Cette page a été traduite par l'API Cloud Translation.

RSA Archer

Version de l'intégration : 11.0

Configurer l'intégration RSA Archer dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire
Racine de l'API	Chaîne	http://x.x.x.x/rsaarcher	Oui
Nom de l'instance	Chaîne	N/A	Oui
Nom d'utilisateur	Chaîne	N/A	Oui
Mot de passe	Mot de passe	N/A	Oui
Vérifier le protocole SSL	Case à cocher	Cochée	Oui

Actions

Créer un incident

Description

Créez un incident. Dans la boîte de dialogue "Créer un incident", les analystes peuvent créer un incident à partir des événements sélectionnés dans la vue des événements. L'incident est alors disponible pour les gestionnaires d'incidents travaillant dans la fonctionnalité Répondre.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'application	Chaîne	Incidents	Non	Indiquez un nom d'application pour l'incident. Valeur par défaut : "Incidents".
Fichier de mappage personnalisé	Chaîne	N/A	Non	Spécifiez un chemin d'accès absolu au fichier contenant tous les mappages requis. Si l'option "Fichier distant" est activée, indiquez une URL contenant le fichier de mappage. Pour en savoir plus, veuillez consulter la documentation sur les actions.
Champs personnalisés	Chaîne	N/A	Non	Spécifiez un objet JSON des champs à utiliser lors de la création d'un incident . Exemple : {"Category": "Malware"}
Fichier distant	Case à cocher	N/A		Si cette option est activée, l'action traitera la valeur fournie dans "Fichier de mappage personnalisé" comme une URL et tentera d'en extraire un fichier.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
content_id	N/A	N/A

Structure du fichier de mappage

Pour utiliser un fichier de mappage, vous devez utiliser le format approprié. Actuellement, le mappage vous permet de définir des entrées de champ de référence croisée.

La structure du fichier est la suivante :

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Example. Vous disposez d'une demande d'incident que vous souhaitez associer à une demande concernant un établissement spécifique. Dans ce cas, le fichier de mappage se présentera comme suit :

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	Messages d'erreur : Si la clé n'est pas valide : "L'action n'a pas pu créer d'incident. Motif : le champ {0} est introuvable."format(invalid key) Si l'application est introuvable : "L'action n'a pas pu créer d'incident. Raison : l'application {0} est introuvable."format(application) Si la valeur est incorrecte pour les types 4 et 9 : "L'action n'a pas pu créer d'incident. Raison : le champ {0} contient une valeur non valide."format(key) Si l'utilisateur est introuvable pour le type 8 : "L'action n'a pas pu créer d'incident. Motif : Le nom d'utilisateur {0} n'a pas été trouvé."f.ormat(user name)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

Messages d'erreur :

Si la clé n'est pas valide : "L'action n'a pas pu créer d'incident. Motif : le champ {0} est introuvable."format(invalid key)

Si l'application est introuvable : "L'action n'a pas pu créer d'incident. Raison : l'application {0} est introuvable."format(application)

Si la valeur est incorrecte pour les types 4 et 9 : "L'action n'a pas pu créer d'incident. Raison : le champ {0} contient une valeur non valide."format(key)

Si l'utilisateur est introuvable pour le type 8 : "L'action n'a pas pu créer d'incident. Motif : Le nom d'utilisateur {0} n'a pas été trouvé."f.ormat(user name)

Général

Ping

Description

Testez la connectivité.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Mettre à jour un incident

Description

Mettez à jour un incident.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'application	Chaîne	Incidents	Non	Indiquez un nom d'application pour l'incident. Valeur par défaut : "Incidents".
Fichier de mappage personnalisé	Chaîne	N/A	Non	Spécifiez un chemin d'accès absolu au fichier contenant tous les mappages requis. Si l'option "Fichier distant" est activée, indiquez une URL contenant le fichier de mappage. Pour en savoir plus, veuillez consulter la documentation sur les actions.
ID du contenu	Chaîne	N/A		ID de contenu de l'incident à mettre à jour.
Récapitulatif des incidents	Chaîne	N/A		Nouveau résumé de l'incident.
Détails de l'incident	Chaîne	N/A		Nouvelles informations (description) sur l'incident.
Propriétaire de l'incident	Chaîne	N/A		Nouveau propriétaire de l'incident.
État de l'incident	Chaîne	N/A		Nouvel état de l'incident.
Priorité	Chaîne	N/A		Nouvelle priorité de l'incident.
Catégorie	Chaîne	N/A		Nouvelle catégorie de l'incident.
Champs personnalisés	Chaîne	N/A	Non	Spécifiez un objet JSON contenant les champs à mettre à jour. Exemple : {"Category": "Malware"}.
Fichier distant	Case à cocher	N/A		Si cette option est activée, l'action traitera la valeur fournie dans "Fichier de mappage personnalisé" comme une URL et tentera d'en extraire un fichier.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
content_id	N/A	N/A

Structure du fichier de mappage

Pour utiliser un fichier de mappage, vous devez utiliser le format approprié. Actuellement, le mappage vous permet de définir des entrées de champ de référence croisée.

La structure du fichier est la suivante :

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Example. Vous disposez d'une demande d'incident que vous souhaitez associer à une demande concernant un établissement spécifique. Dans ce cas, le fichier de mappage se présentera comme suit :

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Vous devez utiliser un fichier de mappage lorsque les actions ne peuvent pas récupérer automatiquement l'ID de contenu. Dans tous les autres cas, cette étape n'est pas nécessaire.

Résultat JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	Messages d'erreur : Si la clé n'est pas valide : "L'action n'a pas pu mettre à jour l'incident. Le champ "Motif : {0}" est introuvable."format(invalid key) Si l'application est introuvable : "L'action n'a pas pu mettre à jour l'incident. Motif : L'application {0} est introuvable."format(application) Si la valeur n'est pas valide pour les types 4 et 9 : "L'action n'a pas pu mettre à jour l'incident. Raison : le champ {0} contient une valeur non valide."format(key) Si l'utilisateur n'est pas trouvé pour le type 8 : "L'action n'a pas pu mettre à jour l'incident. Motif : Le nom d'utilisateur {0} n'a pas été trouvé."f.ormat(user name)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

Messages d'erreur :

Si la clé n'est pas valide : "L'action n'a pas pu mettre à jour l'incident. Le champ "Motif : {0}" est introuvable."format(invalid key)

Si l'application est introuvable : "L'action n'a pas pu mettre à jour l'incident. Motif : L'application {0} est introuvable."format(application)

Si la valeur n'est pas valide pour les types 4 et 9 : "L'action n'a pas pu mettre à jour l'incident. Raison : le champ {0} contient une valeur non valide."format(key)

Si l'utilisateur n'est pas trouvé pour le type 8 : "L'action n'a pas pu mettre à jour l'incident. Motif : Le nom d'utilisateur {0} n'a pas été trouvé."f.ormat(user name)

Général

Obtenir les détails d'un incident

Description

Récupérez des informations sur l'incident à partir de RSA Archer.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'application	Chaîne	Incidents	Non	Indiquez un nom d'application pour l'incident. Valeur par défaut : "Incidents".
ID du contenu	Integer	N/A	Oui	Spécifiez l'ID du contenu pour lequel vous souhaitez récupérer des informations.

Cas d'utilisation

N/A

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "L'action n'a pas pu renvoyer d'informations sur l'incident avec l'ID {0} dans RSA Archer. Motif : L'incident associé à l'ID {0} est introuvable.".format(content id) L'action doit échouer et arrêter l'exécution d'un playbook : if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "L'action n'a pas pu renvoyer d'informations sur l'incident avec l'ID {0} dans RSA Archer. Motif : L'incident associé à l'ID {0} est introuvable.".format(content id)

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Raison : {0}''.format(error.Stacktrace)

Général

Ajouter une entrée de journal d'incident

Description

Ajoutez une entrée de journal à l'incident de sécurité dans RSA Archer.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID du contenu de destination	Chaîne	N/A	Vrai	Spécifiez l'ID de contenu de l'incident de sécurité auquel vous souhaitez ajouter une entrée de journal.
Texte	Chaîne	N/A	Vrai	Spécifiez le texte de l'entrée de journal.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur
is_success	is_success=False
is_success	is_success=True

Résultat JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if Successful == true (is_success = true) : "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) L'action doit échouer et arrêter l'exécution d'un playbook : En cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Ajouter une entrée au journal des incidents". Raison : {0}''.format(error.Stacktrace) Si l'incident n'existe pas (code d'état 404) : "Erreur lors de l'exécution de l'action "Ajouter une entrée de journal d'incident". Motif : L'incident de sécurité {0} est introuvable.''.format(content_id).	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
if Successful == true (is_success = true) : "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id)

L'action doit échouer et arrêter l'exécution d'un playbook :

En cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Ajouter une entrée au journal des incidents". Raison : {0}''.format(error.Stacktrace)

Si l'incident n'existe pas (code d'état 404) : "Erreur lors de l'exécution de l'action "Ajouter une entrée de journal d'incident". Motif : L'incident de sécurité {0} est introuvable.''.format(content_id).

Général

Connecteur

RSA Archer : connecteur "Security Incidents"

Description

Récupérez les incidents de sécurité depuis RSA Archer.

Configurer le connecteur RSA Archer - Security Incidents dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	event_type	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	http://x.x.x.x/RSAarcher	Oui	Racine de l'API de l'instance RSA Archer.
Nom de l'instance	Chaîne	N/A	Oui	Nom de l'instance RSA Archer.
Nom d'utilisateur	Chaîne	N/A	Oui	Nom d'utilisateur du compte RSA Archer.
Mot de passe	Mot de passe	N/A	Oui	Mot de passe du compte RSA Archer.
Récupérer les heures Max en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les incidents de sécurité.
Nombre maximal d'incidents de sécurité à récupérer	Integer	50	Non	Nombre d'incidents de sécurité à traiter par itération de connecteur.
Traiter les alertes de sécurité	Case à cocher	Cochée	Non	Si cette option est activée, l'action traitera les alertes de sécurité liées à l'incident de sécurité.
Journal des incidents de traitement	Case à cocher	Cochée	Non	Si cette option est activée, l'action traitera le journal des incidents lié à l'incident de sécurité.
Format d'heure	Chaîne	%Y-%m-%d %H:%M:%S	Oui	Spécifiez le format de l'heure pour la recherche des incidents de sécurité.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Décochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur RSA Archer est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Job

Synchroniser les incidents de sécurité

Description

Ce job synchronise les incidents de sécurité dans RSA Archer et Google SecOps.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne	http://x.x.x.x/RSAarcher	Oui	Racine de l'API de l'instance RSA Archer.
Nom de l'instance	Chaîne	N/A	Oui	Nom de l'instance RSA Archer.
Nom d'utilisateur	Chaîne	N/A	Oui	Nom d'utilisateur du compte RSA Archer.
Mot de passe	Mot de passe	N/A	Oui	Mot de passe du compte RSA Archer.
Synchroniser les champs	CSV	N/A	Oui	Spécifiez une liste de champs à synchroniser, séparés par une virgule.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur RSA Archer est valide.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.