada.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Diferença de tempo em minutos | Número inteiro | 10 | Não | Obter fluxos dos últimos x minutos. O parâmetro aceita valores numéricos, por exemplo, 10. |
| Limite de fluxos a obter | Número inteiro | 23 | Sim | Limite os fluxos que a ação pode devolver. O parâmetro aceita valores numéricos, por exemplo, 10. |
| Campos a apresentar | String | N/A | Não | Campos a obter do fluxo, além dos predefinidos. Se não estiver definido, a ação devolve campos predefinidos para o fluxo. |
| Nome do campo de endereço IP de origem | String | N/A | Não | Campos que representam o campo de endereço IP de origem do fluxo. |
| Nome do campo de endereço IP de destino | String | N/A | Não | Campos que representam o campo de endereço IP de destino do fluxo. |
Exemplo de utilização do manual
Obter informações do QRadar sobre fluxos registados para o endereço IP específico nos últimos x minutos.
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução do guia interativo:
|
Geral |
| Tabela | Fluxos semelhantes para a entidade: {0}".format(Siemplify.entity.identifier) Headers:... |
Entidade |
Consulta de eventos semelhantes
Descrição
Execute uma consulta AQL predefinida para encontrar eventos relacionados com as entidades de endereço IP, nome do anfitrião ou nome de utilizador do Google SecOps especificadas.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Diferença de tempo em minutos | Número inteiro | 10 | Não | Obter fluxos dos últimos x minutos. O parâmetro aceita valores numéricos, por exemplo, 10. |
| Limite de eventos a obter | Número inteiro | 25 | Sim | Limite os eventos que a ação pode devolver. O parâmetro aceita um valor numérico, por exemplo, 25. |
| Campos a apresentar | CSV | N/A | Não | Campos a obter do evento, além dos predefinidos. Se não for definido, a ação devolve campos predefinidos para o evento. |
| Nome do campo do nome do anfitrião | String | N/A | Não | Campo que representa o campo Nome do anfitrião do evento. |
| Nome do campo de endereço IP de origem | String | N/A | Não | Campos que representam o campo de endereço IP de origem do fluxo. |
| Nome do campo de endereço IP de destino | String | N/A | Não | Campos que representam o campo de endereço IP de destino do fluxo. |
| Nome do campo do nome de utilizador | String | N/A | Não | Campos que representam o campo de nome de utilizador do evento. |
Exemplo de utilização
Receber informações do QRadar sobre eventos registados para a entidade especificada nos últimos x minutos.
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- Utilizador
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo:
A ação deve falhar e parar a execução do guia interativo:
|
Geral |
| Tabela | Fluxos semelhantes para a entidade: {0}".format(Siemplify.entity.identifier) Headers:... |
Entidade |
QRadar AQL Search
Descrição
Executar uma consulta AQL arbitrária na instância do QRadar. A ação devolve um resultado no formato CSV.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Formato da consulta | String | N/A | Sim | Formato de consulta a executar. Por exemplo, "Select * from flows limit 10 last 10 minutes". |
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem interromper a execução de um guia interativo
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
| Tabela | "Resultados da consulta" Cabeçalhos:... |
Geral |
Tchim-tchim
Descrição
Teste a conetividade a uma instância do QRadar.
Parâmetros
N/A
Exemplos de utilização previstos
Testar se o acesso ao sistema de destino é bem-sucedido ou não com parâmetros, fornecidos na configuração de integração na página do Google Security Operations Marketplace.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um plano de ação.
A ação deve falhar e parar a execução de um guia interativo:
|
Geral |
Pesquise um valor no conjunto de referências
Descrição
Verifica se um valor está listado num conjunto de referências específico.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome do conjunto de referências para verificar um valor. |
| Valor | String | N/A | Sim | O valor a verificar num conjunto referenciado. |
Exemplo de utilização do manual
Foi encontrado um IP malicioso na execução do manual de procedimentos. Verifique se está listado no conjunto de referência Malicious_IPs.
É apresentado em
Esta ação não é executada nas entidades do Google SecOps.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Pesquisa de um valor no mapa de referência
Descrição
Verifica se um valor está listado num mapa de referência específico.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome do mapa de referência para verificar um valor. |
| Valor | String | N/A | Sim | O valor a verificar num mapa referenciado. |
Exemplo de utilização do manual
Verifique se um nome de utilizador tem autorização para aceder a um determinado IP com base nos valores do mapa de referência.
É apresentado em
Esta ação não é executada nas entidades do Google SecOps.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Pesquisa de um valor no mapa de referência de conjuntos
Descrição
Verifica se um valor está listado num mapa de referência específico de conjuntos.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome do mapa de referência de conjuntos para verificar um valor. |
| Valor | String | N/A | Sim | O valor a verificar num mapa de conjuntos referenciado. |
Exemplo de utilização
Verifique se um nome de utilizador tem autorização para aceder a um determinado IP com base no mapa de referência de valores definidos.
É apresentado em
Esta ação é executada nas entidades do Google SecOps.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Pesquise um valor em tabelas de referência
Descrição
Verifique se um valor está listado numa tabela de referência específica.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome da tabela de referência para verificar um valor. |
| Valor | String | N/A | Sim | O valor a verificar numa tabela referenciada. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Pesquisa de uma chave no mapa de referência
Descrição
Verifica se uma chave está listada num mapa de referência específico.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome do mapa de referência para verificar um valor. |
| Chave | String | N/A | Sim | A chave a verificar num mapa de referência. |
Exemplo de utilização
Verifique se um nome de utilizador tem autorização para aceder a um determinado IP com base nos valores do mapa de referência.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Pesquisa de uma chave no mapa de referência de conjuntos
Descrição
Verifica se uma chave está listada num mapa de referência específico de conjuntos.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | O nome do mapa de referência de conjuntos para verificar um valor. |
| Chave | String | N/A | Sim | A chave a verificar num mapa referenciado de conjuntos. |
Exemplo de utilização
Verifique se um nome de utilizador tem autorização para aceder a um determinado IP com base no mapa de referência dos valores definidos.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Apresentar conjuntos de referências
Descrição
Liste os conjuntos de referências disponíveis no QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos a devolver | String | N/A | Não | Especifique os campos que devem ser devolvidos pela ação. Se não for especificado nada, a ação devolve todos os campos disponíveis por predefinição. O parâmetro aceita vários valores separados por vírgulas. |
| Condição do filtro | String | N/A | Não | Especifique uma condição de filtro para devolver apenas elementos específicos, por exemplo: element_type = IP |
| Number Of Elements To Return | Número inteiro | 25 | Sim | Especifique um número máximo de elementos a devolver pela ação. |
Exemplo de utilização
Liste os elementos disponíveis para a referência.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Listar mapas de referência
Descrição
Liste os mapas de referência disponíveis no QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos a devolver | String | N/A | Não | Especifique os campos que devem ser devolvidos pela ação. Se não for especificado nada, a ação devolve todos os campos disponíveis por predefinição. Este parâmetro aceita vários valores separados por vírgulas. |
| Condição do filtro | String | N/A | Não | Especifique uma condição de filtro para devolver apenas elementos específicos, por exemplo: element_type = ALNIC |
| Number Of Elements To Return | Número inteiro | 25 | Sim | Especifique um número máximo de elementos a devolver pela ação. |
Exemplo de utilização
Liste os elementos disponíveis para a referência.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
A ação deve falhar e parar a execução do guia interativo:
|
Geral |
Liste os mapas de referência de conjuntos
Descrição
Liste os mapas de referência de conjuntos disponíveis no QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos a devolver | String | N/A | Não | Especifique os campos que devem ser devolvidos pela ação. Se não for especificado nada, a ação devolve todos os campos disponíveis por predefinição. Este parâmetro aceita vários valores separados por vírgulas. |
| Condição do filtro | String | N/A | Não | Especifique uma condição de filtro para devolver apenas elementos específicos, por exemplo: element_type = ALN |
| Number Of Elements To Return | Número inteiro | 25 | Sim | Especifique um número máximo de elementos a devolver pela ação. |
Exemplo de utilização
Liste os elementos disponíveis para a referência.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
A ação deve falhar e parar a execução do guia interativo:
|
Geral |
Listar tabelas de referência
Descrição
Liste as tabelas de referência disponíveis no QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Campos a devolver | String | N/A | Não | Especifique os campos que devem ser devolvidos pela ação. Se não for especificado nada, a ação devolve todos os campos disponíveis por predefinição. O parâmetro aceita vários valores separados por vírgulas. |
| Condição do filtro | String | N/A | Não | Especifique uma condição de filtro para devolver apenas elementos específicos, por exemplo: element_type = ALN |
| Number Of Elements To Return | Número inteiro | 25 | Sim | Especifique um número máximo de elementos a devolver pela ação. |
Exemplo de utilização
Liste os elementos disponíveis para a referência.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Adicione nota de ofensa
Descrição
Adicione uma nota a uma ofensa do QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da ofensa | Número inteiro | N/A | Sim | ID da ofensa ao qual quer adicionar uma nota. |
| Texto da nota | String | N/A | Sim | Texto da nota a adicionar à ofensa. |
Exemplo de exemplos de utilização do manual
Adicione uma nota sobre a ofensa do QRadar a partir do Google SecOps.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
A ação deve falhar e parar a execução do guia interativo:
|
Geral |
Atualizar ofensa
Descrição
Atualize a ofensa do QRadar.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da ofensa | Número inteiro | N/A | Sim | ID da ofensa a atualizar. |
| Atribuído a | String | N/A | Não | Início de sessão do utilizador ao qual atribuir a ofensa. |
| Estado | LDD | " " | Não | Novo estado da ofensa. |
| Motivo do encerramento | String | N/A | Não | Se o estado da ofensa estiver definido como fechado, tem de indicar um motivo de encerramento do QRadar. |
| Seguimento | Caixa de verificação | Caixa de verificação desmarcada | Não | Especifique se a ofensa deve ser marcada como seguimento. |
| Protegido | Caixa de verificação | Caixa de verificação desmarcada | Não | Especifique se a ofensa deve ser marcada como protegida. |
Exemplo de exemplos de utilização do manual
Atualize a infração do QRadar a partir do Google SecOps para manter o estado da infração do QRadar sincronizado com o Google SecOps.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução do guia interativo:
Esta ação deve falhar e parar a execução do guia interativo:
|
Geral |
Obtenha a cobertura MITRE da regra
Descrição
Aceda aos detalhes do MITRE sobre as regras no QRadar através da aplicação Use Case Manager.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das regras | CSV | Sim | Especifique uma lista de nomes de regras separados por vírgulas para os quais a ação deve devolver detalhes da MITRE. | |
| Crie estatísticas | Booleano | True | Não | Se estiver ativada, a ação cria uma estatística com informações sobre a cobertura da MITRE das regras. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução de um guia interativo:
Esta ação deve falhar e parar a execução de um guia interativo:
|
Geral |
| Tabela de parede da caixa | Nome da tabela: Cobertura MITRE Colunas da tabela:
|
QRadar Simple AQL Search
Descrição
Executar uma consulta AQL com base em parâmetros no QRadar.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da tabela | LDD |
Flows Valores possíveis:
|
Sim | Especifique a tabela que deve ser consultada. |
| Campos a devolver | CSV | * | Não | Especifique os campos a devolver. Se não for fornecido nada, a ação devolve todos os campos. Os carateres universais também são suportados. |
| Filtro Where | String | Não | Especifique o filtro WHERE para a consulta que tem de ser executada.
Não tem de fornecer um filtro de tempo, limites nem ordenação. Além disso, não tem de fornecer a string WHERE na carga útil. |
|
| Intervalo de tempo | LDD |
Última hora Valores possíveis:
|
Não | Especifique o período dos resultados. Se selecionar "Personalizado", também tem de indicar a "Hora de início". |
| Hora de início | String | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601. Exemplo: 2021-04-23T12:38Z | |
| Hora de fim | String | Não | Especifique a hora de fim dos resultados. Formato: ISO 8601. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. | |
| Campo de ordenação | String | Não | Especifique o parâmetro que deve ser usado para a ordenação. | |
| Disposição da Ordenação | LDD |
ASC Valores possíveis:
|
Não | Especifique a ordem de ordenação. Requer que o parâmetro "Campo de ordenação" seja fornecido. |
| Máximo de resultados a devolver | Número inteiro | 50 | Não | Especifique o número de resultados a devolver. |
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
Esta ação não deve falhar nem parar a execução de um guia interativo:
Esta ação deve falhar e parar a execução de um guia interativo:
|
Geral |
| Tabela de parede da caixa | Nome da tabela: Resultados |
Conetores
Configure conetores do QRadar no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
QRadar Correlation Events Connector V2
Descrição
Conetor recomendado. Obtém as infrações do QRadar e forma alertas do Google SecOps para cada regra do QRadar adicionada à lista dinâmica no Google SecOps. O conector obtém apenas as infrações das regras que são adicionadas à lista dinâmica do Google SecOps. O conetor requer a versão mínima 10.1 da API QRadar. O conetor cria alertas do Google SecOps com base no nome da regra da ofensa do QRadar e não no nome da ofensa.
Pré-requisitos do conetor
O QRadar indexa os campos obrigatórios. O conector QRadar New Correlation Events Connector V2 usa campos adicionais para os eventos associados às seguintes infrações: logsource_id, creEventList, Custom Rule Partially Matched. Esses campos devem ser indexados por predefinição no QRadar, mas é necessário certificar-se de que estes índices estão atualmente ativados. Para verificar se estão ativados, na IU Web do QRadar, aceda a Administração > Gestão de índices. Na janela apresentada, encontra os seguintes índices. Certifique-se de que estão ativados:
- Regra personalizada
- Origem de registo
- Regra personalizada com correspondência parcial
Para mais informações, consulte o artigo Gestão de índices.
Recomendações de dias máximos anteriores O valor do parâmetro do conector de dias máximos anteriores deve ser usado com precaução. As infrações do QRadar podem ter muitos eventos e tentar obtê-los através do conector pode causar uma carga excessiva no servidor do QRadar e/ou limites de tempo dos pedidos. Por este motivo, é recomendado definir o parâmetro Max Days Backwards para valores suficientemente pequenos para garantir que o conector consegue consultar o QRadar para eventos relativos ao período configurado.
Notas de utilização do conetor
Tenha em atenção o seguinte quando usar o conector:
O conector de eventos de correlação do QRadar v2 monitoriza todos os eventos carregados por infração. Para tal, calcula uma soma de hash dos eventos usando todos os dados dos eventos (todos os campos dos eventos devolvidos pela API QRadar) e usa-a como um identificador único do evento para a infração. Consequentemente, os eventos que têm todos os campos idênticos não são carregados para a ofensa. O primeiro evento é carregado e adicionado à ofensa relacionada. No entanto, as seguintes são rejeitadas como duplicados. O acima mencionado é causado pela arquitetura do QRadar, uma vez que os eventos no QRadar não têm identificadores únicos.
O QRadar Correlation Events Connector v2 cria alertas com base nas regras de listas dinâmicas presentes para a infração, e não para as próprias infrações. Como resultado, se um evento na ofensa for denunciado por várias regras de listas dinâmicas, este evento é adicionado a vários alertas do Google SecOps para as regras de listas dinâmicas relacionadas.
O IBM QRadar usa regras para monitorizar os eventos e os fluxos na sua rede para detetar ameaças de segurança. Quando os eventos e os fluxos cumprem os critérios de teste, que são definidos nas regras, é criada uma infração para mostrar que se suspeita de um ataque de segurança ou de uma violação de política.
O novo conector carrega as infrações para o Google SecOps com base apenas nas regras correspondentes. Estas regras são definidas pelo utilizador e têm de ser adicionadas à lista dinâmica para garantir que o Google SecOps só carrega ofensas relevantes para o utilizador. Por conseguinte, assim que é criada uma nova infração, o conector verifica as regras que acionaram a infração (a filtragem de regras foi introduzida na versão 9 ou superior da API QRadar). Se as regras fizerem parte da lista dinâmica, o conector prepara a infração para carregamento.
Exemplo de utilização do conetor
Investigue uma ofensa
O IBM QRadar usa regras para monitorizar os eventos e os fluxos na sua rede para detetar ameaças de segurança. Quando os eventos e os fluxos cumprem os critérios de teste definidos nas regras, é criada uma infração para mostrar que existe uma suspeita de ataque de segurança ou violação de políticas. No entanto, saber que ocorreu uma ofensa é apenas o primeiro passo. A identificação de como aconteceu, onde aconteceu e quem o fez requer alguma investigação.
A janela Resumo da ofensa ajuda a iniciar a investigação de ofensas, fornecendo contexto para ajudar a compreender o que aconteceu e determinar como isolar e resolver o problema.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | Descrição | |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Descreve o nome do campo onde o nome do produto está armazenado. | |
| Nome do campo de evento | String | N/A | Descreve o nome do campo onde o nome do evento está armazenado. | |
| Nome do campo do ambiente | String | domain_name | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é "". | |
| Padrão de regex do ambiente | String | .* | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". | |
| Raiz da API | String | https://IP_ADDRESS:port |
O endereço do servidor QRadar. | |
| Chave da API | String | N/A | O token de autenticação da API. | |
| Versão da API | String | 10.1 | A versão da API QRadar a usar. O conector suporta a versão da API a partir da 10.1. | |
| Filtro de domínio | String (CSV) | N/A | Especifique os domínios do QRadar a partir dos quais devem ser carregadas ofensas. Se não forem fornecidos valores, o conector vai carregar infrações de todos os domínios. O parâmetro aceita vários valores como uma string separada por vírgulas. | |
| Limite de eventos por alerta do Siemplify | Número inteiro | 25 | Número máximo de eventos a obter por alerta do Google SecOps por ciclo. Pode ser aumentado para que o conector seja executado mais rapidamente se, durante o período de preenchimento especificado para a infração, forem devolvidos constantemente grandes números de eventos. | |
| Tamanho da página de eventos do conetor | Número inteiro | 100 | O tamanho da página que o conector vai usar para processar eventos em lotes. | |
| Máximo de infrações por ciclo | Número inteiro | 10 | Número máximo de infrações a processar por execução do conetor.
Evite definir um valor inferior a 10 para garantir um desempenho ideal. |
|
| Limite de tempo do script (segundos) | Número inteiro | 300 | Limite de tempo limite para o processo Python que executa o script atual. | |
| Máximo de dias para trás | Número inteiro | 5 | Número máximo de dias para obter dados de infrações retroativamente. | |
| Período de preenchimento de infrações | Número inteiro | 60 | Intervalo de tempo em minutos para obter infrações em minutos. | |
| Período de preenchimento de eventos | Número inteiro | 1 | Período de tempo em dias para obter dados de eventos. | |
| Campos personalizados | String | N/A | Os campos personalizados configurados pelo utilizador no QRadar têm valores separados por vírgulas. Exemplo: Campo A, Campo B | |
| Que valor usar para o campo Nome do alerta do Siemplify? | String | custom_rule | Especifique o formato a seguir para gerar nomes para os alertas criados pelo conetor.
Os valores possíveis são: custom_rule ou offense_description |
|
| Que valor usar para o campo do gerador de regras do alerta do Siemplify? | String | custom_rule | Especifique o formato a seguir para preencher o campo rule_generator para os alertas criados pelo conetor.
Os valores possíveis são: custom_rule ou offense_description |
|
| Criar casos de "Não é possível obter eventos para a ofensa"? | Caixa de verificação | Marcado | Se esta opção estiver selecionada, o conector cria registos de aviso "Não é possível obter eventos para a infração" se não conseguir obter eventos para as infrações atualizadas durante o período de preenchimento de infrações. | |
| Endereços do servidor proxy | String | N/A | Endereço do servidor proxy. | |
| Nome de utilizador do proxy | String | N/A | Nome de utilizador do proxy. | |
| Palavra-passe do proxy | Palavra-passe | N/A | Palavra-passe do proxy. | |
| Limite de eventos por regra de infração do Qradar | Número inteiro | 100 | Especifique um limite para o número de eventos que devem ser carregados por regra única na ofensa do QRadar. Quando este limite é atingido, não são carregados novos eventos para a ofensa da regra do QRadar relacionada. Exemplo: 100 | |
| Limite de eventos para o conetor consultar numa execução do conetor | Número inteiro | N/A | Especifique um limite para o número de eventos que um único conetor de infrações deve consultar no QRadar numa execução do conetor. Exemplo: 100.
Tenha em atenção que o valor especificado no parâmetro não pode ser inferior ao valor especificado no parâmetro Events Limit per QRadar Offense Rule. Além disso, devido à forma como o conector obtém eventos, os eventos mais antigos e fora do limite não são obtidos para o Google SecOps. O conector obtém os eventos mais recentes até atingir o limite especificado no parâmetro Events Limit per QRadar Offense Rule. |
|
| Use a lista de autorizações como uma lista de bloqueios | Caixa de verificação | Desmarcado | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. | |
| Desative o Overflow | Caixa de verificação | Desmarcado | Se esta opção estiver ativada, o mecanismo de overflow do conetor não é verificado para os alertas criados, os alertas de "overflow" não são criados e o conetor tenta obter todas as infrações devolvidas pelo QRadar. | |
| Temporizador de ressincronização das regras de infração do Qradar | Número inteiro | 10 | Não | Especifique em minutos a frequência com que o conector deve ressincronizar a lista de regras de infração do QRadar. Se o parâmetro não estiver definido ou estiver definido como 0, o conector é sincronizado novamente em cada execução. |
Regras de conector
Lista de bloqueios e lista dinâmica
O conetor está a carregar infrações para o Google SecOps com base em regras correspondentes. Estas regras são definidas pelo utilizador e adicionadas a uma lista dinâmica para garantir que o Google SecOps só carrega infrações que sejam do interesse/importantes para o utilizador.
| RuleType (lista dinâmica ou lista de bloqueios) | RuleName (string) |
|---|---|
| Lista dinâmica | Local: SSH ou Telnet detetado na porta não padrão |
| Lista dinâmica | Várias falhas de início de sessão a partir da mesma origem |
Suporte de proxy
O conetor suporta proxy.
Comunicações encriptadas
O conetor suporta comunicações encriptadas (SSL/TLS).
Suporte Unicode
O conetor suporta a codificação Unicode para os alertas processados.
QRadar Offenses Connector
Descrição
O conetor de infrações do QRadar é usado para obter infrações e criar alertas do Google SecOps com base nas próprias infrações do QRadar, ao contrário do que os conetores de outras integrações fazem com base nos nomes das regras do QRadar. O conector tem um limite para o número total de eventos que vai obter por infração do QRadar. Depois de atingir esse limite, os novos eventos não são carregados. O conector usa a lista dinâmica do Google SecOps, mas, por predefinição, se não forem definidas regras de listas dinâmicas, vai obter todas as infrações devolvidas pela API QRadar. O conetor requer a versão 10.1 ou superior da API QRadar.
O conetor pode ser considerado uma versão mais fácil de configurar e usar que pode ser usada se não for necessário monitorizar e carregar todos os eventos de infração do QRadar e carregá-los para o Google SecOps (como fazem os conetores de correlação de integração).
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim | Descreve o nome do campo onde o nome do produto está armazenado. |
| Nome do campo de evento | String | N/A | Sim | Descreve o nome do campo onde o nome do evento está armazenado. |
| Nome do campo do ambiente | String | domain_name | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". |
| Raiz da API | String | https://IP_ADDRESS:port |
Sim | O endereço do servidor da API. |
| Chave da API | String | N/A | Sim | O token de autenticação da API. |
| Versão da API | String | 10.1 | Sim | A versão da API QRadar a usar. O conector suporta a versão da API a partir da 10.1. |
| Limite total de eventos por infração | Número inteiro | 100 | Sim | Especifique quantos eventos por infração do QRadar devem ser carregados no total pelo conector. Depois de atingir esse limite, não são carregados novos eventos para a infração. |
| Limite de eventos por regra de infração do Qradar | Número inteiro | N/A | Não | Especifique um limite opcional para quantos eventos devem ser carregados por regra única na ofensa do QRadar. Não são carregados novos eventos para a ofensa da regra do QRadar relacionada quando este limite é atingido. O limite não pode ser superior ao "Limite total de eventos por infração". |
| Tamanho da página de eventos do conetor | Número inteiro | 100 | Sim | O tamanho da página que o conector vai usar para processar eventos em lotes. |
| Máximo de infrações por ciclo | Número inteiro | 10 | Sim | Número máximo de infrações a processar por execução do conetor.
Evite definir um valor inferior a 10 para garantir um desempenho ideal. |
| Limite de tempo do script (segundos) | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Máximo de dias para trás | Número inteiro | 5 | Não | Número máximo de dias para obter dados de infrações retroativamente |
| Período de preenchimento de infrações | Número inteiro | 60 | Sim | Intervalo de tempo em minutos para obter infrações em minutos. |
| Período de preenchimento de eventos | Número inteiro | 1 | Sim | Período de tempo em dias para obter dados de eventos. |
| Campos personalizados | String | N/A | Não | Campos personalizados configurados pelo utilizador no QRadar, separados por vírgulas, por exemplo: Campo A, Campo B. |
| Filtro de domínio | String | N/A | Não | Especifique os domínios do QRadar a partir dos quais devem ser carregadas ofensas. Se não forem fornecidos valores, o conector vai carregar infrações de todos os domínios. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Filtro de magnitude | Número inteiro | N/A | Não | Especifique uma magnitude de infração para carregar. As infrações com uma magnitude igual ou superior à fornecida são carregadas para o Google SecOps. |
| Que valor usar para o campo Nome do alerta do Siemplify? | String | custom_alert_name | Não | Especifique o formato a seguir para gerar nomes para os alertas criados pelo conetor.
Os valores possíveis são: custom_alert_name ou offense_description. |
| Use a lista de autorizações como uma lista de bloqueios | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. Se a caixa de verificação não estiver ativada e não forem definidas regras de lista dinâmica, o conector vai obter todas as infrações devolvidas pela API QRadar. |
| Desative o Overflow | Caixa de verificação | Desmarcado | Não | Se esta opção estiver ativada, o mecanismo de overflow do conetor não é verificado para os alertas criados. Não são criados alertas de "overflow", e o conetor tenta obter todas as infrações devolvidas pelo QRadar. |
| Endereços do servidor proxy | String | Não | Endereço do servidor proxy. | |
| Nome de utilizador do proxy | String | N/A | Não | Nome de utilizador do proxy. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | Palavra-passe do proxy. |
| Temporizador de ressincronização das regras de infração do Qradar | Número inteiro | 10 | Não | Especifique, em minutos, a frequência com que o conector deve ressincronizar a lista de regras de infração do Qradar. Se o parâmetro não estiver definido ou estiver definido como 0, o conector é sincronizado novamente em cada execução. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Conetor de infrações de base do QRadar
O conetor obtém as ofensas e cria alertas do Google SecOps com base nos nomes das ofensas do QRadar.
O conector cria um único alerta do Google SecOps por infração do QRadar e não cria alertas adicionais do Google SecOps quando aparecem novos eventos do QRadar.
O conetor usa a lista dinâmica do Google SecOps. Por predefinição, se não forem definidas regras de listas dinâmicas, o conector obtém todas as infrações devolvidas pela API Qradar.
Parâmetros do conetor
| Parâmetros | |
|---|---|
| Nome do campo do produto | Obrigatório
O nome do campo onde o nome do produto está armazenado. |
| Nome do campo de evento | Obrigatório
O nome do campo onde o nome do evento está armazenado. |
| Nome do campo do ambiente | Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é definido como |
| Padrão de regex do ambiente | Opcional
Um padrão de expressão regular a executar no valor encontrado no campo O valor predefinido é |
| Raiz da API | Obrigatório
O endereço do servidor da API. |
| Chave da API | Obrigatório
O token de autenticação da API. |
| Versão da API | Obrigatório
A versão da API QRadar. O conetor suporta as versões 10.1 e posteriores da API. |
| Limite total de eventos por infração | Obrigatório
Especifica quantos eventos por infração do QRadar devem ser carregados no total pelo conector. Depois de atingir o limite definido, não são carregados novos eventos para a ofensa. O valor predefinido é 100. |
| Limite de eventos por regra de infração do QRadar | Opcional
Especifica um limite opcional para uma quantidade de eventos que devem ser carregados por regra única numa ofensa do QRadar. Não são carregados novos eventos na ofensa para a regra do QRadar relacionada quando o limite definido por este parâmetro é atingido. |
| Tamanho da página de eventos do conetor | Obrigatório
O tamanho da página que o conector usa para processar eventos em lotes. O valor predefinido é 100. |
| Máximo de infrações por ciclo | Obrigatório Número máximo de infrações a processar por execução do conetor. Evite definir um valor inferior a 10 para garantir um desempenho ideal. O valor predefinido é 10. |
| Limite de tempo do script (segundos) | Obrigatório
O limite de tempo limite para o processo do Python que executa o script atual. O valor predefinido é 300 segundos. |
| Máximo de dias para trás | Opcional
Número máximo de dias a partir dos quais obter os dados de infrações. O valor predefinido é de 5 dias. |
| Período de preenchimento de infrações | Obrigatório
Intervalo de tempo em minutos para obter infrações. O valor predefinido é de 60 minutos. |
| Período de preenchimento de eventos | Obrigatório
Período de tempo em dias para obter dados de eventos. O valor predefinido é um dia. |
| Campos personalizados | Opcional
Campos personalizados separados por vírgulas configurados pelo utilizador no QRadar, como |
| Filtro de domínio | Opcional
Especifica os domínios do QRadar a partir dos quais ingerir infrações. Se não forem fornecidos valores, o conector carrega infrações de todos os domínios. O parâmetro aceita vários valores como uma string separada por vírgulas. |
| Filtro de magnitude | Opcional
Especifica uma magnitude de ofensa a carregar. As ofensas com uma magnitude igual ou superior à fornecida são carregadas para o Google SecOps. |
| Que valor usar para o campo Nome do alerta do Siemplify? | Opcional
Especifica o formato a seguir para gerar nomes para os alertas criados pelo conetor. O valor predefinido é Valores possíveis:
|
| Use uma lista dinâmica como lista de bloqueio | Opcional
Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Se a caixa de verificação estiver desmarcada e não estiverem definidas regras de listas dinâmicas, o conetor obtém todas as infrações devolvidas pela API QRadar. Desmarcada por predefinição. |
| Desative o Overflow | Opcional
Se esta opção estiver ativada, o mecanismo de overflow do conetor não é verificado para os alertas criados, pelo que os alertas de "overflow" não são criados e o conetor obtém todas as infrações devolvidas do QRadar. Desmarcada por predefinição. |
| Endereços do servidor proxy | Opcional
O endereço do servidor proxy. |
| Nome de utilizador do proxy | Opcional
O nome de utilizador do proxy. |
| Palavra-passe do proxy | Opcional
A palavra-passe do proxy. |
| Temporizador de ressincronização das regras de infração do Qradar | Opcional
Especifica o intervalo em minutos para o conector ressincronizar a lista de regras de infração do QRadar. Se o parâmetro não estiver definido ou estiver definido como 0, o conector é sincronizado novamente em cada execução. O valor predefinido é de 10 minutos. |
| Crie alertas SOAR para ofensas com 0 eventos | Opcional
Se esta opção estiver selecionada, para as infrações obtidas sem eventos, o conector cria um alerta do Google SecOps com os dados de infração do QRadar para o alerta e o evento. Desmarcada por predefinição. |
| Temporizador de criação de infrações (minutos) | Opcional
Especifica o tempo que o conector aguarda antes de obter dados de eventos para uma ofensa do QRadar criada recentemente. |
Regras de conector
O conetor suporta proxy.
Eventos de conetores
Segue-se um exemplo de um evento:
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
Empregos
SyncCloseOffenses
Descrição
Fecha as ofensas do QRadar relacionadas com alertas do Google SecOps fechados.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://IP_ADDRESS |
Sim | O caminho do URL que aponta para o servidor QRadar. |
| Chave da API | Palavra-passe | N/A | Sim | O token de segurança da API para autenticação. |
| Versão da API | String | N/A | Não | A versão da API usada. |
| Dias para trás | Número inteiro | N/A | Não | Dias anteriores para obter as ofensas. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.