RSA Archer
集成版本:11.0
在 Google Security Operations 中配置 RSA Archer 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 |
|---|---|---|---|
| API 根 | 字符串 | http://x.x.x.x/rsaarcher | 是 |
| 实例名称 | 字符串 | 不适用 | 是 |
| 用户名 | 字符串 | 不适用 | 是 |
| 密码 | 密码 | 不适用 | 是 |
| 验证 SSL | 复选框 | 勾选 | 是 |
操作
创建突发事件
说明
创建新突发事件。在“创建突发事件”对话框中,分析师可以根据事件视图中选定的事件创建突发事件。然后,突发事件会提供给在 respond 中工作的突发事件响应者。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 应用名称 | 字符串 | 突发事件 | 否 | 为事件指定应用名称。默认值:事件。 |
| 自定义映射文件 | 字符串 | 不适用 | 否 | 指定包含所有必需映射的文件的绝对路径。如果“远程文件”处于启用状态,请提供包含映射文件的网址。如需了解更多信息,请参阅操作文档。 |
| 自定义字段 | 字符串 | 不适用 | 否 | 指定创建突发事件时需要使用的字段的 JSON 对象。示例:{"Category": "恶意软件"} |
| 远程文件 | 复选框 | 不适用 | 如果启用,操作会将“自定义映射文件”中提供的值视为网址,并尝试从中提取文件。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| content_id | 不适用 | 不适用 |
映射文件的结构
如需使用映射文件,您需要使用正确的格式。 目前,映射功能可让您定义交叉引用字段条目。
文件的结构如下:
{
"type_9": {
"{Cross-reference field name}": {
"{Cross-reference field value}": "{content id of the cross-reference field value}",
"{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
}
}
}
示例。您有一个突发事件应用,想要将其与某个设施应用相关联。在这种情况下,映射文件将如下所示:
{
"type_9": {
"Facility": {
"Business Department": "20202021",
"Developers": "20011101"
}
}
}
```
You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.
##### JSON Result
```json
{
"@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
"Incidents_Id": 249459,
"Additional_Access": [],
"Additional_Notification_Recipients": [],
"Address": "<p>Fifth street </p>",
"Affected_Business_Unit": [],
"Batch_File_Format": [],
"Business_Continuity_Plans": [],
"Business_Impact_Analysis_Archive": [],
"Category": [
"Harassment"
],
"Cause": null,
"City": "Vienna",
"Corrective_Actions": null,
"Country": [],
"Current_Status": [],
"Customer_Data": [],
"Customer_Data_Details": null,
"Data_Encrypted": [],
"Date_Created": "2020-05-08T12:17:37.187+02:00",
"DateTime_Closed": null,
"DateTime_Occurred": "2020-05-06T05:00:00+02:00",
"DateTime_Reported": "2020-05-08T12:15:00+02:00",
"Days_Open": 6,
"Default_Record_Permissions": [
"IM: Admin",
"IM: Read Only",
"BCM: Admin"
],
"Desktop_Policy_Enabled": [],
"Discovery_Policy_Enabled": [],
"DLP_Policy": [],
"DLP_Source_Product": [],
"Emergency_Notifications": [],
"Encryption_Details": null,
"Escalated_Incident_Status": [],
"Estimated_Hours": 0,
"Facility": [],
"Filing_Name": null,
"From_Date__Time": null,
"Google_Map": "<a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
"Impacted_Information_Assess": [],
"Incident_Analysis_Q1": [],
"Incident_Analysis_Q2": [],
"Incident_Analysis_Q3": [],
"Incident_Analysis_Q4": [],
"Incident_Analysis_Q5": [],
"Incident_Analysis_Q6": [],
"Incident_Analysis_Q7": [],
"Incident_Analysis_Q8": [],
"Incident_Analysis_Score": 0,
"Incident_Analysis_Severity": [
"Low"
],
"Incident_Details": "Closed!",
"Incident_ID": 2,
"Incident_Manager": [],
"Incident_Owner": [],
"Incident_Resolution_Detail": null,
"Incident_Result": [
"To Be Determined"
],
"Incident_Status": [
"Closed"
],
"Incident_Summary": "TEST!!!!",
"Incident_Trend": [],
"Individuals_Involved": [],
"Inherited_From_Third_Party_Profile": [],
"Inherited_Permissions_Engagement_Stakeho": [],
"Inherited_Permissions_Supplier_Request_F": [],
"Inherited_RP": [],
"Investigations": [],
"Involved_Third_Parties": [],
"Is_BSA_Bank_Secrecy_Act_reporting_requir": [
"No"
],
"Last_Updated": "2020-05-15T12:40:18.987+02:00",
"Law_Enforcement_Agency": null,
"Law_Enforcement_Agent": null,
"Law_Enforcement_Case_No": null,
"Legal_Involvement": [],
"Legal_Involvement_Details": null,
"Loss": 0,
"Loss_Description": null,
"Loss_Events": [],
"Network_Policy_Enabled": [],
"Notification_Execution": [],
"Notify_Crisis_Team": [
" No, do not send an email notification"
],
"Notify_Incident_Owner": [
"No, do not send an email notification to the incident owner"
],
"Open_TasksActivities": [],
"Organization_Affected_By_Incident": [],
"Override_Rejected_Submission": [
"No"
],
"Policy_Enabled": [],
"Priority": [
"High"
],
"Range_Type": [],
"Recovery_": 0,
"Recovery_Description": null,
"Region": [],
"Related_Incidents": [],
"Related_Incidents1": [],
"Reported_to_Police": [],
"Responder_Hours_Entry": [],
"Risks": [],
"Source": [],
"State": [],
"Status_Change": [
"No"
],
"Status_Prior_Value": [],
"Top_Offending_Users": [],
"Total_Hours": 0,
"Workflow_Assignees": [],
"Workflow_Stage": [],
"Zip_Code": "5000"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 错误消息: 如果密钥无效 -“操作无法创建新事件。原因:找不到 {0} 字段。"format(invalid key)
|
常规 |
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
更新突发事件
说明
更新突发事件。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 应用名称 | 字符串 | 突发事件 | 否 | 为事件指定应用名称。默认值:事件。 |
| 自定义映射文件 | 字符串 | 不适用 | 否 | 指定包含所有必需映射的文件的绝对路径。如果“远程文件”处于启用状态,请提供包含映射文件的网址。如需了解更多信息,请参阅操作文档。 |
| 内容 ID | 字符串 | 不适用 | 要更新的事件的内容 ID。 | |
| 突发事件摘要 | 字符串 | 不适用 | 事件的新摘要。 | |
| 突发事件详细信息 | 字符串 | 不适用 | 突发事件的新详细信息(说明)。 | |
| 突发事件所有者 | 字符串 | 不适用 | 突发事件的新所有者。 | |
| 突发事件状态 | 字符串 | 不适用 | 突发事件的新状态。 | |
| 优先级 | 字符串 | 不适用 | 突发事件的新优先级。 | |
| 类别 | 字符串 | 不适用 | 相应事件的新类别。 | |
| 自定义字段 | 字符串 | 不适用 | 否 | 指定需要更新的字段的 JSON 对象。示例:{"Category": "Malware"}。 |
| 远程文件 | 复选框 | 不适用 | 如果启用,操作会将“自定义映射文件”中提供的值视为网址,并尝试从中提取文件。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| content_id | 不适用 | 不适用 |
映射文件的结构
如需使用映射文件,您需要使用正确的格式。 目前,映射功能可让您定义交叉引用字段条目。
文件的结构如下:
{
"type_9": {
"{Cross-reference field name}": {
"{Cross-reference field value}": "{content id of the cross-reference field value}",
"{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
}
}
}
示例。您有一个突发事件应用,想要将其与某个设施应用相关联。在这种情况下,映射文件将如下所示:
{
"type_9": {
"Facility": {
"Business Department": "20202021",
"Developers": "20011101"
}
}
}
如果操作无法自动检索内容 ID,您需要使用映射文件。在所有其他情况下,无需执行此步骤。
JSON 结果
{
"@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
"Incidents_Id": 249459,
"Additional_Access": [],
"Additional_Notification_Recipients": [],
"Address": "<p>Fifth street </p>",
"Affected_Business_Unit": [],
"Batch_File_Format": [],
"Business_Continuity_Plans": [],
"Business_Impact_Analysis_Archive": [],
"Category": [
"Harassment"
],
"Cause": null,
"City": "Vienna",
"Corrective_Actions": null,
"Country": [],
"Current_Status": [],
"Customer_Data": [],
"Customer_Data_Details": null,
"Data_Encrypted": [],
"Date_Created": "2020-05-08T12:17:37.187+02:00",
"DateTime_Closed": null,
"DateTime_Occurred": "2020-05-06T05:00:00+02:00",
"DateTime_Reported": "2020-05-08T12:15:00+02:00",
"Days_Open": 6,
"Default_Record_Permissions": [
"IM: Admin",
"IM: Read Only",
"BCM: Admin"
],
"Desktop_Policy_Enabled": [],
"Discovery_Policy_Enabled": [],
"DLP_Policy": [],
"DLP_Source_Product": [],
"Emergency_Notifications": [],
"Encryption_Details": null,
"Escalated_Incident_Status": [],
"Estimated_Hours": 0,
"Facility": [],
"Filing_Name": null,
"From_Date__Time": null,
"Google_Map": "<a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
"Impacted_Information_Assess": [],
"Incident_Analysis_Q1": [],
"Incident_Analysis_Q2": [],
"Incident_Analysis_Q3": [],
"Incident_Analysis_Q4": [],
"Incident_Analysis_Q5": [],
"Incident_Analysis_Q6": [],
"Incident_Analysis_Q7": [],
"Incident_Analysis_Q8": [],
"Incident_Analysis_Score": 0,
"Incident_Analysis_Severity": [
"Low"
],
"Incident_Details": "Closed!",
"Incident_ID": 2,
"Incident_Manager": [],
"Incident_Owner": [],
"Incident_Resolution_Detail": null,
"Incident_Result": [
"To Be Determined"
],
"Incident_Status": [
"Closed"
],
"Incident_Summary": "TEST!!!!",
"Incident_Trend": [],
"Individuals_Involved": [],
"Inherited_From_Third_Party_Profile": [],
"Inherited_Permissions_Engagement_Stakeho": [],
"Inherited_Permissions_Supplier_Request_F": [],
"Inherited_RP": [],
"Investigations": [],
"Involved_Third_Parties": [],
"Is_BSA_Bank_Secrecy_Act_reporting_requir": [
"No"
],
"Last_Updated": "2020-05-15T12:40:18.987+02:00",
"Law_Enforcement_Agency": null,
"Law_Enforcement_Agent": null,
"Law_Enforcement_Case_No": null,
"Legal_Involvement": [],
"Legal_Involvement_Details": null,
"Loss": 0,
"Loss_Description": null,
"Loss_Events": [],
"Network_Policy_Enabled": [],
"Notification_Execution": [],
"Notify_Crisis_Team": [
" No, do not send an email notification"
],
"Notify_Incident_Owner": [
"No, do not send an email notification to the incident owner"
],
"Open_TasksActivities": [],
"Organization_Affected_By_Incident": [],
"Override_Rejected_Submission": [
"No"
],
"Policy_Enabled": [],
"Priority": [
"High"
],
"Range_Type": [],
"Recovery_": 0,
"Recovery_Description": null,
"Region": [],
"Related_Incidents": [],
"Related_Incidents1": [],
"Reported_to_Police": [],
"Responder_Hours_Entry": [],
"Risks": [],
"Source": [],
"State": [],
"Status_Change": [
"No"
],
"Status_Prior_Value": [],
"Top_Offending_Users": [],
"Total_Hours": 0,
"Workflow_Assignees": [],
"Workflow_Stage": [],
"Zip_Code": "5000"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 错误消息: 如果密钥无效 -“操作无法更新突发事件。原因:未找到 {0} 字段。"format(invalid key)
|
常规 |
获取突发事件详情
说明
从 RSA Archer 检索有关突发事件的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 应用名称 | 字符串 | 突发事件 | 否 | 为事件指定应用名称。默认值:事件。 |
| 内容 ID | 整数 | 不适用 | 是 | 指定要检索详细信息的内容的 ID。 |
使用场景
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
"Incidents_Id": 249459,
"Additional_Access": [],
"Additional_Notification_Recipients": [],
"Address": "<p>Fifth street </p>",
"Affected_Business_Unit": [],
"Batch_File_Format": [],
"Business_Continuity_Plans": [],
"Business_Impact_Analysis_Archive": [],
"Category": [
"Harassment"
],
"Cause": null,
"City": "Vienna",
"Corrective_Actions": null,
"Country": [],
"Current_Status": [],
"Customer_Data": [],
"Customer_Data_Details": null,
"Data_Encrypted": [],
"Date_Created": "2020-05-08T12:17:37.187+02:00",
"DateTime_Closed": null,
"DateTime_Occurred": "2020-05-06T05:00:00+02:00",
"DateTime_Reported": "2020-05-08T12:15:00+02:00",
"Days_Open": 6,
"Default_Record_Permissions": [
"IM: Admin",
"IM: Read Only",
"BCM: Admin"
],
"Desktop_Policy_Enabled": [],
"Discovery_Policy_Enabled": [],
"DLP_Policy": [],
"DLP_Source_Product": [],
"Emergency_Notifications": [],
"Encryption_Details": null,
"Escalated_Incident_Status": [],
"Estimated_Hours": 0,
"Facility": [],
"Filing_Name": null,
"From_Date__Time": null,
"Google_Map": "<a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
"Impacted_Information_Assess": [],
"Incident_Analysis_Q1": [],
"Incident_Analysis_Q2": [],
"Incident_Analysis_Q3": [],
"Incident_Analysis_Q4": [],
"Incident_Analysis_Q5": [],
"Incident_Analysis_Q6": [],
"Incident_Analysis_Q7": [],
"Incident_Analysis_Q8": [],
"Incident_Analysis_Score": 0,
"Incident_Analysis_Severity": [
"Low"
],
"Incident_Details": "Closed!",
"Incident_ID": 2,
"Incident_Manager": [],
"Incident_Owner": [],
"Incident_Resolution_Detail": null,
"Incident_Result": [
"To Be Determined"
],
"Incident_Status": [
"Closed"
],
"Incident_Summary": "TEST!!!!",
"Incident_Trend": [],
"Individuals_Involved": [],
"Inherited_From_Third_Party_Profile": [],
"Inherited_Permissions_Engagement_Stakeho": [],
"Inherited_Permissions_Supplier_Request_F": [],
"Inherited_RP": [],
"Investigations": [],
"Involved_Third_Parties": [],
"Is_BSA_Bank_Secrecy_Act_reporting_requir": [
"No"
],
"Last_Updated": "2020-05-15T12:40:18.987+02:00",
"Law_Enforcement_Agency": null,
"Law_Enforcement_Agent": null,
"Law_Enforcement_Case_No": null,
"Legal_Involvement": [],
"Legal_Involvement_Details": null,
"Loss": 0,
"Loss_Description": null,
"Loss_Events": [],
"Network_Policy_Enabled": [],
"Notification_Execution": [],
"Notify_Crisis_Team": [
" No, do not send an email notification"
],
"Notify_Incident_Owner": [
"No, do not send an email notification to the incident owner"
],
"Open_TasksActivities": [],
"Organization_Affected_By_Incident": [],
"Override_Rejected_Submission": [
"No"
],
"Policy_Enabled": [],
"Priority": [
"High"
],
"Range_Type": [],
"Recovery_": 0,
"Recovery_Description": null,
"Region": [],
"Related_Incidents": [],
"Related_Incidents1": [],
"Reported_to_Police": [],
"Responder_Hours_Entry": [],
"Risks": [],
"Source": [],
"State": [],
"Status_Change": [
"No"
],
"Status_Prior_Value": [],
"Top_Offending_Users": [],
"Total_Hours": 0,
"Workflow_Assignees": [],
"Workflow_Stage": [],
"Zip_Code": "5000"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. 原因:未找到 ID 为 {0} 的事件。".format(content id)
如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):打印“Error executing action "Get Incident Details"”。原因:{0}''.format(error.Stacktrace) |
常规 |
添加突发事件日志条目
说明
在 RSA Archer 中向安全事件添加日志条目。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 目标内容 ID | 字符串 | 不适用 | 正确 | 指定要向其添加日志条目的安全事件的内容 ID。 |
| 文本 | 字符串 | 不适用 | 正确 | 指定日志条目的文本。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"Links": [],
"RequestedObject": {
"Id": 267754
},
"IsSuccessful": true,
"ValidationMessages": []
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: if Successful == false(is_success = false): "Action wasn't able to add new journal entry to the Security Incident {0} in RSA Archer..format(content_id) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):“执行操作‘添加突发事件日志条目’时出错。原因:{0}''.format(error.Stacktrace) 如果突发事件不存在(状态代码为 404):“执行操作‘添加突发事件日志条目’时出错。原因:未找到安全事件 {0}。''.format(content_id)。 |
常规 |
连接器
RSA Archer - 安全事件连接器
说明
从 RSA Archer 中提取安全事件。
在 Google SecOps 中配置 RSA Archer - Security Incidents 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | event_type | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | http://x.x.x.x/RSAarcher | 是 | RSA Archer 实例的 API 根目录。 |
| 实例名称 | 字符串 | 不适用 | 是 | RSA Archer 实例的名称。 |
| 用户名 | 字符串 | 不适用 | 是 | RSA Archer 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | RSA Archer 账号的密码。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取安全事件的小时数。 |
| 要提取的安全事件数量上限 | 整数 | 50 | 否 | 每次连接器迭代要处理的安全事件数量。 |
| 处理安全提醒 | 复选框 | 勾选 | 否 | 如果启用,操作将处理与安全突发事件相关的安全提醒。 |
| 处理突发事件日志 | 复选框 | 勾选 | 否 | 如果启用,操作将处理与安全事件相关的突发事件日志。 |
| 时间格式 | 字符串 | %Y-%m-%d %H:%M:%S | 是 | 指定搜索安全突发事件时应采用的时间格式。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,请验证与 RSA Archer 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
作业
同步安全事件
说明
此作业将同步 RSA Archer 和 Google SecOps 中的安全事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | http://x.x.x.x/RSAarcher | 是 | RSA Archer 实例的 API 根目录。 |
| 实例名称 | 字符串 | 不适用 | 是 | RSA Archer 实例的名称。 |
| 用户名 | 字符串 | 不适用 | 是 | RSA Archer 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | RSA Archer 账号的密码。 |
| 同步字段 | CSV | 不适用 | 是 | 指定需要同步的字段的英文逗号分隔列表 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,请验证与 RSA Archer 服务器的连接的 SSL 证书是否有效。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。