Rapid7 InsightIDR
Versão da integração: 7.0
Exemplos de utilização
Use os dados do InsightIDR para o enriquecimento do alerta processado do Google Security Operations.
Configure a integração do Rapid7 InsightIDR no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://[region].api.insight.rapid7.com | Sim | Especifique a raiz da API a usar para a ligação. |
| Chave de API | Palavra-passe | N/A | Sim | Especifique a chave da API a usar para a ligação. |
| Validar SSL | Caixa de verificação | Marcado | Não | Especifique se o certificado configurado na raiz da API deve ser validado. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao serviço Rapid7 InsightIDR com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: imprima "Ligação estabelecida com êxito ao serviço Rapid7 InsightIDR com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro crítico, como credenciais incorretas ou perda de conetividade: imprima "Falha ao estabelecer ligação ao serviço Rapid7 InsightIDR! O erro é {0}".format(exception.stacktrace) |
Geral |
Listar investigações
Descrição
Liste as investigações do Rapid7 InsightIDR com base nos parâmetros de entrada de ações especificados.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | Número inteiro | 4 | Não | Especifique um período de tempo em horas para obter as conclusões. |
| Limite de registos | Número inteiro | 20 | Não | Especifique quantos registos podem ser devolvidos pela ação. |
| Incluir investigações encerradas? | Caixa de verificação | Desmarcado | Não | Especifique se quer incluir ou não investigações encerradas nos resultados. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se for bem-sucedido: imprima "Rapid7 InsightIDR investigations found" (Investigações do Rapid7 InsightIDR encontradas) if is_success=False, por exemplo, não foram encontradas investigações: print "Não foram devolvidas investigações."
|
Geral |
| CSV | Nome da tabela: Rapid7 InsightIDR Investigations Colunas da tabela: Título Estado Origem Destinatário (Assignee.email) Alertas (CSV list of alerts.type values) Data de criação |
Geral |
Definir estado da investigação
Descrição
Defina o estado para a investigação específica do Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da investigação | String | N/A | Sim | ID da investigação para a qual o estado vai ser atualizado. O ID deve estar num formato como 8ec8e324-4522-4a6e-9838-81496a0cadb0 |
| Estado | LDD | " " | Sim | Novo estado da investigação. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) if is_success=False, por exemplo, não foi encontrada a investigação com o ID fornecido: print "Failed to update Rapid7 InsightIDR investigation status. O erro é: {0}".format(error from response)
|
Geral |
Defina o destinatário da investigação
Descrição
Defina o responsável pela investigação específica do Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da investigação | String | N/A | Sim | ID da investigação para a qual o estado vai ser atualizado. O ID deve ter um formato semelhante a 8ec8e324-4522-4a6e-9838-81496a0cadb0. |
| Email do destinatário | String | N/A | Sim | Email de um novo destinatário da investigação. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "Rapid7 InsightIDR Investigation {0} assignee changed to {1}".format(investigation_id, assignee) if is_success=False, por exemplo, não foi encontrada a investigação com o ID fornecido: print "Failed to update Rapid7 InsightIDR investigation assignee. O erro é: {0}".format(error from response)
|
Geral |
Listar consultas guardadas
Descrição
Lista as consultas guardadas do Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite de registos | Número inteiro | 20 | Não | Especifique quantos registos podem ser devolvidos pela ação. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "Rapid7 InsightIDR saved queries found" if is_success=True, but no saved queries were found: print "No saved queries were returned."
|
Geral |
| CSV | Nome da tabela: Rapid7 InsightIDR Saved Queries Colunas da tabela: ID Extracto Intervalo de tempo Hora de início Hora de fim Registos |
Geral |
Crie uma consulta guardada
Descrição
Crie uma consulta guardada do Rapid7 InsightIDR com base nos parâmetros de entrada da ação especificados.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Nome da nova consulta guardada. |
| Extracto | String | N/A | Sim | Uma declaração a executar na consulta deve seguir a sintaxe LEQL, por exemplo: where(foo=bar). |
| Intervalo de tempo | Número inteiro | 4 | Sim | Especifique um período de tempo em horas para o qual a consulta deve obter dados. |
| Registos | String | N/A | Não | Nome dos registos em que a consulta deve ser executada. O parâmetro aceita vários valores como uma string separada por vírgulas. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) if is_success=False, for example syntax of query was incorrect: print "Failed to create Rapid7 InsightID saved query. O erro é: {0}".format(error from response)
|
Geral |
Eliminar consulta guardada
Descrição
Elimine a consulta guardada do Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da consulta guardada | String | N/A | Sim | ID da consulta guardada a eliminar no formato 00000000-0003-7218-0000-000000000000 |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "A consulta guardada do Rapid7 InsightIDR {0} foi eliminada com êxito".format(query id) if is_success=False, for example wrong query id was provided: print "Failed to delete Rapid7 InsightID saved query. O erro é: {0}".format(error from response)
|
Geral |
Executar consulta guardada
Descrição
Execute uma consulta guardada do Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da consulta guardada | String | N/A | Sim | ID da consulta guardada a eliminar no formato 00000000-0003-7218-0000-000000000000 |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: if successful: print "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) if is_success=False, for example wrong query id was provided: print "Failed to delete Rapid7 InsightID saved query. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução do manual de procedimentos: |
Geral |
Atualizar investigação
Descrição
Atualize a investigação no Rapid7 InsightIDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da investigação | String | NA | Sim | Especifique o ID da investigação que precisa de ser atualizada. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado da investigação. |
| ID da consulta guardada | String | Selecione uma opção Valores possíveis:
|
Não | Especifique a disposição para a investigação. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se as informações devolvidas (is_success=true): "A investigação com o ID {investigation id} foi atualizada com êxito no Rapid7 InsightIDR." A ação deve falhar e parar a execução do guia interativo: Se for comunicado um erro crítico, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar investigação". Motivo: {0}''.format(error.Stacktrace)" Se o alerta não for encontrado: erro ao executar a ação "Atualizar investigação". Motivo: não foi encontrada a investigação com o ID {investigation id} no Rapid7 InsightIDR. Verifique a ortografia." Se "Estado" e"Disposição" for "Selecionar uma": "Erro ao executar a ação "Atualizar investigação". Motivo: pelo menos um dos parâmetros "Status" ou "Disposition" deve ter um valor ." |
Geral |
Conetores
Rapid7 InsightIDR - Investigations Connector
Descrição
Este conector é criado com pontos finais da API que estão na versão de pré-visualização. Extrair informações sobre a investigação do Rapid7 InsightIDR.
Parâmetros do conetor
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | data_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | fonte | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
Nome do campo do ambiente |
String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
Padrão de expressão regular do ambiente |
String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance}.api.insight.rapid7.com | Sim | Raiz da API da instância do Rapid7 InsightIDR. |
| Chave de API | String | N/A | Sim | Chave da API da conta do Rapid7 InsightIDR. |
| Fontes | CSV | ALERTA,UTILIZADOR | Não | Fontes usadas para obter investigações. Valores possíveis: User, Alert. Se não for especificada nenhuma opção, o conetor carrega investigações de ambas as origens. |
| Prioridade mais baixa para obter | String | Médio | Não | A prioridade mais baixa que tem de ser usada para obter investigações. Valores possíveis: baixo, médio, elevado, crítico. Se não for especificado nada, o conector carrega alertas com todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter investigações. |
| Máximo de alertas a obter | Número inteiro | 20 | Não | Número de alertas a processar por iteração de conetor. Predefinição: 20. |
| Use uma lista dinâmica como lista negra | Caixa de verificação | Marcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Darktrace é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.