Se usó la API de Cloud Translation para traducir esta página.

RSA Archer

Versión de integración: 11.0

Configura la integración de RSA Archer en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio
Raíz de la API	String	http://x.x.x.x/rsaarcher	Sí
Nombre de la instancia	String	N/A	Sí
Nombre de usuario	String	N/A	Sí
Contraseña	Contraseña	N/A	Sí
Verificar SSL	Casilla de verificación	Marcado	Sí

Acciones

Crear incidente

Descripción

Crea un incidente nuevo. En el diálogo Create an Incident, los analistas pueden crear un incidente a partir de los eventos seleccionados en la vista de eventos. Luego, el incidente estará disponible para los equipos de respuesta ante incidentes que trabajen en respond.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la app	String	Incidentes	No	Especifica un nombre de aplicación para el incidente. Valor predeterminado: Incidents.
Archivo de asignación personalizado	String	N/A	No	Especifica una ruta de acceso absoluta al archivo que contiene toda la asignación requerida. Si la opción "Archivo remoto" está habilitada, proporciona una URL que contenga el archivo de asignación. Consulta la documentación de la acción para obtener información adicional.
Campos personalizados	String	N/A	No	Especifica un objeto JSON de los campos que se deben usar cuando se crea un incidente . Ejemplo: {"Category": "Malware"}
Archivo remoto	Casilla de verificación	N/A		Si está habilitada, la acción tratará el valor proporcionado en "Archivo de asignación personalizado" como una URL y tratará de recuperar un archivo de ella.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
content_id	N/A	N/A

Estructura del archivo de asignación

Para trabajar con un archivo de asignación, debes usar el formato adecuado. Actualmente, la asignación te permite definir entradas de campos de referencias cruzadas.

La estructura del archivo es la siguiente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Ejemplo. Tienes una solicitud de incidente que deseas vincular a una solicitud de instalación específica. En ese caso, el archivo de asignación se verá de la siguiente manera:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	Mensajes de error: Si la clave no es válida, se muestra el mensaje "La acción no pudo crear un incidente nuevo. Motivo: No se encontró el campo {0}". format(invalid key) Si no se encuentra la aplicación, "No se pudo crear un incidente nuevo. Motivo: No se encontró la aplicación {0}". format(application) Si el valor no es válido para los tipos 4 y 9, "No se pudo crear un incidente nuevo. Motivo: El campo {0} contiene un valor no válido".format(key) Si no se encuentra al usuario para el tipo 8, "La acción no pudo crear un incidente nuevo. Motivo: No se encontró el nombre de usuario {0}"f.ormat(user name)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

Mensajes de error:

Si la clave no es válida, se muestra el mensaje "La acción no pudo crear un incidente nuevo. Motivo: No se encontró el campo {0}". format(invalid key)

Si no se encuentra la aplicación, "No se pudo crear un incidente nuevo. Motivo: No se encontró la aplicación {0}". format(application)

Si el valor no es válido para los tipos 4 y 9, "No se pudo crear un incidente nuevo. Motivo: El campo {0} contiene un valor no válido".format(key)

Si no se encuentra al usuario para el tipo 8, "La acción no pudo crear un incidente nuevo. Motivo: No se encontró el nombre de usuario {0}"f.ormat(user name)

General

Ping

Descripción

Prueba la conectividad.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
correcto	Verdadero/Falso	success:False

Actualizar incidente

Descripción

Actualiza un incidente.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la app	String	Incidentes	No	Especifica un nombre de aplicación para el incidente. Valor predeterminado: Incidents.
Archivo de asignación personalizado	String	N/A	No	Especifica una ruta de acceso absoluta al archivo que contiene toda la asignación requerida. Si la opción "Archivo remoto" está habilitada, proporciona una URL que contenga el archivo de asignación. Consulta la documentación de la acción para obtener información adicional.
ID del contenido	String	N/A		Es el ID de contenido del incidente que se actualizará.
Resumen de incidentes	String	N/A		Es el nuevo resumen del incidente.
Detalles del incidente	String	N/A		Son los nuevos detalles (descripción) del incidente.
Propietario del incidente	String	N/A		Es el nuevo propietario del incidente.
Estado del incidente	String	N/A		Es el estado nuevo del incidente.
Prioridad	String	N/A		Es la nueva prioridad del incidente.
Categoría	String	N/A		Es la nueva categoría del incidente.
Campos personalizados	String	N/A	No	Especifica un objeto JSON de los campos que se deben actualizar. Ejemplo: {"Category": "Malware"}.
Archivo remoto	Casilla de verificación	N/A		Si está habilitada, la acción tratará el valor proporcionado en "Archivo de asignación personalizado" como una URL y tratará de recuperar un archivo de ella.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
content_id	N/A	N/A

Estructura del archivo de asignación

Para trabajar con un archivo de asignación, debes usar el formato adecuado. Actualmente, la asignación te permite definir entradas de campos de referencias cruzadas.

La estructura del archivo es la siguiente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Ejemplo. Tienes una solicitud de incidente que deseas vincular a una solicitud de instalación específica. En ese caso, el archivo de asignación se verá de la siguiente manera:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Debes usar un archivo de asignación cuando las acciones no puedan recuperar automáticamente el ID de contenido. En todos los demás casos, este paso no es necesario.

Resultado de JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	Mensajes de error: Si la clave no es válida, se muestra el mensaje "Action no pudo actualizar el incidente. Motivo: No se encontró el campo {0}". format(invalid key) Si no se encuentra la aplicación, "No se pudo actualizar el incidente. Motivo: No se encontró la aplicación {0}."format(application) Si el valor no es válido para los tipos 4 y 9, se muestra el mensaje "No se pudo actualizar el incidente. Motivo: El campo {0} contiene un valor no válido".format(key) Si no se encuentra al usuario para el tipo 8, se muestra el mensaje "No se pudo actualizar el incidente. Motivo: No se encontró el nombre de usuario {0}"f.ormat(user name)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

Mensajes de error:

Si la clave no es válida, se muestra el mensaje "Action no pudo actualizar el incidente. Motivo: No se encontró el campo {0}". format(invalid key)

Si no se encuentra la aplicación, "No se pudo actualizar el incidente. Motivo: No se encontró la aplicación {0}."format(application)

Si el valor no es válido para los tipos 4 y 9, se muestra el mensaje "No se pudo actualizar el incidente. Motivo: El campo {0} contiene un valor no válido".format(key)

Si no se encuentra al usuario para el tipo 8, se muestra el mensaje "No se pudo actualizar el incidente. Motivo: No se encontró el nombre de usuario {0}"f.ormat(user name)

General

Obtén detalles del incidente

Descripción

Recupera información sobre el incidente de RSA Archer.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la app	String	Incidentes	No	Especifica un nombre de aplicación para el incidente. Valor predeterminado: Incidents.
ID del contenido	Número entero	N/A	Sí	Especifica el ID del contenido del que deseas recuperar los detalles.

Casos de uso

N/A

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: No se encontró el incidente con el ID {0}".format(content id) La acción debería fallar y detener la ejecución de la guía: if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: No se encontró el incidente con el ID {0}".format(content id)

La acción debería fallar y detener la ejecución de la guía:

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Reason: {0}''.format(error.Stacktrace)

General

Agregar entrada al diario de incidentes

Descripción

Agrega una entrada de registro al incidente de seguridad en RSA Archer.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de contenido de destino	String	N/A	Verdadero	Especifica un ID de contenido del incidente de seguridad al que deseas agregar una entrada de registro.
Texto	String	N/A	Verdadero	Especifica el texto de la entrada del diario.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un playbook: if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Add Incident Journal Entry"". Reason: {0}''.format(error.Stacktrace) Si el incidente no existe (código de estado 404): "Error al ejecutar la acción "Agregar entrada al registro de incidentes". Motivo: No se encontró el incidente de seguridad {0}".format(content_id).	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Add Incident Journal Entry"". Reason: {0}''.format(error.Stacktrace)

Si el incidente no existe (código de estado 404): "Error al ejecutar la acción "Agregar entrada al registro de incidentes". Motivo: No se encontró el incidente de seguridad {0}".format(content_id).

General

Conector

RSA Archer: conector de incidentes de seguridad

Descripción

Extrae incidentes de seguridad de RSA Archer.

Configura el conector de incidentes de seguridad de RSA Archer en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	event_type	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	180	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	http://x.x.x.x/RSAarcher	Sí	Es la raíz de la API de la instancia de RSA Archer.
Nombre de la instancia	String	N/A	Sí	Nombre de la instancia de RSA Archer.
Nombre de usuario	String	N/A	Sí	Nombre de usuario de la cuenta de RSA Archer.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de RSA Archer.
Recuperar horas máximas hacia atrás	Número entero	1	No	Cantidad de horas desde las que se recuperan los incidentes de seguridad.
Cantidad máxima de incidentes de seguridad que se recuperarán	Número entero	50	No	Cantidad de incidentes de seguridad que se procesarán por iteración del conector.
Procesa las alertas de seguridad	Casilla de verificación	Marcado	No	Si está habilitada, la acción procesará las Alertas de seguridad relacionadas con el incidente de seguridad.
Diario de incidentes del proceso	Casilla de verificación	Marcado	No	Si está habilitada, la acción procesará el registro de incidentes relacionado con el incidente de seguridad.
Formato de hora	String	%Y-%m-%d %H:%M:%S	Sí	Especifica cuál debe ser el formato de hora para la búsqueda de incidentes de seguridad.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Verificar SSL	Casilla de verificación	Desmarcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de RSA Archer sea válido.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

Trabajo

Sincroniza incidentes de seguridad

Descripción

Este trabajo sincronizará los incidentes de seguridad en RSA Archer y Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz de la API	String	http://x.x.x.x/RSAarcher	Sí	Es la raíz de la API de la instancia de RSA Archer.
Nombre de la instancia	String	N/A	Sí	Nombre de la instancia de RSA Archer.
Nombre de usuario	String	N/A	Sí	Nombre de usuario de la cuenta de RSA Archer.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de RSA Archer.
Sincronizar campos	CSV	N/A	Sí	Especifica una lista separada por comas de los campos que se deben sincronizar.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de RSA Archer sea válido.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.