Rapid7 InsightIDR
Dokumen ini memberikan panduan tentang cara mengintegrasikan Rapid7 InsightIDR dengan Google SecOps.
Kasus Penggunaan
Menggunakan data InsightIDR untuk pengayaan notifikasi Google Security Operations yang diproses.
Mengonfigurasi integrasi Rapid7 InsightIDR di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://[region].api.insight.rapid7.com | Ya | Tentukan Root API yang akan digunakan untuk koneksi. |
| Kunci API | Sandi | T/A | Ya | Tentukan Kunci API yang akan digunakan untuk koneksi. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Tentukan apakah sertifikat yang dikonfigurasi di root API harus divalidasi. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke layanan Rapid7 InsightIDR dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: print "Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error penting, seperti kredensial salah atau koneksi terputus: cetak "Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace) |
Umum |
Mencantumkan Penyelidikan
Deskripsi
Mencantumkan penyelidikan Rapid7 InsightIDR berdasarkan parameter input tindakan yang ditentukan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | Bilangan bulat | 4 | Tidak | Tentukan jangka waktu dalam jam untuk mengambil temuan. |
| Batas rekaman | Bilangan bulat | 20 | Tidak | Tentukan berapa banyak data yang dapat ditampilkan oleh tindakan. |
| Sertakan Investigasi Tertutup? | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah akan menyertakan penyelidikan yang ditutup dalam hasil atau tidak. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR investigations found" Jika is_success=False, misalnya tidak ada penyelidikan yang ditemukan: cetak "No investigations were returned".
|
Umum |
| CSV | Nama Tabel: Investigasi Rapid7 InsightIDR Kolom Tabel: Judul Status Sumber Penerima tugas (Assignee.email) Pemberitahuan (daftar CSV nilai alerts.type) Waktu Dibuat |
Umum |
Setel Status Investigasi
Deskripsi
Menetapkan status untuk investigasi Rapid7 InsightIDR tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | T/A | Ya | ID penyelidikan untuk memperbarui status. ID harus dalam format seperti 8ec8e324-4522-4a6e-9838-81496a0cadb0 |
| Status | DDL | " " | Ya | Status penyelidikan baru. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) jika is_success=False, misalnya penyelidikan dengan ID yang diberikan tidak ditemukan: print "Failed to update Rapid7 InsightIDR investigation status. Error is: {0}".format(error from response)
|
Umum |
Tetapkan Penerima Tugas Investigasi
Deskripsi
Menetapkan penerima tugas untuk penyelidikan Rapid7 InsightIDR tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | T/A | Ya | ID penyelidikan untuk memperbarui status. ID harus dalam format seperti 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Email penerima tugas | String | T/A | Ya | Email penerima tugas baru penyelidikan. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR Investigation {0} assignee changed to {1}".format(investigation_id, assignee) Jika is_success=False, misalnya penyelidikan dengan ID yang diberikan tidak ditemukan: print "Failed to update Rapid7 InsightIDR investigation assignee. Error is: {0}".format(error from response)
|
Umum |
Mencantumkan Kueri Tersimpan
Deskripsi
Mencantumkan kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Batas rekaman | Bilangan bulat | 20 | Tidak | Tentukan berapa banyak data yang dapat ditampilkan oleh tindakan. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: jika berhasil: print "Rapid7 InsightIDR saved queries found" jika is_success=True, tetapi tidak ada kueri tersimpan yang ditemukan: cetak "No saved queries were returned".
|
Umum |
| CSV | Nama Tabel: Kueri Tersimpan Rapid7 InsightIDR Kolom Tabel: ID Pernyataan Rentang Waktu Waktu Mulai Waktu Berakhir Log |
Umum |
Buat Kueri Tersimpan
Deskripsi
Membuat kueri tersimpan Rapid7 InsightIDR berdasarkan parameter input tindakan yang ditentukan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama | String | T/A | Ya | Nama untuk kueri tersimpan baru. |
| Pernyataan | String | T/A | Ya | Pernyataan yang akan dijalankan dalam kueri, harus mengikuti sintaksis LEQL, misalnya: where(foo=bar). |
| Jangka Waktu | Bilangan bulat | 4 | Ya | Tentukan jangka waktu dalam jam untuk kueri yang harus mengambil data. |
| Log | String | T/A | Tidak | Kueri nama log yang akan dijalankan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: if successful: print "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) if is_success=False, for example syntax of query was incorrect: print "Failed to create Rapid7 InsightID saved query. Error is: {0}".format(error from response)
|
Umum |
Hapus Kueri Tersimpan
Deskripsi
Menghapus kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Kueri Tersimpan | String | T/A | Ya | ID kueri tersimpan yang akan dihapus dalam format 00000000-0003-7218-0000-000000000000 |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id) jika is_success=False, misalnya ID kueri yang salah diberikan: print "Failed to delete Rapid7 InsightID saved query. Error is: {0}".format(error from response)
|
Umum |
Menjalankan Kueri Tersimpan
Deskripsi
Jalankan kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Kueri Tersimpan | String | T/A | Ya | ID kueri tersimpan yang akan dihapus dalam format 00000000-0003-7218-0000-000000000000 |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: jika berhasil: print "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) jika is_success=False, misalnya ID kueri yang salah diberikan: print "Failed to delete Rapid7 InsightID saved query. Error is: {0}".format(error from response) Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
Memperbarui Investigasi
Deskripsi
Perbarui penyelidikan di Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | NA | Ya | Tentukan ID penyelidikan yang perlu diperbarui. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status untuk investigasi. |
| ID Kueri Tersimpan | String | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan disposisi untuk penyelidikan. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak menghentikan eksekusi playbook: Jika informasi ditampilkan (is_success=true): "Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Update Investigation". Reason: {0}''.format(error.Stacktrace)" Jika pemberitahuan tidak ditemukan: Error saat menjalankan tindakan "Perbarui Investigasi". Alasan: investigasi dengan ID {investigation id} tidak ditemukan di Rapid7 InsightIDR. Periksa ejaan." Jika "Status" dan"Disposisi" adalah "Pilih Salah Satu": "Error saat menjalankan tindakan "Perbarui Penyelidikan". Alasan: setidaknya salah satu parameter "Status" atau "Disposisi" harus memiliki nilai ." |
Umum |
Konektor
Rapid7 InsightIDR - Konektor Investigasi
Deskripsi
Konektor ini dibuat menggunakan endpoint API yang dalam rilis pratinjau. Mengambil informasi tentang investigasi dari Rapid7 InsightIDR.
Parameter konektor
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | data_type | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | sumber | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
Nama Kolom Lingkungan |
String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
Pola Regex Lingkungan |
String | .* | Tidak | Pola regex yang akan dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance}.api.insight.rapid7.com | Ya | Root API instance Rapid7 InsightIDR. |
| Kunci API | String | T/A | Ya | Kunci API akun Rapid7 InsightIDR. |
| Sumber | CSV | PERINGATAN,PENGGUNA | Tidak | Sumber yang digunakan untuk mengambil penyelidikan. Nilai yang mungkin: Pengguna, Pemberitahuan. Jika tidak ada yang diberikan, konektor akan menyerap penyelidikan dari kedua sumber. |
| Prioritas Terendah yang Akan Diambil | String | Sedang | Tidak | Prioritas terendah yang perlu digunakan untuk mengambil penyelidikan. Kemungkinan nilai: Rendah, Sedang, Tinggi, Kritis. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan penyelidikan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 20 | Tidak | Jumlah pemberitahuan yang akan diproses per iterasi konektor. Default: 20. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Darktrace valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.