Rapid7 InsightIDR
Versione integrazione: 7.0
Casi d'uso
Utilizza i dati di InsightIDR per l'arricchimento dell'avviso di Google Security Operations elaborato.
Configura l'integrazione di Rapid7 InsightIDR in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://[region].api.insight.rapid7.com | Sì | Specifica la radice dell'API da utilizzare per la connessione. |
| Chiave API | Password | N/D | Sì | Specifica la chiave API da utilizzare per la connessione. |
| Verifica SSL | Casella di controllo | Selezionata | No | Specifica se il certificato configurato nella radice dell'API deve essere convalidato. |
Azioni
Dindin
Descrizione
Verifica la connettività al servizio Rapid7 InsightIDR con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo, stampa "Connessione al servizio Rapid7 InsightIDR riuscita con i parametri di connessione forniti". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore critico, ad esempio credenziali errate o perdita di connettività:stampa "Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace) |
Generale |
Elenco indagini
Descrizione
Elenca le indagini Rapid7 InsightIDR in base ai parametri di input dell'azione specificati.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Intervallo di tempo | Numero intero | 4 | No | Specifica un intervallo di tempo in ore per il recupero dei risultati. |
| Limite di record | Numero intero | 20 | No | Specifica quanti record possono essere restituiti dall'azione. |
| Includere indagini chiuse? | Casella di controllo | Deselezionata | No | Specifica se includere o meno le indagini chiuse nei risultati. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: In caso di esito positivo, stampa "Rapid7 InsightIDR investigations found" if is_success=False, for example no investigations were found: print "No investigations were returned."
|
Generale |
| CSV | Nome tabella:Rapid7 InsightIDR Investigations Colonne della tabella: Titolo Stato Origine Assegnatario (Assignee.email) Avvisi (elenco CSV dei valori di alerts.type) Data/ora creazione |
Generale |
Imposta lo stato dell'indagine
Descrizione
Imposta lo stato dell'indagine specifica di Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID indagine | Stringa | N/D | Sì | ID dell'indagine per cui aggiornare lo stato. L'ID deve avere un formato simile a 8ec8e324-4522-4a6e-9838-81496a0cadb0 |
| Stato | DDL | " " | Sì | Nuovo stato dell'indagine. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'operazione va a buon fine: stampa "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation status. Errore: {0}".format(error from response)
|
Generale |
Imposta assegnatario indagine
Descrizione
Imposta l'assegnatario dell'indagine specifica di Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID indagine | Stringa | N/D | Sì | ID dell'indagine per cui aggiornare lo stato. L'ID deve essere nel formato 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Email dell'assegnatario | Stringa | N/D | Sì | Email di un nuovo assegnatario dell'indagine. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'operazione va a buon fine: stampa "Rapid7 InsightIDR Investigation {0} assignee changed to {1}".format(investigation_id, assignee) if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation assignee. Errore: {0}".format(error from response)
|
Generale |
Elenco delle query salvate
Descrizione
Elenca le query salvate di Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Limite di record | Numero intero | 20 | No | Specifica quanti record possono essere restituiti dall'azione. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: In caso di esito positivo, stampa "Rapid7 InsightIDR saved queries found" (Sono state trovate query salvate di Rapid7 InsightIDR) if is_success=True, but no saved queries were found: print "No saved queries were returned."
|
Generale |
| CSV | Nome tabella:Rapid7 InsightIDR Saved Queries Colonne della tabella: ID Affermazione Intervallo di tempo Ora di inizio Ora di fine Log |
Generale |
Crea query salvata
Descrizione
Crea una query salvata di Rapid7 InsightIDR in base ai parametri di input dell'azione specificati.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome | Stringa | N/D | Sì | Nome della nuova query salvata. |
| Affermazione | Stringa | N/D | Sì | Un'istruzione da eseguire nella query, deve seguire la sintassi LEQL, ad esempio: where(foo=bar). |
| Intervallo di tempo | Numero intero | 4 | Sì | Specifica un intervallo di tempo in ore per il quale la query deve recuperare i dati. |
| Log | Stringa | N/D | No | Query da eseguire sui nomi dei log. Il parametro accetta più valori come stringa separata da virgole. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'operazione va a buon fine, stampa "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) if is_success=False, for example syntax of query was incorrect: print "Failed to create Rapid7 InsightID saved query. Errore: {0}".format(error from response)
|
Generale |
Elimina query salvata
Descrizione
Elimina la query salvata di Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID query salvata | Stringa | N/D | Sì | ID della query salvata da eliminare nel formato 00000000-0003-7218-0000-000000000000 |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: if successful: print "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id) if is_success=False, for example wrong query id was provided: print "Failed to delete Rapid7 InsightID saved query. Errore: {0}".format(error from response)
|
Generale |
Esegui query salvata
Descrizione
Esegui una query salvata di Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID query salvata | Stringa | N/D | Sì | ID della query salvata da eliminare nel formato 00000000-0003-7218-0000-000000000000 |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: in caso di esito positivo, stampa "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) if is_success=False, for example wrong query id was provided: print "Failed to delete Rapid7 InsightID saved query. Errore: {0}".format(error from response) L'azione deve non riuscire e l'esecuzione del playbook deve interrompersi |
Generale |
Aggiorna indagine
Descrizione
Aggiorna l'indagine in Rapid7 InsightIDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID indagine | Stringa | NA | Sì | Specifica l'ID dell'indagine da aggiornare. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato dell'indagine. |
| ID query salvata | Stringa | Selezionane uno Valori possibili:
|
No | Specifica la disposizione per l'indagine. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se le informazioni restituite (is_success=true): "Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR." L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se viene segnalato un errore critico, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna indagine". Motivo: {0}''.format(error.Stacktrace)" Se l'avviso non viene trovato: errore durante l'esecuzione dell'azione "Aggiorna indagine". Motivo: l'indagine con ID {investigation id} non è stata trovata in Rapid7 InsightIDR. Controlla l'ortografia." Se "Stato" e "Disposizione" sono "Seleziona uno": "Errore durante l'esecuzione dell'azione "Aggiorna indagine". Motivo: almeno uno dei parametri "Stato" o "Disposizione" deve avere un valore. |
Generale |
Connettori
Rapid7 InsightIDR - Investigations Connector
Descrizione
Questo connettore è creato utilizzando endpoint API in versione di anteprima. Recupera informazioni sull'indagine da Rapid7 InsightIDR.
Parametri del connettore
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | data_type | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | origine | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
Nome campo ambiente |
Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
Pattern regex dell'ambiente |
Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance}.api.insight.rapid7.com | Sì | Radice dell'API dell'istanza Rapid7 InsightIDR. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account Rapid7 InsightIDR. |
| Fonti | CSV | AVVISO,UTENTE | No | Le origini utilizzate per recuperare le indagini. Valori possibili: User, Alert. Se non viene specificato nulla, il connettore acquisisce le indagini da entrambe le origini. |
| Priorità minima di recupero | Stringa | Media | No | La priorità più bassa da utilizzare per recuperare le indagini. Valori possibili: Bassa, Media, Alta, Critica. Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare le indagini. |
| Numero massimo di avvisi da recuperare | Numero intero | 20 | No | Numero di avvisi da elaborare per un'iterazione del connettore. Valore predefinito: 20. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Selezionata | Sì | Se abilitata, la lista dinamica viene utilizzata come lista nera. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Darktrace sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.