Rapid7 InsightIDR
Versi integrasi: 7.0
Kasus Penggunaan
Menggunakan data InsightIDR untuk memperkaya notifikasi Google Security Operations yang diproses.
Mengonfigurasi integrasi Rapid7 InsightIDR di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://[region].api.insight.rapid7.com | Ya | Tentukan Root API yang akan digunakan untuk koneksi. |
| Kunci API | Sandi | T/A | Ya | Tentukan Kunci API yang akan digunakan untuk koneksi. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Tentukan apakah sertifikat yang dikonfigurasi di root API harus divalidasi. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke layanan Rapid7 InsightIDR dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: cetak "Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error penting, seperti kredensial yang salah atau konektivitas hilang: cetak "Failed to connect to the Rapid7 InsightIDR service! Error adalah {0}".format(exception.stacktrace) |
Umum |
Mencantumkan Penyelidikan
Deskripsi
Mencantumkan penyelidikan Rapid7 InsightIDR berdasarkan parameter input tindakan yang ditentukan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | Bilangan bulat | 4 | Tidak | Tentukan jangka waktu dalam jam untuk mengambil temuan. |
| Batas rekaman | Bilangan bulat | 20 | Tidak | Tentukan berapa banyak data yang dapat ditampilkan oleh tindakan. |
| Sertakan Investigasi Tertutup? | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah akan menyertakan penyelidikan yang ditutup dalam hasil atau tidak. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: jika berhasil: cetak "Investigasi Rapid7 InsightIDR menemukan" if is_success=False, misalnya tidak ada penyelidikan yang ditemukan: print "No investigations were returned".
|
Umum |
| CSV | Nama Tabel: Investigasi Rapid7 InsightIDR Kolom Tabel: Judul Status Sumber Penerima tugas (Assignee.email) Pemberitahuan (daftar CSV nilai alerts.type) Waktu Dibuat |
Umum |
Setel Status Investigasi
Deskripsi
Tetapkan status untuk investigasi Rapid7 InsightIDR tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | T/A | Ya | ID penyelidikan untuk memperbarui status. ID harus dalam format seperti 8ec8e324-4522-4a6e-9838-81496a0cadb0 |
| Status | DDL | " " | Ya | Status baru penyelidikan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation status. Errornya adalah: {0}".format(error dari respons)
|
Umum |
Tetapkan Penerima Tugas Investigasi
Deskripsi
Menetapkan penerima tugas untuk penyelidikan Rapid7 InsightIDR tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | T/A | Ya | ID penyelidikan untuk memperbarui status. ID harus dalam format seperti 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Email penerima tugas | String | T/A | Ya | Email penerima tugas baru penyelidikan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: jika berhasil: mencetak "Penyelidikan InsightIDR Rapid7 {0} yang ditetapkan ke {1}".format(investigation_id, assignee) if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation assignee. Errornya adalah: {0}".format(error dari respons)
|
Umum |
Mencantumkan Kueri Tersimpan
Deskripsi
Mencantumkan kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Batas rekaman | Bilangan bulat | 20 | Tidak | Tentukan berapa banyak data yang dapat ditampilkan oleh tindakan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: jika berhasil: cetak "Rapid7 InsightIDR saved queries found" if is_success=True, but no saved queries were found: print "No saved queries were returned."
|
Umum |
| CSV | Nama Tabel: Kueri Tersimpan Rapid7 InsightIDR Kolom Tabel: ID Pernyataan Rentang Waktu Waktu Mulai Waktu Berakhir Log |
Umum |
Buat Kueri Tersimpan
Deskripsi
Membuat kueri tersimpan Rapid7 InsightIDR berdasarkan parameter input tindakan yang ditentukan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama | String | T/A | Ya | Nama untuk kueri tersimpan baru. |
| Pernyataan | String | T/A | Ya | Pernyataan yang akan dijalankan dalam kueri, harus mengikuti sintaksis LEQL, misalnya: where(foo=bar). |
| Jangka Waktu | Bilangan bulat | 4 | Ya | Tentukan jangka waktu dalam jam untuk kueri yang harus mengambil data. |
| Log | String | T/A | Tidak | Kueri nama log yang akan dijalankan. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: if successful: print "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) if is_success=False, for example syntax of query was incorrect: print "Failed to create Rapid7 InsightID saved query. Errornya adalah: {0}".format(error dari respons)
|
Umum |
Hapus Kueri Tersimpan
Deskripsi
Menghapus kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Kueri Tersimpan | String | T/A | Ya | ID kueri tersimpan yang akan dihapus dalam format 00000000-0003-7218-0000-000000000000 |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id) if is_success=False, misalnya ID kueri yang salah diberikan: print "Failed to delete Rapid7 InsightID saved query. Errornya adalah: {0}".format(error dari respons)
|
Umum |
Menjalankan Kueri Tersimpan
Deskripsi
Jalankan kueri tersimpan Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Kueri Tersimpan | String | T/A | Ya | ID kueri tersimpan yang akan dihapus dalam format 00000000-0003-7218-0000-000000000000 |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: if successful: print "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) if is_success=False, misalnya ID kueri yang salah diberikan: print "Failed to delete Rapid7 InsightID saved query. Errornya adalah: {0}".format(error dari respons) Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
Memperbarui Investigasi
Deskripsi
Perbarui penyelidikan di Rapid7 InsightIDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Investigasi | String | NA | Ya | Tentukan ID penyelidikan yang perlu diperbarui. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status untuk investigasi. |
| ID Kueri Tersimpan | String | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan disposisi untuk penyelidikan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika informasi yang ditampilkan (is_success=true): "Berhasil memperbarui penyelidikan dengan ID {investigation id} di Rapid7 InsightIDR." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Update Investigasi". Alasan: {0}''.format(error.Stacktrace)" Jika pemberitahuan tidak ditemukan: Terjadi error saat menjalankan tindakan "Perbarui Penyelidikan". Alasan: investigasi dengan ID {investigation id} tidak ditemukan di Rapid7 InsightIDR. Periksa ejaan." Jika "Status" dan"Disposisi" adalah "Pilih Salah Satu": "Error saat menjalankan tindakan "Perbarui Penyelidikan". Alasan: setidaknya salah satu parameter "Status" atau "Disposisi" harus memiliki nilai ." |
Umum |
Konektor
Rapid7 InsightIDR - Investigations Connector
Deskripsi
Konektor ini dibuat menggunakan endpoint API yang dalam rilis pratinjau. Mengambil informasi tentang investigasi dari Rapid7 InsightIDR.
Parameter konektor
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | data_type | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | sumber | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
Nama Kolom Lingkungan |
String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
Pola Regex Lingkungan |
String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance}.api.insight.rapid7.com | Ya | Root API instance Rapid7 InsightIDR. |
| Kunci API | String | T/A | Ya | Kunci API akun Rapid7 InsightIDR. |
| Sumber | CSV | PERINGATAN,PENGGUNA | Tidak | Sumber yang digunakan untuk mengambil penyelidikan. Nilai yang mungkin: Pengguna, Pemberitahuan. Jika tidak ada yang diberikan, konektor akan menyerap penyelidikan dari kedua sumber. |
| Prioritas Terendah yang Akan Diambil | String | Sedang | Tidak | Prioritas terendah yang perlu digunakan untuk mengambil penyelidikan. Kemungkinan nilai: Rendah, Sedang, Tinggi, Kritis. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan penyelidikan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 20 | Tidak | Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. Default: 20. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Darktrace valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.