Questa pagina è stata tradotta dall'API Cloud Translation.

RSA Archer

Versione integrazione: 11.0

Configurare l'integrazione di RSA Archer in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio
Root API	Stringa	http://x.x.x.x/rsaarcher	Sì
Nome istanza	Stringa	N/D	Sì
Nome utente	Stringa	N/D	Sì
Password	Password	N/D	Sì
Verifica SSL	Casella di controllo	Selezionata	Sì

Azioni

Crea incidente

Descrizione

Crea un nuovo incidente. Nella finestra di dialogo Crea un incidente, gli analisti possono creare un incidente dagli eventi selezionati nella visualizzazione degli eventi. L'incidente è quindi disponibile per gli incaricati di rispondere agli incidenti che lavorano in Respond.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome applicazione	Stringa	Incidenti	No	Specifica un nome dell'applicazione per l'incidente. Valore predefinito: Incidenti.
File di mapping personalizzato	Stringa	N/D	No	Specifica un percorso assoluto al file contenente tutta la mappatura richiesta. Se "File remoto" è attivato, fornisci un URL che contenga il file di mapping. Per ulteriori informazioni, consulta la documentazione dell'azione.
Campi personalizzati	Stringa	N/D	No	Specifica un oggetto JSON dei campi da utilizzare durante la creazione di un incidente . Esempio: {"Category": "Malware"}
File remoto	Casella di controllo	N/D		Se attivata, l'azione tratterà il valore fornito in "File di mappatura personalizzata" come un URL e tenterà di recuperare un file da questo URL.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome risultato script	Opzioni di valore	Esempio
content_id	N/D	N/D

Struttura del file di mappatura

Per lavorare con un file di mapping, devi utilizzare il formato corretto. Al momento, la mappatura ti consente di definire le voci dei campi di riferimento incrociato.

La struttura del file è la seguente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Esempio. Hai una richiesta di incidente che vuoi collegare a una determinata richiesta di struttura. In questo caso, il file di mappatura sarà simile al seguente:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	Messaggi di errore: Se la chiave non è valida: "L'azione non è riuscita a creare un nuovo incidente. Motivo: il campo {0} non è stato trovato."format(invalid key) If application not found - "Action wasn't able to create a new incident. Motivo: l'applicazione {0} non è stata trovata."format(application) Se il valore non è valido per i tipi 4 e 9 - "L'azione non è riuscita a creare un nuovo incidente. Motivo: il campo {0} contiene un valore non valido."format(key) Se l'utente non viene trovato per il tipo 8 - "L'azione non è riuscita a creare un nuovo incidente. Motivo: il nome utente {0} non è stato trovato."f.ormat(user name)	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

Messaggi di errore:

Se la chiave non è valida: "L'azione non è riuscita a creare un nuovo incidente. Motivo: il campo {0} non è stato trovato."format(invalid key)

If application not found - "Action wasn't able to create a new incident. Motivo: l'applicazione {0} non è stata trovata."format(application)

Se il valore non è valido per i tipi 4 e 9 - "L'azione non è riuscita a creare un nuovo incidente. Motivo: il campo {0} contiene un valore non valido."format(key)

Se l'utente non viene trovato per il tipo 8 - "L'azione non è riuscita a creare un nuovo incidente. Motivo: il nome utente {0} non è stato trovato."f.ormat(user name)

Generale

Dindin

Descrizione

Testa la connettività.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Aggiorna incidente

Descrizione

Aggiorna un incidente.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome applicazione	Stringa	Incidenti	No	Specifica un nome dell'applicazione per l'incidente. Valore predefinito: Incidenti.
File di mapping personalizzato	Stringa	N/D	No	Specifica un percorso assoluto al file contenente tutta la mappatura richiesta. Se "File remoto" è attivato, fornisci un URL che contenga il file di mapping. Per ulteriori informazioni, consulta la documentazione dell'azione.
ID contenuto	Stringa	N/D		Content ID dell'incidente da aggiornare.
Riepilogo incidente	Stringa	N/D		Il nuovo riepilogo dell'incidente.
Dettagli incidente	Stringa	N/D		I nuovi dettagli (descrizione) dell'incidente.
Proprietario dell'incidente	Stringa	N/D		Il nuovo proprietario dell'incidente.
Stato incidente	Stringa	N/D		Il nuovo stato dell'incidente.
Priorità	Stringa	N/D		La nuova priorità dell'incidente.
Categoria	Stringa	N/D		La nuova categoria dell'incidente.
Campi personalizzati	Stringa	N/D	No	Specifica un oggetto JSON dei campi da aggiornare. Esempio: {"Category": "Malware"}.
File remoto	Casella di controllo	N/D		Se attivata, l'azione tratterà il valore fornito in "File di mappatura personalizzata" come un URL e tenterà di recuperare un file da questo URL.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome risultato script	Opzioni di valore	Esempio
content_id	N/D	N/D

Struttura del file di mappatura

Per lavorare con un file di mapping, devi utilizzare il formato corretto. Al momento, la mappatura ti consente di definire le voci dei campi di riferimento incrociato.

La struttura del file è la seguente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Esempio. Hai una richiesta di incidente che vuoi collegare a una determinata richiesta di struttura. In questo caso, il file di mappatura sarà simile al seguente:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Devi utilizzare un file di mapping quando le azioni non sono in grado di recuperare automaticamente l'ID contenuto. In tutti gli altri casi, questo passaggio non è necessario.

Risultato JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	Messaggi di errore: Se la chiave non è valida: "L'azione non è riuscita ad aggiornare l'incidente. Motivo: non è stato trovato il campo {0}."format(invalid key) If application not found - "Action wasn't able to update the incident. Motivo: l'applicazione {0} non è stata trovata."format(application) Se il valore non è valido per i tipi 4 e 9 - "L'azione non è riuscita ad aggiornare l'incidente. Motivo: il campo {0} contiene un valore non valido."format(key) Se l'utente non viene trovato per il tipo 8: "L'azione non è riuscita ad aggiornare l'incidente. Motivo: il nome utente {0} non è stato trovato."f.ormat(user name)	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

Messaggi di errore:

Se la chiave non è valida: "L'azione non è riuscita ad aggiornare l'incidente. Motivo: non è stato trovato il campo {0}."format(invalid key)

If application not found - "Action wasn't able to update the incident. Motivo: l'applicazione {0} non è stata trovata."format(application)

Se il valore non è valido per i tipi 4 e 9 - "L'azione non è riuscita ad aggiornare l'incidente. Motivo: il campo {0} contiene un valore non valido."format(key)

Se l'utente non viene trovato per il tipo 8: "L'azione non è riuscita ad aggiornare l'incidente. Motivo: il nome utente {0} non è stato trovato."f.ormat(user name)

Generale

Recupera dettagli incidente

Descrizione

Recupera informazioni sull'incidente da RSA Archer.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome applicazione	Stringa	Incidenti	No	Specifica un nome dell'applicazione per l'incidente. Valore predefinito: Incidenti.
ID contenuto	Numero intero	N/D	Sì	Specifica l'ID dei contenuti per i quali vuoi recuperare i dettagli.

Casi d'uso

N/D

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: l'incidente con ID {0} non è stato trovato.".format(content id) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Motivo: {0}''.format(error.Stacktrace)	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: l'incidente con ID {0} non è stato trovato.".format(content id)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Incident Details". Motivo: {0}''.format(error.Stacktrace)

Generale

Aggiungere una voce del journal dell'incidente

Descrizione

Aggiungi una voce di journal all'incidente di sicurezza in RSA Archer.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
ID contenuto di destinazione	Stringa	N/D	Vero	Specifica un ID contenuto dell'incidente di sicurezza a cui vuoi aggiungere la voce di log.
Testo	Stringa	N/D	Vero	Specifica il testo della voce di diario.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore
is_success	is_success=False
is_success	is_success=True

Risultato JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if fatal error, like wrong credentials, no connection to server, other: "Error executing action "Add Incident Journal Entry". Motivo: {0}''.format(error.Stacktrace) Se l'incidente non esiste (codice di stato 404): "Error executing action "Add Incident Journal Entry". Motivo: l'incidente di sicurezza {0} non è stato trovato''.format(content_id).	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

if fatal error, like wrong credentials, no connection to server, other: "Error executing action "Add Incident Journal Entry". Motivo: {0}''.format(error.Stacktrace)

Se l'incidente non esiste (codice di stato 404): "Error executing action "Add Incident Journal Entry". Motivo: l'incidente di sicurezza {0} non è stato trovato''.format(content_id).

Generale

Connettore

RSA Archer - Security Incidents Connector

Descrizione

Estrai gli incidenti di sicurezza da RSA Archer.

Configura il connettore RSA Archer - Security Incidents in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome campo prodotto	Stringa	Nome prodotto	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento	Stringa	event_type	Sì	Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente	Stringa	""	No	Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex ambiente	Stringa	.*	No	Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi)	Numero intero	180	Sì	Limite di timeout per il processo Python che esegue lo script corrente.
Root API	Stringa	http://x.x.x.x/RSAarcher	Sì	Radice API dell'istanza RSA Archer.
Nome istanza	Stringa	N/D	Sì	Nome dell'istanza RSA Archer.
Nome utente	Stringa	N/D	Sì	Nome utente dell'account RSA Archer.
Password	Password	N/D	Sì	Password dell'account RSA Archer.
Recupero ore massime a ritroso	Numero intero	1	No	Numero di ore da cui recuperare gli incidenti di sicurezza.
Numero massimo di incidenti di sicurezza da recuperare	Numero intero	50	No	Numero di incidenti di sicurezza da elaborare per un'iterazione del connettore.
Elaborare gli avvisi di sicurezza	Casella di controllo	Selezionata	No	Se attivata, l'azione elaborerà gli avvisi di sicurezza relativi all'incidente di sicurezza.
Process Incident Journal	Casella di controllo	Selezionata	No	Se attivata, l'azione elaborerà il journal degli incidenti relativo all'incidente di sicurezza.
Formato ora	Stringa	%Y-%m-%d %H:%M:%S	Sì	Specifica il formato dell'ora per la ricerca degli incidenti di sicurezza.
Utilizzare la lista consentita come lista nera	Casella di controllo	Deselezionata	Sì	Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata.
Verifica SSL	Casella di controllo	Deselezionata	Sì	Se abilitato, verifica che il certificato SSL per la connessione al server RSA Archer sia valido.
Indirizzo del server proxy	Stringa	N/D	No	L'indirizzo del server proxy da utilizzare.
Nome utente proxy	Stringa	N/D	No	Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy	Password	N/D	No	La password del proxy per l'autenticazione.

Regole del connettore

Supporto del proxy

Il connettore supporta il proxy.

Job

Sincronizzare gli incidenti di sicurezza

Descrizione

Questo job sincronizzerà gli incidenti di sicurezza in RSA Archer e Google SecOps.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Root API	Stringa	http://x.x.x.x/RSAarcher	Sì	Radice API dell'istanza RSA Archer.
Nome istanza	Stringa	N/D	Sì	Nome dell'istanza RSA Archer.
Nome utente	Stringa	N/D	Sì	Nome utente dell'account RSA Archer.
Password	Password	N/D	Sì	Password dell'account RSA Archer.
Campi di sincronizzazione	CSV	N/D	Sì	Specifica un elenco separato da virgole dei campi da sincronizzare
Verifica SSL	Casella di controllo	Selezionata	Sì	Se abilitato, verifica che il certificato SSL per la connessione al server RSA Archer sia valido.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.