Rapid7 InsightIDR
Versión de integración: 7.0
Casos prácticos
Usar datos de InsightIDR para enriquecer las alertas procesadas de Google Security Operations.
Configurar la integración de Rapid7 InsightIDR en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://[region].api.insight.rapid7.com | Sí | Especifica la raíz de la API que se va a usar para la conexión. |
| Clave de API | Contraseña | N/A | Sí | Especifica la clave de API que se va a usar para la conexión. |
| Verificar SSL | Casilla | Marcada | No | Especifica si se debe validar el certificado configurado en la raíz de la API. |
Acciones
Ping
Descripción
Prueba la conectividad con el servicio Rapid7 InsightIDR con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: imprime "Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!" ("Se ha conectado correctamente al servicio Rapid7 InsightIDR con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad: imprime "Failed to connect to the Rapid7 InsightIDR service! Error: {0}".format(exception.stacktrace) |
General |
Mostrar investigaciones
Descripción
Lista las investigaciones de Rapid7 InsightIDR en función de los parámetros de entrada de acción especificados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Periodo | Entero | 4 | No | Especifica un periodo en horas para obtener los resultados. |
| Límite de registros | Entero | 20 | No | Especifica cuántos registros puede devolver la acción. |
| ¿Incluir investigaciones cerradas? | Casilla | Desmarcada | No | Especifica si quieres incluir o no las investigaciones cerradas en los resultados. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se ha completado correctamente: imprime "Rapid7 InsightIDR investigations found" ("Se han encontrado investigaciones de Rapid7 InsightIDR") Si is_success=False, por ejemplo, no se han encontrado investigaciones: print "No se han devuelto investigaciones".
|
General |
| CSV | Nombre de la tabla: Investigaciones de Rapid7 InsightIDR Columnas de tabla: Título Estado Fuente Usuario asignado (Assignee.email) Alertas (lista CSV de valores de alerts.type) Hora de creación |
General |
Definir estado de la investigación
Descripción
Define el estado de la investigación específica de Rapid7 InsightIDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de investigación | Cadena | N/A | Sí | ID de la investigación cuyo estado se va a actualizar. El ID debe tener un formato como 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Estado | DDL | " " | Sí | Nuevo estado de la investigación. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se realiza correctamente: imprime "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) Si is_success=False, por ejemplo, no se ha encontrado la investigación con el ID proporcionado: print "Failed to update Rapid7 InsightIDR investigation status. Error: {0}".format(error from response)
|
General |
Set Investigation Assignee
Descripción
Asigna la investigación de Rapid7 InsightIDR específica.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de investigación | Cadena | N/A | Sí | ID de la investigación cuyo estado se va a actualizar. El ID debe tener un formato como 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Correo del usuario asignado | Cadena | N/A | Sí | Correo del nuevo usuario asignado a la investigación. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se realiza correctamente: imprime "Se ha cambiado el asignatario de la investigación {0} de Rapid7 InsightIDR a {1}".format(investigation_id, assignee) Si is_success=False, por ejemplo, no se ha encontrado la investigación con el ID proporcionado: print "Failed to update Rapid7 InsightIDR investigation assignee. Error: {0}".format(error from response)
|
General |
List Saved Queries
Descripción
Lista las consultas guardadas de Rapid7 InsightIDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Límite de registros | Entero | 20 | No | Especifica cuántos registros puede devolver la acción. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se ha completado correctamente: imprime "Rapid7 InsightIDR saved queries found" (Se han encontrado consultas guardadas de Rapid7 InsightIDR). Si is_success=True, pero no se ha encontrado ninguna consulta guardada: print "No se ha devuelto ninguna consulta guardada."
|
General |
| CSV | Nombre de la tabla: Consultas guardadas de Rapid7 InsightIDR Columnas de tabla: ID Declaraciones Periodo Hora de inicio Hora de finalización Registros |
General |
Crear consulta guardada
Descripción
Crea una consulta guardada de Rapid7 InsightIDR basada en los parámetros de entrada de acción especificados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre de la nueva consulta guardada. |
| Declaraciones | Cadena | N/A | Sí | Una instrucción que se va a ejecutar en la consulta. Debe seguir la sintaxis de LEQL. Por ejemplo: where(foo=bar). |
| Periodo | Entero | 4 | Sí | Especifica un periodo en horas durante el que la consulta debe obtener datos. |
| Registros | Cadena | N/A | No | Consulta de nombres de registro en la que se debe ejecutar. El parámetro acepta varios valores como una cadena separada por comas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se ha creado correctamente: imprime "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) Si is_success=False, por ejemplo, la sintaxis de la consulta era incorrecta: print "Failed to create Rapid7 InsightID saved query. Error: {0}".format(error from response)
|
General |
Eliminar consulta guardada
Descripción
Eliminar la consulta guardada de Rapid7 InsightIDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de consulta guardada | Cadena | N/A | Sí | ID de la consulta guardada que se va a eliminar. Tiene el formato 00000000-0003-7218-0000-000000000000. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se ha completado correctamente: imprime "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id) Si is_success=False, por ejemplo, si se ha proporcionado un ID de consulta incorrecto: print "Failed to delete Rapid7 InsightID saved query. Error: {0}".format(error from response)
|
General |
Ejecutar consulta guardada
Descripción
Ejecuta una consulta guardada de Rapid7 InsightIDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de consulta guardada | Cadena | N/A | Sí | ID de la consulta guardada que se va a eliminar. Tiene el formato 00000000-0003-7218-0000-000000000000. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se realiza correctamente: imprime "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) ("Consulta guardada de Rapid7 InsightIDR {0} ejecutada correctamente".format(query id)) Si is_success=False, por ejemplo, si se ha proporcionado un ID de consulta incorrecto: print "Failed to delete Rapid7 InsightID saved query. Error: {0}".format(error from response) La acción debería fallar y detener la ejecución del playbook: |
General |
Update Investigation
Descripción
Actualizar la investigación en Rapid7 InsightIDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de investigación | Cadena | N/A | Sí | Especifica el ID de la investigación que se debe actualizar. |
| Estado | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica el estado de la investigación. |
| ID de consulta guardada | Cadena | Selecciona una opción. Valores posibles:
|
No | Especifica la resolución de la investigación. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si la información devuelta es (is_success=true): "Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR." ("Se ha actualizado correctamente la investigación con el ID {investigation id} en Rapid7 InsightIDR"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Update Investigation". Motivo: {0}''.format(error.Stacktrace)" Si no se encuentra la alerta: error al ejecutar la acción "Update Investigation". Motivo: no se ha encontrado la investigación con el ID {investigation id} en Rapid7 InsightIDR. Comprueba la ortografía". Si "Estado" y"Disposición" es "Seleccionar uno": "Error al ejecutar la acción "Actualizar investigación". Motivo: al menos uno de los parámetros "Status" o "Disposition" debe tener un valor ." |
General |
Conectores
Rapid7 InsightIDR - Investigations Connector
Descripción
Este conector se ha creado con endpoints de API que están en versión preliminar. Extrae información sobre la investigación de Rapid7 InsightIDR.
Parámetros del conector
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | data_type | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | fuente | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
Nombre del campo de entorno |
Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
Patrón de expresión regular del entorno |
Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{instance}.api.insight.rapid7.com | Sí | Raíz de la API de la instancia de Rapid7 InsightIDR. |
| Clave de API | Cadena | N/A | Sí | Clave de API de la cuenta de Rapid7 InsightIDR. |
| Fuentes | CSV | ALERT,USER | No | Fuentes que se usan para obtener investigaciones. Valores posibles: User, Alert. Si no se indica ningún parámetro, el conector ingiere investigaciones de ambas fuentes. |
| Prioridad más baja para obtener | Cadena | Medio | No | La prioridad más baja que se debe usar para obtener investigaciones. Valores posibles: Bajo, Medio, Alto y Crítico. Si no se especifica nada, el conector ingiere alertas de todas las gravedades. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se obtendrán las investigaciones. |
| Número máximo de alertas que se van a obtener | Entero | 20 | No | Número de alertas que se procesarán por cada iteración del conector. Valor predeterminado: 20. |
| Usar una lista dinámica como lista negra | Casilla | Marcada | Sí | Si se habilita, la lista dinámica se usa como lista negra. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Darktrace es válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.