Esta página foi traduzida pela API Cloud Translation.

RSA Archer

Versão da integração: 11.0

Configure a integração do RSA Archer no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório
Raiz da API	String	http://x.x.x.x/rsaarcher	Sim
Nome da instância	String	N/A	Sim
Nome de utilizador	String	N/A	Sim
Palavra-passe	Palavra-passe	N/A	Sim
Validar SSL	Caixa de verificação	Marcado	Sim

Ações

Criar incidente

Descrição

Crie um novo incidente. Na caixa de diálogo Criar um incidente, os analistas podem criar um incidente a partir de eventos selecionados na vista de eventos. O incidente fica disponível para os responsáveis pela resposta a incidentes que trabalham na resposta.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da aplicação	String	Incidentes	Não	Especifique um nome de aplicação para o incidente. Predefinição: incidentes.
Ficheiro de mapeamento personalizado	String	N/A	Não	Especifique um caminho absoluto para o ficheiro que contém todo o mapeamento necessário. Se a opção "Ficheiro remoto" estiver ativada, indique um URL que contenha o ficheiro de mapeamento. Consulte a documentação de ações para ver informações adicionais.
Campos personalizados	String	N/A	Não	Especifique um objeto JSON de campos que têm de ser usados quando cria um incidente . Exemplo: {"Category": "Malware"}
Ficheiro remoto	Caixa de verificação	N/A		Se estiver ativada, a ação trata o valor fornecido no "Ficheiro de mapeamento personalizado" como um URL e tenta obter um ficheiro a partir dele.

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
content_id	N/A	N/A

Estrutura do ficheiro de mapeamento

Para trabalhar com um ficheiro de mapeamento, tem de usar o formato adequado. Atualmente, o mapeamento permite-lhe definir entradas de campos de referências cruzadas.

A estrutura do ficheiro é a seguinte:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Exemplo. Tem uma aplicação de incidentes que quer associar a uma determinada aplicação de instalações. Nesse caso, o ficheiro de mapeamento tem o seguinte aspeto:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Mensagens de erro: Se a chave for inválida - "Não foi possível criar um novo incidente. Motivo: não foi encontrado o campo {0}."format(invalid key) Se a aplicação não for encontrada: "Não foi possível criar um novo incidente. Motivo: não foi encontrada a aplicação {0}."format(application) Se o valor for inválido para os tipos 4 e 9: "Não foi possível criar um novo incidente. Motivo: o campo {0} contém um valor inválido."format(key) Se o utilizador não for encontrado para o tipo 8 - "Não foi possível criar um novo incidente. Motivo: não foi encontrado o nome de utilizador {0}."f.ormat(user name)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Mensagens de erro:

Se a chave for inválida - "Não foi possível criar um novo incidente. Motivo: não foi encontrado o campo {0}."format(invalid key)

Se a aplicação não for encontrada: "Não foi possível criar um novo incidente. Motivo: não foi encontrada a aplicação {0}."format(application)

Se o valor for inválido para os tipos 4 e 9: "Não foi possível criar um novo incidente. Motivo: o campo {0} contém um valor inválido."format(key)

Se o utilizador não for encontrado para o tipo 8 - "Não foi possível criar um novo incidente. Motivo: não foi encontrado o nome de utilizador {0}."f.ormat(user name)

Geral

Tchim-tchim

Descrição

Testar conetividade.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Atualizar incidente

Descrição

Atualize um incidente.

Parâmetros

Parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da aplicação	String	Incidentes	Não	Especifique um nome de aplicação para o incidente. Predefinição: incidentes.
Ficheiro de mapeamento personalizado	String	N/A	Não	Especifique um caminho absoluto para o ficheiro que contém todo o mapeamento necessário. Se a opção "Ficheiro remoto" estiver ativada, indique um URL que contenha o ficheiro de mapeamento. Consulte a documentação de ações para ver informações adicionais.
Content ID	String	N/A		O Content ID do incidente a atualizar.
Resumo do incidente	String	N/A		O novo resumo do incidente.
Detalhes do incidente	String	N/A		Os novos detalhes (descrição) do incidente.
Proprietário do incidente	String	N/A		O novo proprietário do incidente.
Estado do incidente	String	N/A		O novo estado do incidente.
Prioridade	String	N/A		A nova prioridade do incidente.
Categoria	String	N/A		A nova categoria do incidente.
Campos personalizados	String	N/A	Não	Especifique um objeto JSON de campos que precisam de ser atualizados. Exemplo: {"Category": "Malware"}.
Ficheiro remoto	Caixa de verificação	N/A		Se estiver ativada, a ação trata o valor fornecido no "Ficheiro de mapeamento personalizado" como um URL e tenta obter um ficheiro a partir dele.

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
content_id	N/A	N/A

Estrutura do ficheiro de mapeamento

Para trabalhar com um ficheiro de mapeamento, tem de usar o formato adequado. Atualmente, o mapeamento permite-lhe definir entradas de campos de referências cruzadas.

A estrutura do ficheiro é a seguinte:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Exemplo. Tem uma aplicação de incidentes que quer associar a uma determinada aplicação de instalações. Nesse caso, o ficheiro de mapeamento tem o seguinte aspeto:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Tem de usar um ficheiro de mapeamento quando as ações não conseguem obter automaticamente o ID do conteúdo. Em todos os outros casos, este passo não é necessário.

Resultado JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Mensagens de erro: Se a chave for inválida: "Não foi possível atualizar o incidente. Motivo: o campo {0} não foi encontrado."format(invalid key) Se a aplicação não for encontrada: "Não foi possível atualizar o incidente. Motivo: não foi possível encontrar a aplicação {0}."format(application) Se o valor for inválido para os tipos 4 e 9: "Não foi possível atualizar o incidente. Motivo: o campo {0} contém um valor inválido."format(key) Se o utilizador não for encontrado para o tipo 8: "Não foi possível atualizar o incidente. Motivo: não foi encontrado o nome de utilizador {0}."f.ormat(user name)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Mensagens de erro:

Se a chave for inválida: "Não foi possível atualizar o incidente. Motivo: o campo {0} não foi encontrado."format(invalid key)

Se a aplicação não for encontrada: "Não foi possível atualizar o incidente. Motivo: não foi possível encontrar a aplicação {0}."format(application)

Se o valor for inválido para os tipos 4 e 9: "Não foi possível atualizar o incidente. Motivo: o campo {0} contém um valor inválido."format(key)

Se o utilizador não for encontrado para o tipo 8: "Não foi possível atualizar o incidente. Motivo: não foi encontrado o nome de utilizador {0}."f.ormat(user name)

Geral

Obtenha detalhes do incidente

Descrição

Recuperar informações sobre o incidente do RSA Archer.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da aplicação	String	Incidentes	Não	Especifique um nome de aplicação para o incidente. Predefinição: incidentes.
Content ID	Número inteiro	N/A	Sim	Especifique o ID do conteúdo para o qual quer obter detalhes.

Exemplos de utilização

N/A

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Não foi possível devolver informações sobre o incidente com o ID {0} no RSA Archer. Motivo: não foi possível encontrar o incidente com o ID {0}.".format(content id) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: imprima "Erro ao executar a ação "Obter detalhes do incidente". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Não foi possível devolver informações sobre o incidente com o ID {0} no RSA Archer. Motivo: não foi possível encontrar o incidente com o ID {0}.".format(content id)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: imprima "Erro ao executar a ação "Obter detalhes do incidente". Motivo: {0}''.format(error.Stacktrace)

Geral

Adicione uma entrada no registo de incidentes

Descrição

Adicione uma entrada de registo ao incidente de segurança no RSA Archer.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do conteúdo de destino	String	N/A	True	Especifique um ID do conteúdo do incidente de segurança ao qual quer adicionar uma entrada do registo.
Texto	String	N/A	True	Especifique o texto da entrada no diário.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Não foi possível adicionar uma nova entrada de registo ao incidente de segurança {0} no RSA Archer..format(content_id) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar entrada no registo de incidentes". Motivo: {0}''.format(error.Stacktrace) Se o incidente não existir (código de estado 404): "Erro ao executar a ação "Adicionar entrada de registo de incidentes". Motivo: não foi encontrado o incidente de segurança {0}''.format(content_id).	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Não foi possível adicionar uma nova entrada de registo ao incidente de segurança {0} no RSA Archer..format(content_id)

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar entrada no registo de incidentes". Motivo: {0}''.format(error.Stacktrace)

Se o incidente não existir (código de estado 404): "Erro ao executar a ação "Adicionar entrada de registo de incidentes". Motivo: não foi encontrado o incidente de segurança {0}''.format(content_id).

Geral

Conetor

RSA Archer - Security Incidents Connector

Descrição

Extraia incidentes de segurança do RSA Archer.

Configure o conetor de incidentes de segurança do RSA Archer no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento	String	event_type	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente	String	""	Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos)	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	http://x.x.x.x/RSAarcher	Sim	Raiz da API da instância do RSA Archer.
Nome da instância	String	N/A	Sim	Nome da instância do RSA Archer.
Nome de utilizador	String	N/A	Sim	Nome de utilizador da conta do RSA Archer.
Palavra-passe	Palavra-passe	N/A	Sim	Palavra-passe da conta do RSA Archer.
Fetch Max Hours Backwards	Número inteiro	1	Não	Número de horas a partir das quais obter incidentes de segurança.
Máximo de incidentes de segurança a obter	Número inteiro	50	Não	O número de incidentes de segurança a processar por iteração do conector.
Processar alertas de segurança	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação processa os alertas de segurança relacionados com o incidente de segurança.
Registo de incidentes de processos	Caixa de verificação	Marcado	Não	Se estiver ativada, a ação processa o registo de incidentes relacionado com o incidente de segurança.
Formato de hora	String	%Y-%m-%d %H:%M:%S	Sim	Especifique o formato de hora para a pesquisa de incidentes de segurança.
Use a lista de autorizações como uma lista negra	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a lista de autorizações é usada como uma lista negra.
Validar SSL	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor RSA Archer é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.

Regras de conector

Suporte de proxy

O conetor suporta proxy.

Emprego

Sincronize incidentes de segurança

Descrição

Esta tarefa sincroniza incidentes de segurança no RSA Archer e no Google SecOps.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Raiz da API	String	http://x.x.x.x/RSAarcher	Sim	Raiz da API da instância do RSA Archer.
Nome da instância	String	N/A	Sim	Nome da instância do RSA Archer.
Nome de utilizador	String	N/A	Sim	Nome de utilizador da conta do RSA Archer.
Palavra-passe	Palavra-passe	N/A	Sim	Palavra-passe da conta do RSA Archer.
Sincronizar campos	CSV	N/A	Sim	Especifique uma lista de campos separados por vírgulas que precisam de ser sincronizados
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor RSA Archer é válido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.