Rapid7 InsightIDR
統合バージョン: 7.0
ユースケース
処理された Google Security Operations アラートの拡充に InsightIDR データを使用します。
Google SecOps で Rapid7 InsightIDR 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://[region].api.insight.rapid7.com | はい | 接続に使用する API ルートを指定します。 |
| API キー | パスワード | なし | はい | 接続に使用する API キーを指定します。 |
| SSL を確認する | チェックボックス | オン | いいえ | API ルートで構成された証明書を検証するかどうかを指定します。 |
アクション
Ping
説明
Google Security Operations Marketplace タブの統合構成ページで提供されるパラメータを使用して、Rapid7 InsightIDR サービスへの接続をテストします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Rapid7 InsightIDR サービスに正常に接続されました!」と出力されます。 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: 「Rapid7 InsightIDR サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
調査の一覧表示
説明
指定されたアクション入力パラメータに基づいて Rapid7 InsightIDR の調査を一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | 整数 | 4 | いいえ | 検出結果を取得する期間を時間で指定します。 |
| レコードの上限 | 整数 | 20 | いいえ | アクションで返されるレコード数を指定します。 |
| 終了した調査を含めますか? | チェックボックス | オフ | いいえ | 終了した調査を結果に含めるかどうかを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR の調査結果が見つかりました」と出力されます。 is_success=False の場合(たとえば、調査が見つからなかった):「調査が返されませんでした。」と出力します。
|
全般 |
| CSV | テーブル名: Rapid7 InsightIDR の調査 テーブル列: タイトル ステータス ソース 割り当て先(Assignee.email) アラート(アラートのタイプ値の CSV リスト) Created Time |
全般 |
調査ステータスを設定する
説明
特定の Rapid7 InsightIDR 調査のステータスを設定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 調査 ID | 文字列 | なし | はい | ステータスを更新する調査の ID。ID は 8ec8e324-4522-4a6e-9838-81496a0cadb0 のような形式でなければなりません。 |
| ステータス | DDL | スヌーズ中 | はい | 調査の新しいステータス。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR 調査 {0} のステータスが {1} に変更されました」と出力されます。format(investigation_id, status) is_success=False の場合(たとえば、指定された ID の調査が見つからなかった): 「Rapid7 InsightIDR 調査ステータスの更新に失敗しました。エラー: {0}」.format(error from response)
|
全般 |
調査の割り当て先を設定
説明
特定の Rapid7 InsightIDR 調査の割り当て先を設定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 調査 ID | 文字列 | なし | はい | ステータスを更新する調査の ID。ID は 8ec8e324-4522-4a6e-9838-81496a0cadb0 のような形式にする必要があります。 |
| 割り当て先のメールアドレス | 文字列 | なし | はい | 調査の新しい割り当て先のメールアドレス。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR 調査 {0} の割り当て先が {1} に変更されました」と出力します。format(investigation_id, assignee) is_success=False の場合(たとえば、指定された ID の調査が見つからなかった):「Rapid7 InsightIDR 調査の割り当てを更新できませんでした。エラー: {0}」.format(error from response)
|
全般 |
保存したクエリの一覧を取得する
説明
Rapid7 InsightIDR の保存済みクエリを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| レコードの上限 | 整数 | 20 | いいえ | アクションで返されるレコード数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR の保存済みクエリが見つかりました」と出力されます。 is_success=True で、保存されたクエリが見つからなかった場合: 「保存されたクエリが返されませんでした。」と出力します。
|
全般 |
| CSV | テーブル名: Rapid7 InsightIDR の保存済みクエリ テーブル列: ID 文 期間 開始時刻 終了時刻 ログ |
全般 |
保存したクエリを作成
説明
指定されたアクション入力パラメータに基づいて、Rapid7 InsightIDR の保存済みクエリを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 新しい保存済みクエリの名前。 |
| 文 | 文字列 | なし | はい | クエリで実行するステートメントは、LEQL 構文に従う必要があります(例: where(foo=bar))。 |
| 期間 | 整数 | 4 | はい | クエリでデータを取得する期間を時間で指定します。 |
| ログ | 文字列 | なし | いいえ | ログ名のクエリを実行する対象。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「新しい Rapid7 InsightIDR 保存済みクエリが作成されました: {0}」と出力されます。format(new query id from response) is_success=False の場合(たとえば、クエリの構文が正しくない):「Rapid7 InsightID の保存済みクエリを作成できませんでした。エラー: {0}」.format(error from response)
|
全般 |
保存したクエリを削除
説明
Rapid7 InsightIDR の保存済みクエリを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 保存したクエリ ID | 文字列 | なし | はい | 削除する保存済みクエリの ID(形式: 00000000-0003-7218-0000-000000000000) |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR 保存済みクエリ {0} が正常に削除されました」と出力されます。format(query id) is_success=False の場合(たとえば、指定されたクエリ ID が間違っている):「Rapid7 InsightID の保存済みクエリを削除できませんでした。エラー: {0}」.format(error from response)
|
全般 |
保存したクエリを実行する
説明
Rapid7 InsightIDR の保存済みクエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 保存したクエリ ID | 文字列 | なし | はい | 削除する保存済みクエリの ID(形式: 00000000-0003-7218-0000-000000000000) |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「Rapid7 InsightIDR 保存済みクエリ {0} が正常に実行されました」と出力されます。format(query id) is_success=False の場合(たとえば、指定されたクエリ ID が間違っている):「Rapid7 InsightID の保存済みクエリを削除できませんでした。エラー: {0}」.format(error from response) アクションが失敗し、ハンドブックの実行が停止します: |
全般 |
調査を更新する
説明
Rapid7 InsightIDR で調査を更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 調査 ID | 文字列 | なし | はい | 更新する必要がある調査の ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
いいえ | 調査のステータスを指定します。 |
| 保存したクエリ ID | 文字列 | 1 つ選択 有効な値:
|
いいえ | 調査の処分を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 情報が返された場合(is_success=true): 「Rapid7 InsightIDR で ID {investigation id} の調査が正常に更新されました。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、重大なエラーが報告された場合:「アクション「調査の更新」の実行エラー。理由: {0}「.format(error.Stacktrace)」 アラートが見つからない場合: アクション「Update Investigation」の実行中にエラーが発生しました。理由: ID {調査 ID} の調査が Rapid7 InsightIDR で見つかりませんでした。スペルを確認してください。」 [ステータス] と [処分] が [1 つ選択] の場合: 「アクション「調査の更新」の実行エラー。理由: 「ステータス」または「処分」パラメータの少なくとも 1 つに値を指定する必要があります。 |
全般 |
コネクタ
Rapid7 InsightIDR - 調査コネクタ
説明
このコネクタは、プレビュー リリースに含まれる API エンドポイントを使用して構築されています。Rapid7 InsightIDR から調査に関する情報を取得します。
コネクタ パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | data_type | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | ソース | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
環境フィールド名 |
文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
環境の正規表現パターン |
文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance}.api.insight.rapid7.com | はい | Rapid7 InsightIDR インスタンスの API ルート。 |
| API キー | 文字列 | なし | はい | Rapid7 InsightIDR アカウントの API キー。 |
| ソース | CSV | ALERT,USER | いいえ | 調査の取得に使用されるソース。指定できる値は User または Alert です。何も指定しない場合、コネクタは両方のソースから調査を取り込みます。 |
| 取得する最も低い優先度 | 文字列 | 中 | いいえ | 調査の取得に使用する必要がある最も低い優先度。有効な値: 低、中、高、重大。何も指定しないと、コネクタはすべての重大度のアラートを取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | 調査を取得する時点からの時間数。 |
| 取得するアラートの最大数 | 整数 | 20 | いいえ | 1 回のコネクタの反復処理で対応するアラートの数。デフォルト: 20。 |
| 動的リストを拒否リストとして使用する | チェックボックス | オン | はい | 有効にすると、動的リストが拒否リストとして使用されます。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Darktrace サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。