Esta página foi traduzida pela API Cloud Translation.

RSA Archer

Versão da integração: 11.0

Configurar a integração do RSA Archer no Google Security Operations

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório
Raiz da API	String	http://x.x.x.x/rsaarcher	Sim
Nome da instância	String	N/A	Sim
Nome de usuário	String	N/A	Sim
Senha	Senha	N/A	Sim
Verificar SSL	Caixa de seleção	Selecionado	Sim

Ações

Criar incidente

Descrição

Crie um novo incidente. Na caixa de diálogo "Criar um incidente", os analistas podem criar um incidente com base nos eventos selecionados na visualização de eventos. O incidente fica disponível para os responsáveis por responder a incidentes que trabalham na resposta.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do aplicativo	String	Incidentes	Não	Especifique um nome de aplicativo para o incidente. Padrão: incidentes.
Arquivo de mapeamento personalizado	String	N/A	Não	Especifique um caminho absoluto para o arquivo que contém todo o mapeamento necessário. Se a opção "Arquivo remoto" estiver ativada, forneça um URL que contenha o arquivo de mapeamento. Consulte a documentação da ação para mais informações.
Campos personalizados	String	N/A	Não	Especifique um objeto JSON de campos que precisam ser usados ao criar um incidente . Exemplo: {"Category": "Malware"}
Arquivo remoto	Caixa de seleção	N/A		Se ativada, a ação vai tratar o valor fornecido em "Arquivo de mapeamento personalizado" como um URL e tentar buscar um arquivo dele.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
content_id	N/A	N/A

Estrutura do arquivo de mapeamento

Para trabalhar com um arquivo de mapeamento, você precisa usar o formato adequado. No momento, o mapeamento permite definir entradas de campo de referência cruzada.

A estrutura do arquivo é a seguinte:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Exemplo. Você tem um aplicativo de incidente que quer vincular a um aplicativo de instalação específico. Nesse caso, o arquivo de mapeamento vai ficar assim:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Mensagens de erro: Se a chave for inválida: "A ação não conseguiu criar um novo incidente. Motivo: o campo {0} não foi encontrado."format(invalid key) Se o aplicativo não for encontrado - "Não foi possível criar um novo incidente. Motivo: o aplicativo {0} não foi encontrado."format(application) Se o valor for inválido para os tipos 4 e 9 "Não foi possível criar um novo incidente. Motivo: o campo {0} contém um valor inválido."format(key) Se o usuário não for encontrado para o tipo 8: "Não foi possível criar um novo incidente. Motivo: o nome de usuário {0} não foi encontrado."f.ormat(user name)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Mensagens de erro:

Se a chave for inválida: "A ação não conseguiu criar um novo incidente. Motivo: o campo {0} não foi encontrado."format(invalid key)

Se o aplicativo não for encontrado - "Não foi possível criar um novo incidente. Motivo: o aplicativo {0} não foi encontrado."format(application)

Se o valor for inválido para os tipos 4 e 9 "Não foi possível criar um novo incidente. Motivo: o campo {0} contém um valor inválido."format(key)

Se o usuário não for encontrado para o tipo 8: "Não foi possível criar um novo incidente. Motivo: o nome de usuário {0} não foi encontrado."f.ormat(user name)

Geral

Ping

Descrição

Teste a conectividade.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
sucesso	Verdadeiro/Falso	success:False

Atualizar incidente

Descrição

Atualiza um incidente.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do aplicativo	String	Incidentes	Não	Especifique um nome de aplicativo para o incidente. Padrão: incidentes.
Arquivo de mapeamento personalizado	String	N/A	Não	Especifique um caminho absoluto para o arquivo que contém todo o mapeamento necessário. Se a opção "Arquivo remoto" estiver ativada, forneça um URL que contenha o arquivo de mapeamento. Consulte a documentação da ação para mais informações.
Content ID	String	N/A		Content ID do incidente a ser atualizado.
Resumo do incidente	String	N/A		O novo resumo do incidente.
Detalhes do incidente	String	N/A		Os novos detalhes (descrição) do incidente.
Proprietário do incidente	String	N/A		O novo proprietário do incidente.
Status do incidente	String	N/A		O novo status do incidente.
Prioridade	String	N/A		A nova prioridade do incidente.
Categoria	String	N/A		A nova categoria do incidente.
Campos personalizados	String	N/A	Não	Especifique um objeto JSON de campos que precisam ser atualizados. Exemplo: {"Category": "Malware"}.
Arquivo remoto	Caixa de seleção	N/A		Se ativada, a ação vai tratar o valor fornecido em "Arquivo de mapeamento personalizado" como um URL e tentar buscar um arquivo dele.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
content_id	N/A	N/A

Estrutura do arquivo de mapeamento

Para trabalhar com um arquivo de mapeamento, você precisa usar o formato adequado. No momento, o mapeamento permite definir entradas de campo de referência cruzada.

A estrutura do arquivo é a seguinte:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Exemplo. Você tem um aplicativo de incidente que quer vincular a um aplicativo de instalação específico. Nesse caso, o arquivo de mapeamento vai ficar assim:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Você precisa usar um arquivo de mapeamento quando as ações não conseguem recuperar automaticamente o ID do conteúdo. Em todos os outros casos, essa etapa não é necessária.

Resultado do JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Mensagens de erro: Se a chave for inválida: "Não foi possível atualizar o incidente. Motivo: o campo {0} não foi encontrado."format(invalid key) Se o aplicativo não for encontrado: "Não foi possível atualizar o incidente. Motivo: o aplicativo {0} não foi encontrado."format(application) Se o valor for inválido para os tipos 4 e 9: "Não foi possível atualizar o incidente. Motivo: o campo {0} contém um valor inválido."format(key) Se o usuário não for encontrado para o tipo 8: "Não foi possível atualizar o incidente. Motivo: o nome de usuário {0} não foi encontrado."f.ormat(user name)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Mensagens de erro:

Se a chave for inválida: "Não foi possível atualizar o incidente. Motivo: o campo {0} não foi encontrado."format(invalid key)

Se o aplicativo não for encontrado: "Não foi possível atualizar o incidente. Motivo: o aplicativo {0} não foi encontrado."format(application)

Se o valor for inválido para os tipos 4 e 9: "Não foi possível atualizar o incidente. Motivo: o campo {0} contém um valor inválido."format(key)

Se o usuário não for encontrado para o tipo 8: "Não foi possível atualizar o incidente. Motivo: o nome de usuário {0} não foi encontrado."f.ormat(user name)

Geral

Receber detalhes do incidente

Descrição

Recupere informações sobre o incidente no RSA Archer.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do aplicativo	String	Incidentes	Não	Especifique um nome de aplicativo para o incidente. Padrão: incidentes.
Content ID	Número inteiro	N/A	Sim	Especifique o ID do conteúdo para o qual você quer recuperar detalhes.

Casos de uso

N/A

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: o incidente com o ID {0} não foi encontrado.".format(content id) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, entre outros: imprima "Erro ao executar a ação "Receber detalhes do incidente". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: o incidente com o ID {0} não foi encontrado.".format(content id)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, entre outros: imprima "Erro ao executar a ação "Receber detalhes do incidente". Motivo: {0}''.format(error.Stacktrace)

Geral

Adicionar entrada de registro de incidente

Descrição

Adicione uma entrada de registro ao incidente de segurança no RSA Archer.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID do conteúdo de destino	String	N/A	Verdadeiro	Especifique um ID de conteúdo do incidente de segurança a que você quer adicionar uma entrada de registro.
Texto	String	N/A	Verdadeiro	Especifique o texto da entrada no diário.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado do JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar entrada ao registro de incidentes". Motivo: {0}''.format(error.Stacktrace) Se o incidente não existir (código de status 404): "Erro ao executar a ação "Adicionar entrada de registro de incidente". Motivo: o incidente de segurança {0} não foi encontrado''.format(content_id).	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id)

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Adicionar entrada ao registro de incidentes". Motivo: {0}''.format(error.Stacktrace)

Se o incidente não existir (código de status 404): "Erro ao executar a ação "Adicionar entrada de registro de incidente". Motivo: o incidente de segurança {0} não foi encontrado''.format(content_id).

Geral

Conector

RSA Archer: conector de incidentes de segurança

Descrição

Extrair incidentes de segurança do RSA Archer.

Configurar o conector de incidentes de segurança do RSA Archer no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento	String	event_type	Sim	Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente	String	""	Não	Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos)	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	http://x.x.x.x/RSAarcher	Sim	Raiz da API da instância do RSA Archer.
Nome da instância	String	N/A	Sim	Nome da instância do RSA Archer.
Nome de usuário	String	N/A	Sim	Nome de usuário da conta do RSA Archer.
Senha	Senha	N/A	Sim	Senha da conta do RSA Archer.
Voltar o tempo máximo	Número inteiro	1	Não	Número de horas de onde buscar incidentes de segurança.
Número máximo de incidentes de segurança a serem buscados	Número inteiro	50	Não	Quantos incidentes de segurança processar por iteração de conector.
Processar alertas de segurança	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai processar alertas de segurança relacionados ao incidente de segurança.
Processar registro de incidentes	Caixa de seleção	Selecionado	Não	Se ativada, a ação vai processar o diário de incidentes relacionado ao incidente de segurança.
Formato de hora	String	%Y-%m-%d %H:%M:%S	Sim	Especifique qual deve ser o formato de hora para a pesquisa de incidentes de segurança.
Usar a lista de permissões como uma lista de proibições	Caixa de seleção	Desmarcado	Sim	Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL	Caixa de seleção	Desmarcado	Sim	Se ativada, verifique se o certificado SSL da conexão com o servidor RSA Archer é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a ser usado.
Nome de usuário do proxy	String	N/A	Não	O nome de usuário do proxy para autenticação.
Senha do proxy	Senha	N/A	Não	A senha do proxy para autenticação.

Regras do conector

Suporte a proxy

O conector é compatível com proxy.

Job

Sincronizar incidentes de segurança

Descrição

Esse trabalho vai sincronizar incidentes de segurança no RSA Archer e no Google SecOps.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Raiz da API	String	http://x.x.x.x/RSAarcher	Sim	Raiz da API da instância do RSA Archer.
Nome da instância	String	N/A	Sim	Nome da instância do RSA Archer.
Nome de usuário	String	N/A	Sim	Nome de usuário da conta do RSA Archer.
Senha	Senha	N/A	Sim	Senha da conta do RSA Archer.
Sincronizar campos	CSV	N/A	Sim	Especifique uma lista separada por vírgulas de campos que precisam ser sincronizados.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativada, verifique se o certificado SSL da conexão com o servidor RSA Archer é válido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.