Rapid7 InsightIDR
통합 버전: 7.0
사용 사례
처리된 Google Security Operations 알림을 보강하기 위해 InsightIDR 데이터를 사용합니다.
Google SecOps에서 Rapid7 InsightIDR 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://[region].api.insight.rapid7.com | 예 | 연결에 사용할 API 루트를 지정합니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | 연결에 사용할 API 키를 지정합니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | API 루트에 구성된 인증서를 검증해야 하는지 여부를 지정합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Rapid7 InsightIDR 서비스에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Rapid7 InsightIDR 서비스에 연결되었습니다.' 출력 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류인 경우: 'Rapid7 InsightIDR 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
조사 나열
설명
지정된 작업 입력 매개변수를 기반으로 Rapid7 InsightIDR 조사를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기간 | 정수 | 4 | 아니요 | 발견 항목을 가져올 시간 범위를 시간 단위로 지정합니다. |
| 레코드 한도 | 정수 | 20 | 아니요 | 작업에서 반환할 수 있는 레코드 수를 지정합니다. |
| 종결된 조사를 포함하시겠습니까? | 체크박스 | 선택 해제 | 아니요 | 종결된 조사를 결과에 포함할지 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 조사가 발견됨' 출력 is_success=False인 경우(예: 조사가 발견되지 않음): '조사가 반환되지 않았습니다.'를 출력합니다.
|
일반 |
| CSV | 표 이름: Rapid7 InsightIDR Investigations 테이블 열: 제목 상태 소스 담당자 (Assignee.email) 알림 (alerts.type 값의 CSV 목록) 만든 시간 |
일반 |
조사 상태 설정
설명
특정 Rapid7 InsightIDR 조사에 대한 상태를 설정합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 조사 ID | 문자열 | 해당 사항 없음 | 예 | 상태를 업데이트할 조사 ID입니다. ID는 8ec8e324-4522-4a6e-9838-81496a0cadb0과 같은 형식이어야 합니다. |
| 상태 | DDL | " " | 예 | 조사의 새 상태입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 조사 {0} 상태가 {1}로 변경됨'.format(investigation_id, status)을 출력합니다. is_success=False인 경우(예: 제공된 ID의 조사가 발견되지 않음): 'Rapid7 InsightIDR 조사 상태를 업데이트하지 못했습니다. 오류: {0}".format(response의 오류)
|
일반 |
조사 담당자 설정
설명
특정 Rapid7 InsightIDR 조사에 대한 할당자를 설정합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 조사 ID | 문자열 | 해당 사항 없음 | 예 | 상태를 업데이트할 조사 ID입니다. ID는 8ec8e324-4522-4a6e-9838-81496a0cadb0과 같은 형식이어야 합니다. |
| 담당자 이메일 | 문자열 | 해당 사항 없음 | 예 | 조사의 새 할당자의 이메일입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 조사 {0} 담당자가 {1}로 변경됨'.format(investigation_id, assignee)을 출력합니다. is_success=False인 경우(예: 제공된 ID의 조사를 찾을 수 없음): 'Rapid7 InsightIDR 조사 담당자를 업데이트할 수 없습니다. 오류: {0}".format(response의 오류)
|
일반 |
저장된 쿼리 나열
설명
Rapid7 InsightIDR 저장된 쿼리를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 레코드 한도 | 정수 | 20 | 아니요 | 작업에서 반환할 수 있는 레코드 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 저장된 쿼리가 발견됨'을 출력합니다. is_success=True이지만 저장된 쿼리가 없는 경우: '저장된 쿼리가 반환되지 않았습니다.'를 출력합니다.
|
일반 |
| CSV | 테이블 이름: Rapid7 InsightIDR 저장된 쿼리 테이블 열: ID 진술 기간 시작 시간 종료 시간 로그 |
일반 |
저장된 쿼리 만들기
설명
지정된 작업 입력 매개변수를 기반으로 Rapid7 InsightIDR 저장 쿼리를 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 새로 저장된 쿼리의 이름입니다. |
| 진술 | 문자열 | 해당 사항 없음 | 예 | 쿼리에서 실행할 문은 LEQL 구문을 따라야 합니다(예: where(foo=bar)). |
| 기간 | 정수 | 4 | 예 | 쿼리가 데이터를 가져와야 하는 기간(시간)을 지정합니다. |
| 로그 | 문자열 | 해당 사항 없음 | 아니요 | 로그 이름 쿼리가 실행되어야 합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '새 Rapid7 InsightIDR 저장된 쿼리가 생성되었습니다({0}).'를 출력합니다.format(new query id from response) is_success=False인 경우(예: 쿼리 구문이 잘못됨): 'Rapid7 InsightID 저장된 쿼리를 만들지 못했습니다. 오류: {0}".format(response의 오류)
|
일반 |
저장된 쿼리 삭제
설명
Rapid7 InsightIDR 저장된 쿼리를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 저장된 쿼리 ID | 문자열 | 해당 사항 없음 | 예 | 삭제할 저장된 쿼리의 ID입니다(형식: 00000000-0003-7218-0000-000000000000). |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 저장된 쿼리 {0}이(가) 삭제되었습니다.'.format(query id)를 출력합니다. is_success=False인 경우(예: 잘못된 쿼리 ID가 제공됨): 'Rapid7 InsightID 저장 쿼리를 삭제하지 못했습니다. 오류: {0}".format(response의 오류)
|
일반 |
저장된 쿼리 실행
설명
Rapid7 InsightIDR 저장된 쿼리를 실행합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 저장된 쿼리 ID | 문자열 | 해당 사항 없음 | 예 | 삭제할 저장된 쿼리의 ID입니다(형식: 00000000-0003-7218-0000-000000000000). |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: 'Rapid7 InsightIDR 저장된 쿼리 {0}이(가) 성공적으로 실행되었습니다'.format(query id)를 출력합니다. is_success=False인 경우(예: 잘못된 쿼리 ID가 제공됨): 'Rapid7 InsightID 저장 쿼리를 삭제하지 못했습니다. 오류: {0}".format(response의 오류) 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
조사 업데이트
설명
Rapid7 InsightIDR에서 조사 업데이트
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 조사 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 조사 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 조사의 상태를 지정합니다. |
| 저장된 쿼리 ID | 문자열 | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 조사의 처분을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 정보가 반환된 경우 (is_success=true): 'Rapid7 InsightIDR에서 ID {조사 ID}로 조사를 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 심각한 오류가 보고되는 경우: ''조사 업데이트' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 알림을 찾을 수 없는 경우: '조사 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: ID가 {investigation id}인 조사가 Rapid7 InsightIDR에 없습니다. 철자를 확인하세요." '상태' 및 '처리'가 '하나 선택'인 경우: "'조사 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 'Status' 또는 'Disposition' 매개변수 중 하나 이상에 값이 있어야 합니다 .' |
일반 |
커넥터
Rapid7 InsightIDR - Investigations Connector
설명
이 커넥터는 미리보기 버전의 API 엔드포인트를 사용하여 빌드됩니다. Rapid7 InsightIDR에서 조사에 관한 정보를 가져옵니다.
커넥터 매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | data_type | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | source | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
환경 필드 이름 |
문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{instance}.api.insight.rapid7.com | 예 | Rapid7 InsightIDR 인스턴스의 API 루트입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | Rapid7 InsightIDR 계정의 API 키입니다. |
| 소스 | CSV | ALERT,USER | 아니요 | 조회를 가져오는 데 사용되는 소스입니다. 가능한 값: User, Alert 아무것도 제공하지 않으면 커넥터는 두 소스의 조사를 모두 수집합니다. |
| 가져올 가장 낮은 우선순위 | 문자열 | 보통 | 아니요 | 조사를 가져오는 데 사용해야 하는 가장 낮은 우선순위입니다. 가능한 값: 낮음, 중간, 높음, 심각 아무것도 지정하지 않으면 커넥터가 모든 심각도의 알림을 수집합니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 조사를 가져올 위치로부터의 시간입니다. |
| 가져올 최대 알림 수 | 정수 | 20 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. 기본값: 20 |
| 동적 목록을 차단 목록으로 사용 | 체크박스 | 선택 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Darktrace 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.