Rapid7 InsightIDR
集成版本:7.0
使用场景
使用 InsightIDR 数据来丰富处理后的 Google Security Operations 提醒。
在 Google SecOps 中配置 Rapid7 InsightIDR 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://[region].api.insight.rapid7.com | 是 | 指定要用于连接的 API 根。 |
| API 密钥 | 密码 | 不适用 | 是 | 指定用于连接的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 指定是否应验证在 API 根目录上配置的证书。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Rapid7 InsightIDR 服务的连接。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或连接丢失:打印“Failed to connect to the Rapid7 InsightIDR service!错误为 {0}".format(exception.stacktrace) |
常规 |
列出调查
说明
根据指定的操作输入参数列出 Rapid7 InsightIDR 调查。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 时间范围 | 整数 | 4 | 否 | 指定提取发现结果的时间范围(以小时为单位)。 |
| 记录限制 | 整数 | 20 | 否 | 指定操作可返回的记录数。 |
| 是否包含已关闭的调查? | 复选框 | 尚未核查 | 否 | 指定是否在结果中包含已结束的调查。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"data": [
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
},
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Rapid7 InsightIDR 调查已找到” 如果 is_success=False,例如未找到任何调查:print "No investigations were returned."
|
常规 |
| CSV | 表格名称:Rapid7 InsightIDR 调查 表格列: 标题 状态 来源 分配对象 (Assignee.email) 提醒(提醒类型值的 CSV 列表) 创建时间 |
常规 |
设置调查状态
说明
为特定的 Rapid7 InsightIDR 调查设置状态。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 调查 ID | 字符串 | 不适用 | 是 | 要更新状态的调查的 ID。ID 的格式应类似于 8ec8e324-4522-4a6e-9838-81496a0cadb0 |
| 状态 | DDL | " " | 是 | 调查的新状态。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "CLOSED",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Rapid7 InsightIDR 调查 {0} 状态已更改为 {1}”。format(investigation_id, status) 如果 is_success=False,例如未找到具有所提供 ID 的调查:print "Failed to update Rapid7 InsightIDR investigation status. 错误为:{0}".format(error from response)
|
常规 |
设置调查分配对象
说明
为特定的 Rapid7 InsightIDR 调查设置受让人。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 调查 ID | 字符串 | 不适用 | 是 | 要更新状态的调查的 ID。ID 的格式应类似于 8ec8e324-4522-4a6e-9838-81496a0cadb0。 |
| 受让人电子邮件地址 | 字符串 | 不适用 | 是 | 调查的新分配对象的电子邮件地址。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
"title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
"status": "OPEN",
"source": "ALERT",
"assignee": {
"name": "Tip Labops",
"email": "tip.labops@siemplify.co"
},
"alerts": [
{
"type": "Malicious Hash On Asset",
"type_description": "A malicious hash was found on an asset.",
"first_event_time": "2020-12-02T13:16:14.197Z"
}
],
"created_time": "2020-12-02T13:18:16.758Z"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Rapid7 InsightIDR Investigation {0} assignee changed to {1}”。format(investigation_id, assignee) 如果 is_success=False,例如未找到具有指定 ID 的调查:print "Failed to update Rapid7 InsightIDR investigation assignee. 错误为:{0}".format(error from response)
|
常规 |
列出已保存的查询
说明
列出 Rapid7 InsightIDR 已保存的查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 记录限制 | 整数 | 20 | 否 | 指定操作可返回的记录数。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"saved_queries": [
{
"id": "00000000-0003-71fd-0000-000000000000",
"name": "test3",
"leql": {
"statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
"during": {
"time_range": "Last 1 Hour",
"to": null,
"from": null
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
]
},
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“找到 Rapid7 InsightIDR 已保存的查询” 如果 is_success=True,但未找到已保存的查询:打印“No saved queries were returned.”
|
常规 |
| CSV | 表格名称:Rapid7 InsightIDR 已保存的查询 表格列: ID 语句 时间范围 开始时间 结束时间 日志 |
常规 |
创建已保存的查询
说明
根据指定的操作输入参数创建 Rapid7 InsightIDR 已保存查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 新保存的查询的名称。 |
| 语句 | 字符串 | 不适用 | 是 | 要在查询中执行的语句,应遵循 LEQL 语法,例如:where(foo=bar)。 |
| 时间范围 | 整数 | 4 | 是 | 指定查询应提取数据的时间范围(以小时为单位)。 |
| 日志 | 字符串 | 不适用 | 否 | 日志名称查询应针对以下对象执行。参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"saved_query": {
"id": "00000000-0003-7216-0000-000000000000",
"name": "MySearch4",
"leql": {
"statement": "where(bar=foo)",
"during": {
"time_range": null,
"to": 1450557608000,
"from": 1450557604000
}
},
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501"
]
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“New Rapid7 InsightIDR saved query created: {0}”(已创建新的 Rapid7 InsightIDR 保存的查询:{0})。format(来自响应的新查询 ID) 如果 is_success=False,例如查询的语法不正确:print "Failed to create Rapid7 InsightID saved query. 错误为:{0}".format(error from response)
|
常规 |
删除已保存的查询
说明
删除 Rapid7 InsightIDR 已保存的查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 已保存的查询 ID | 字符串 | 不适用 | 是 | 要删除的已保存查询的 ID,格式为 00000000-0003-7218-0000-000000000000 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Rapid7 InsightIDR 已保存的查询 {0} 已成功删除”。format(查询 ID) 如果 is_success=False,例如提供了错误的查询 ID:print "Failed to delete Rapid7 InsightID saved query. 错误为:{0}".format(error from response)
|
常规 |
运行已保存的查询
说明
运行 Rapid7 InsightIDR 已保存的查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 已保存的查询 ID | 字符串 | 不适用 | 是 | 要删除的已保存查询的 ID,格式为 00000000-0003-7218-0000-000000000000 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"logs": [
"a2ba0890-8ddd-444a-9e15-2dc488f0c398",
"043584c7-113e-4ffc-a6b8-ea0be1a4f501",
"3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
"9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
"3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
],
"events": [
{
"sequence_number": 3237167368573841408,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573841408"
},
{
"sequence_number": 3237167368573845504,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573845504"
},
{
"sequence_number": 3237167368573849600,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573849600"
},
{
"sequence_number": 3237167368573853696,
"timestamp": 1607411688338,
"labels": [],
"log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
"message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
"links": [
{
"rel": "Context",
"href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50×tamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
}
],
"sequence_number_str": "3237167368573853696"
},
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Rapid7 InsightIDR 已保存的查询 {0} 已成功执行”。format(查询 ID) 如果 is_success=False,例如提供了错误的查询 ID:print "Failed to delete Rapid7 InsightID saved query. 错误为:{0}".format(error from response) 操作应失败并停止 playbook 执行: |
常规 |
更新调查
说明
在 Rapid7 InsightIDR 中更新调查。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 调查 ID | 字符串 | 不适用 | 是 | 指定需要更新的调查的 ID。 |
| 状态 | DDL | 选择一项 可能的值:
|
否 | 指定调查的状态。 |
| 已保存的查询 ID | 字符串 | 选择一项 可能的值:
|
否 | 指定调查的处置方式。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
"organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
"title": "Suspicious Process - Malicious Hash On Asset",
"source": "ALERT",
"status": "OPEN",
"priority": "HIGH",
"last_accessed": "2022-10-12T13:08:37.650Z",
"created_time": "2022-10-12T13:08:37.650Z",
"disposition": "NOT_APPLICABLE",
"assignee": null,
"first_alert_time": "2022-10-12T13:08:37.643Z",
"latest_alert_time": "2022-10-12T13:11:43.018Z"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果返回的信息为 (is_success=true):“Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR.” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、无法连接到服务器等):“执行操作‘更新调查’时出错。原因:{0}''.format(error.Stacktrace)" 如果未找到提醒:执行操作“更新调查”时出错。原因:在 Rapid7 InsightIDR 中找不到 ID 为 {investigation id} 的调查。请检查拼写。” 如果“状态”和“处置”均为“选择一项”:“执行操作‘更新调查’时出错。原因:“状态”或“处置”参数应至少有一个具有值。 |
常规 |
连接器
Rapid7 InsightIDR - Investigations 连接器
说明
此连接器是使用预览版 API 端点构建的。从 Rapid7 InsightIDR 中提取有关调查的信息。
连接器参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | data_type | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 来源 | 是 | 输入源字段名称,以便检索事件字段名称。 |
环境字段名称 |
字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
环境正则表达式模式 |
字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{instance}.api.insight.rapid7.com | 是 | Rapid7 InsightIDR 实例的 API 根。 |
| API 密钥 | 字符串 | 不适用 | 是 | Rapid7 InsightIDR 账号的 API 密钥。 |
| 来源 | CSV | 提醒、用户 | 否 | 用于提取调查的来源。可能的值:User、Alert。如果未提供任何内容,连接器会从这两个来源注入调查。 |
| 最低提取优先级 | 字符串 | 中 | 否 | 用于提取调查的最低优先级。可能的值:低、中、高、严重。如果未指定任何内容,连接器会注入所有严重程度的提醒。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取调查结果的小时数。 |
| 要提取的提醒数量上限 | 整数 | 20 | 否 | 每次连接器迭代要处理的提醒数量。默认值:20。 |
| 将动态列表用作黑名单 | 复选框 | 勾选 | 是 | 如果启用,动态列表将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Darktrace 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。