Diese Seite wurde von der Cloud Translation API übersetzt.

RSA Archer

Integrationsversion: 11.0

RSA Archer-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch
API-Stamm	String	http://x.x.x.x/rsaarcher	Ja
Instanzname	String	–	Ja
Nutzername	String	–	Ja
Passwort	Passwort	–	Ja
SSL überprüfen	Kästchen	Aktiviert	Ja

Aktionen

Vorfall erstellen

Beschreibung

Erstellen Sie einen neuen Vorfall. Im Dialogfeld „Vorfall erstellen“ können Analysten einen Vorfall aus ausgewählten Ereignissen in der Ereignisansicht erstellen. Der Vorfall ist dann für die Mitarbeiter verfügbar, die in „Reagieren“ arbeiten.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Name der Anwendung	String	Vorfälle	Nein	Geben Sie einen Anwendungsnamen für den Vorfall an. Standard: Incidents.
Benutzerdefinierte Zuordnungsdatei	String	–	Nein	Geben Sie einen absoluten Pfad zu der Datei an, die die erforderliche Zuordnung enthält. Wenn „Remote File“ aktiviert ist, geben Sie eine URL an, die die Zuordnungsdatei enthält. Weitere Informationen finden Sie in der Dokumentation zur Aktion.
Benutzerdefinierte Felder	String	–	Nein	Geben Sie ein JSON-Objekt mit Feldern an, die beim Erstellen eines Vorfalls verwendet werden müssen . Beispiel: {"Category": "Malware"}
Remote-Datei	Kästchen	–		Wenn diese Option aktiviert ist, wird der im Feld „Benutzerdefinierte Zuordnungsdatei“ angegebene Wert als URL behandelt und es wird versucht, eine Datei darüber abzurufen.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
content_id	–	–

Struktur der Zuordnungsdatei

Damit Sie mit einer Zuordnungsdatei arbeiten können, müssen Sie das richtige Format verwenden. Derzeit können Sie mit der Zuordnung Querverweis-Feldeinträge definieren.

Die Datei hat folgende Struktur:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Example. Sie haben einen Vorfallantrag, den Sie mit einem bestimmten Antrag für eine Einrichtung verknüpfen möchten. In diesem Fall sieht die Zuordnungsdatei so aus:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Fehlermeldungen: Ungültiger Schlüssel: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Das Feld {0} wurde nicht gefunden.“ (format(invalid key) Wenn die Anwendung nicht gefunden wurde: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Die Anwendung {0} wurde nicht gefunden.“format(application) Bei ungültigem Wert für Typ 4 und 9: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Das Feld {0} enthält einen ungültigen Wert.“format(key) Wenn Nutzer für Typ 8 nicht gefunden wurde: „Durch die Aktion konnte kein neuer Vorfall erstellt werden. Grund: Der Nutzername {0} wurde nicht gefunden.“f.ormat(user name)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Fehlermeldungen:

Ungültiger Schlüssel: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Das Feld {0} wurde nicht gefunden.“ (format(invalid key)

Wenn die Anwendung nicht gefunden wurde: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Die Anwendung {0} wurde nicht gefunden.“format(application)

Bei ungültigem Wert für Typ 4 und 9: „Die Aktion konnte keinen neuen Vorfall erstellen. Grund: Das Feld {0} enthält einen ungültigen Wert.“format(key)

Wenn Nutzer für Typ 8 nicht gefunden wurde: „Durch die Aktion konnte kein neuer Vorfall erstellt werden. Grund: Der Nutzername {0} wurde nicht gefunden.“f.ormat(user name)

Allgemein

Ping

Beschreibung

Verbindung testen

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

Vorfall aktualisieren

Beschreibung

Vorfall aktualisieren

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Name der Anwendung	String	Vorfälle	Nein	Geben Sie einen Anwendungsnamen für den Vorfall an. Standard: Incidents.
Benutzerdefinierte Zuordnungsdatei	String	–	Nein	Geben Sie einen absoluten Pfad zu der Datei an, die die erforderliche Zuordnung enthält. Wenn „Remote File“ aktiviert ist, geben Sie eine URL an, die die Zuordnungsdatei enthält. Weitere Informationen finden Sie in der Dokumentation zur Aktion.
Content-ID	String	–		Content ID des zu aktualisierenden Vorfalls.
Übersicht der Vorfälle	String	–		Die neue Zusammenfassung des Vorfalls.
Details zu Vorfällen	String	–		Die neuen Details (Beschreibung) des Vorfalls.
Inhaber des Vorfalls	String	–		Der neue Inhaber des Vorfalls.
Vorfallstatus	String	–		Der neue Status des Vorfalls.
Priorität	String	–		Die neue Priorität des Vorfalls.
Kategorie	String	–		Die neue Kategorie des Vorfalls.
Benutzerdefinierte Felder	String	–	Nein	Geben Sie ein JSON-Objekt mit den Feldern an, die aktualisiert werden müssen. Beispiel: {"Category": "Malware"}.
Remote-Datei	Kästchen	–		Wenn diese Option aktiviert ist, wird der im Feld „Benutzerdefinierte Zuordnungsdatei“ angegebene Wert als URL behandelt und es wird versucht, eine Datei darüber abzurufen.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
content_id	–	–

Struktur der Zuordnungsdatei

Damit Sie mit einer Zuordnungsdatei arbeiten können, müssen Sie das richtige Format verwenden. Derzeit können Sie mit der Zuordnung Querverweis-Feldeinträge definieren.

Die Datei hat folgende Struktur:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Example. Sie haben einen Vorfallantrag, den Sie mit einem bestimmten Antrag für eine Einrichtung verknüpfen möchten. In diesem Fall sieht die Zuordnungsdatei so aus:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Sie müssen eine Zuordnungsdatei verwenden, wenn die Content-ID nicht automatisch abgerufen werden kann. In allen anderen Fällen ist dieser Schritt nicht erforderlich.

JSON-Ergebnis

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Fehlermeldungen: Ungültiger Schlüssel: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Das Feld {0} wurde nicht gefunden.“format(invalid key) Wenn die Anwendung nicht gefunden wurde: „Der Vorfall konnte durch die Aktion nicht aktualisiert werden. Grund: Die Anwendung {0} wurde nicht gefunden.“format(application) Bei ungültigem Wert für Typ 4 und 9: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Das Feld {0} enthält einen ungültigen Wert.“format(key) Wenn Nutzer für Typ 8 nicht gefunden wurde: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Der Nutzername {0} wurde nicht gefunden.“f.ormat(user name)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Fehlermeldungen:

Ungültiger Schlüssel: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Das Feld {0} wurde nicht gefunden.“format(invalid key)

Wenn die Anwendung nicht gefunden wurde: „Der Vorfall konnte durch die Aktion nicht aktualisiert werden. Grund: Die Anwendung {0} wurde nicht gefunden.“format(application)

Bei ungültigem Wert für Typ 4 und 9: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Das Feld {0} enthält einen ungültigen Wert.“format(key)

Wenn Nutzer für Typ 8 nicht gefunden wurde: „Die Aktion konnte den Vorfall nicht aktualisieren. Grund: Der Nutzername {0} wurde nicht gefunden.“f.ormat(user name)

Allgemein

Details zu Vorfällen abrufen

Beschreibung

Informationen zum Vorfall aus RSA Archer abrufen.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Name der Anwendung	String	Vorfälle	Nein	Geben Sie einen Anwendungsnamen für den Vorfall an. Standard: Incidents.
Content-ID	Ganzzahl	–	Ja	Geben Sie die ID des Inhalts an, für den Sie Details abrufen möchten.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Grund: Der Vorfall mit der ID {0} wurde nicht gefunden.“.format(content id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.:Gib „Error executing action ‚Get Incident Details‘“ (Fehler beim Ausführen der Aktion „Get Incident Details“) aus. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Grund: Der Vorfall mit der ID {0} wurde nicht gefunden.“.format(content id)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.:Gib „Error executing action ‚Get Incident Details‘“ (Fehler beim Ausführen der Aktion „Get Incident Details“) aus. Grund: {0}''.format(error.Stacktrace)

Allgemein

Eintrag im Incident Journal hinzufügen

Beschreibung

Fügen Sie dem Sicherheitsvorfall in RSA Archer einen Tagebucheintrag hinzu.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Zielinhalts-ID	String	–	Wahr	Geben Sie eine Inhalts-ID des Sicherheitsvorfalls an, dem Sie einen Journaleintrag hinzufügen möchten.
Text	String	–	Wahr	Geben Sie den Text für den Tagebucheintrag an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen
is_success	is_success=False
is_success	is_success=True

JSON-Ergebnis

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Eintrag im Vorfallprotokoll hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Vorfall nicht vorhanden ist (Statuscode 404): „Fehler beim Ausführen der Aktion ‚Vorfall-Journaleintrag hinzufügen‘. Grund: Sicherheitsvorfall {0} wurde nicht gefunden.''.format(content_id).	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Eintrag im Vorfallprotokoll hinzufügen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Vorfall nicht vorhanden ist (Statuscode 404): „Fehler beim Ausführen der Aktion ‚Vorfall-Journaleintrag hinzufügen‘. Grund: Sicherheitsvorfall {0} wurde nicht gefunden.''.format(content_id).

Allgemein

Connector

RSA Archer – Security Incidents Connector

Beschreibung

Sicherheitsvorfälle aus RSA Archer abrufen

RSA Archer – Security Incidents Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	event_type	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	http://x.x.x.x/RSAarcher	Ja	API-Stammverzeichnis der RSA Archer-Instanz.
Instanzname	String	–	Ja	Name der RSA Archer-Instanz.
Nutzername	String	–	Ja	Nutzername des RSA Archer-Kontos.
Passwort	Passwort	–	Ja	Das Passwort des RSA Archer-Kontos.
Maximale Stunden rückwärts abrufen	Ganzzahl	1	Nein	Anzahl der Stunden, ab denen Sicherheitsvorfälle abgerufen werden sollen.
Maximale Anzahl der abzurufenden Sicherheitsvorfälle	Ganzzahl	50	Nein	Anzahl der Sicherheitsvorfälle, die pro Connector-Iteration verarbeitet werden sollen.
Sicherheitswarnungen verarbeiten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden Sicherheitswarnungen im Zusammenhang mit dem Sicherheitsvorfall verarbeitet.
Vorfalljournal verarbeiten	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, werden die Vorfallsprotokolle im Zusammenhang mit dem Sicherheitsvorfall verarbeitet.
Zeitformat	String	%Y-%m-%d %H:%M:%S	Ja	Geben Sie an, welches Zeitformat für die Suche nach Sicherheitsvorfällen verwendet werden soll.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum RSA Archer-Server gültig ist.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung.

Der Connector unterstützt Proxys.

Job

Sicherheitsvorfälle synchronisieren

Beschreibung

Mit diesem Job werden Sicherheitsvorfälle in RSA Archer und Google SecOps synchronisiert.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
API-Stamm	String	http://x.x.x.x/RSAarcher	Ja	API-Stammverzeichnis der RSA Archer-Instanz.
Instanzname	String	–	Ja	Name der RSA Archer-Instanz.
Nutzername	String	–	Ja	Nutzername des RSA Archer-Kontos.
Passwort	Passwort	–	Ja	Das Passwort des RSA Archer-Kontos.
Felder synchronisieren	CSV	–	Ja	Geben Sie eine durch Kommas getrennte Liste der Felder an, die synchronisiert werden müssen.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum RSA Archer-Server gültig ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten