RSA NetWitness Platform
Integrationsversion: 11.0
RSA NetWitness Platform-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Broker-API-Stamm | String | http://x.x.x.x:50103 | Nein | API-Stammverzeichnis der Broker API. |
| Broker API Username | String | – | Nein | Nutzername für die Broker API. |
| Broker-API-Passwort | Passwort | – | Nein | Passwort für die Broker API. |
| Concentrator API-Stamm | String | http://x.x.x.x:50105 | Nein | API-Stammverzeichnis der Concentrator API. |
| Concentrator API-Nutzername | String | – | Nein | Nutzername für die Concentrator API. |
| Concentrator API-Passwort | Passwort | – | Nein | Passwort für die Concentrator API. |
| Web-API-Stamm | String | https://{ip}/rest/api/ | Nein | API-Stammverzeichnis der NetWitness Platform-Instanz. |
| Web-Nutzername | String | – | Nein | Nutzername für die NetWitness Platform-Instanz. |
| Webpasswort | Passwort | – | Nein | Passwort für die NetWitness Platform-Instanz. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum RSA NetWitness Platform-Server gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Verbindung zur RSA NetWitness Platform testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Endpunkt für die Anreicherung
Beschreibung
Systeminformationen des Abrufendpunkts anhand des Hostnamens oder der IP-Adresse abrufen. Erfordert eine RSA Netwitness Respond-Lizenz, einen im Hintergrund ausgeführten Endpunktserverdienst sowie einen konfigurierten Web-Benutzernamen und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Grenzwert für Risikobewertung | Ganzzahl | 50 | Falsch | Geben Sie den Risikoschwellenwert für den Endpunkt an. Wenn der Endpunkt den Schwellenwert überschreitet, wird die zugehörige Entität als verdächtig markiert. Wenn nichts angegeben ist, wird der Risikowert nicht geprüft. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Host
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| RSA_NTW_agentId | agentId | Wenn in JSON verfügbar |
| RSA_NTW_hostName | hostName | Wenn in JSON verfügbar |
| RSA_NTW_riskScore | riskScore | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_ipv4 | Durch Leerzeichen getrennte Liste networkInterfaces/ipv4 | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_ipv6 | Durch Leerzeichen getrennte Liste networkInterfaces/ipv6 | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | Durch Leerzeichen getrennte Liste von networkInterfaces/networkIdv6 | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_gateway | Durch Leerzeichen getrennte Liste von networkInterfaces/gateway | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_dns | Durch Leerzeichen getrennte Liste von networkInterfaces/dns | Wenn in JSON verfügbar |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | Wenn in JSON verfügbar |
| RSA_NTW_lastSeenTime | lastSeenTime | Wenn in JSON verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true): Print "Successfully enriched the following endpoints from RSA Netwitness: \n {0}".format(entity.identifier list) Wenn bestimmte Einheiten nicht angereichert werden können(is_success = true): Gib „Action was not able to enrich the following endpoints from RSA Netwitness \n: {0}“.format([entity.identifier]) aus. Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Ausgabe: „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Gibt „Error executing action ‚Enrich Endpoint‘“ (Fehler beim Ausführen der Aktion „Enrich Endpoint“) aus. Grund: {0}''.format(error.Stacktrace) Wenn der Endpunktdienst nicht gefunden wurde: Gibt „Error executing action ‚Enrich Endpoint‘“ (Fehler beim Ausführen der Aktion „Enrich Endpoint“) aus. Grund: Der Endpunktserver wurde nicht gefunden.“ |
Allgemein |
Datei anreichern
Beschreibung
Informationen zur Datei anhand von Hashes oder Dateinamen abrufen Es werden nur MD5 und SHA256 unterstützt. Erfordert eine RSA Netwitness Respond-Lizenz, einen im Hintergrund ausgeführten Endpunktserverdienst sowie einen konfigurierten Web-Nutzername und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Grenzwert für Risikobewertung | Ganzzahl | 50 | Nein | Geben Sie den Risikoschwellenwert für die Datei an. Wenn die Datei den Schwellenwert überschreitet, wird die zugehörige Einheit als verdächtig markiert. Wenn nichts angegeben ist, wird der Risikowert nicht geprüft. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| RSA_NTW_filename | firstFileName | Wenn in JSON verfügbar |
| RSA_NTW_reputationStatus | reputationStatus | Wenn in JSON verfügbar |
| RSA_NTW_globalRiskScore | globalRiskScore | Wenn in JSON verfügbar |
| RSA_NTW_machineOsType | machineOsType | Wenn in JSON verfügbar |
| RSA_NTW_size | Größe | Wenn in JSON verfügbar |
| RSA_NTW_checksumMd5 | checksumMd5 | Wenn in JSON verfügbar |
| RSA_NTW_checksumSha1 | checksumSha1 | Wenn in JSON verfügbar |
| RSA_NTW_checksumSha256 | checksumSha256 | Wenn in JSON verfügbar |
| RSA_NTW_entropy | Entropie | Wenn in JSON verfügbar |
| RSA_NTW_format | pe | Wenn in JSON verfügbar |
| RSA_NTW_fileStatus | Neutral | Wenn in JSON verfügbar |
| RSA_NTW_remediationAction | Blockierung aufheben | Wenn in JSON verfügbar |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Wenn bestimmte Entitäten nicht angereichert werden können(is_success = true) Wenn die Anreicherung für alle Entitäten fehlschlägt (is_success = false): Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: Gibt „Error executing action ‚Enrich File‘“ (Fehler beim Ausführen der Aktion ‚Datei anreichern‘) aus. Grund: {0}''.format(error.Stacktrace)
Gibt „Error executing action ‚Enrich File‘“ (Fehler beim Ausführen der Aktion ‚Datei anreichern‘) aus. Grund: Der Endpunktserver wurde nicht gefunden.“ |
Allgemein |
Endpunkt isolieren
Beschreibung
Fordern Sie die Isolierung des Endpunkts in RSA Netwitness an. Erfordert eine RSA Netwitness Respond-Lizenz, einen im Hintergrund ausgeführten Endpunktserverdienst sowie einen konfigurierten Web-Benutzernamen und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Ja | Fügen Sie einen Kommentar hinzu, in dem der Grund für den Isolierungsantrag beschrieben wird. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Host
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen. Wenn mindestens eine der bereitgestellten Entitäten nicht isoliert werden kann(is_success = false): Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: Gibt „Error executing action ‚Isolate Endpoint‘“ (Fehler beim Ausführen der Aktion ‚Endpunkt isolieren‘) aus. Grund: {0}''.format(error.Stacktrace) Wenn der Endpunktdienst nicht gefunden wurde: Gibt „Error executing action ‚Isolate Endpoint‘“ (Fehler beim Ausführen der Aktion ‚Endpunkt isolieren‘) aus. Grund: Der Endpunktserver wurde nicht gefunden.“ |
Allgemein |
Endpunkt isolieren
Beschreibung
Fordern Sie die Aufhebung der Isolation des Endpunkts in RSA NetWitness an. Erfordert eine RSA Netwitness Respond-Lizenz, einen im Hintergrund ausgeführten Endpunktserverdienst sowie einen konfigurierten Web-Benutzernamen und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Ja | Fügen Sie einen Kommentar hinzu, in dem der Grund für den Isolierungsantrag beschrieben wird. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Host
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Wenn mindestens eine der bereitgestellten Entitäten nicht isoliert werden kann(is_success = false): Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: Gibt „Error executing action ‚Unisolate Endpoint‘“ (Fehler beim Ausführen der Aktion „Unisolate Endpoint“) aus. Grund: {0}''.format(error.Stacktrace) Wenn der Endpunktdienst nicht gefunden wurde: Gibt „Error executing action ‚Unisolate Endpoint‘“ (Fehler beim Ausführen der Aktion „Unisolate Endpoint“) aus. Grund: Der Endpunktserver wurde nicht gefunden.“ |
Allgemein |
Vorfall aktualisieren
Beschreibung
Aktualisieren Sie den Vorfall in RSA NetWitness. Erfordert eine RSA Netwitness Respond-Lizenz, einen konfigurierten Web-Nutzernamen und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorfall-ID | String | – | Ja | Geben Sie die ID des Vorfalls an, der aktualisiert werden muss. |
| Status | DDL | – | Nein | Geben Sie den neuen Status für den Vorfall an. |
| Zuständige Person | String | – | Nein | Geben Sie einen neuen Bearbeiter für den Vorfall an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn status_code == 200 (is_success = true): Gibt „Successfully updated incident with ID {0} in RSA Netwitness“ (Vorfall mit der ID {0} in RSA Netwitness wurde aktualisiert) aus.format(incident_id) zurück. Bei Statuscode 400 (is_success=false): Gib Folgendes aus: „Die Aktion konnte den Vorfall mit der ID {0} in RSA NetWitness nicht aktualisieren. Grund: {1}".format(incident_id, errors/message). Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: Gibt „Fehler beim Ausführen der Aktion ‚Vorfall aktualisieren‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Notiz zum Vorfall hinzufügen
Beschreibung
Fügen Sie dem Vorfall in RSA NetWitness eine Notiz hinzu. Erfordert eine RSA Netwitness Respond-Lizenz, einen konfigurierten Web-Nutzernamen und ein konfiguriertes Web-Passwort in der Integrationskonfiguration.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorfall-ID | String | – | Ja | Geben Sie die ID des Vorfalls an, der aktualisiert werden muss. |
| Hinweis | String | – | Ja | Geben Sie an, welcher Notiz der Text hinzugefügt werden soll. |
| Autor | String | – | Ja | Geben Sie den Autor der Notiz an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn status_code == 200 (is_success = true): Gib „Successfully added note to incident with ID {0} in RSA Netwitness“ aus.format(incident_id) aus. Bei Statuscode 400 (is_success=false): Gibt Folgendes aus: „Die Aktion konnte dem Vorfall mit der ID {0} in RSA NetWitness keine Notiz hinzufügen. Grund: {1}".format(incident_id, errors/message). Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: Gibt „Fehler beim Ausführen der Aktion ‚Notiz zum Vorfall hinzufügen‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Connector
RSA Netwitness Platform – Incidents Connector
Beschreibung
Vorfälle aus der RSA Netwitness Platform abrufen.
Mit dem JSON-Objekt für Anmeldedaten arbeiten
Das JSON-Objekt für Anmeldedaten bietet eine flexiblere Möglichkeit zur Authentifizierung bei den Datenquellen. Die einfachste Konfiguration des JSON-Codes sieht so aus:
{
"default_username": "username",
"default_password": "password"
}
Ohne „default_username“ und „default_password“ gibt der Connector einen Fehler aus. Diese Konfiguration eignet sich für Umgebungen, in denen alle Datenquellen denselben Nutzernamen und dasselbe Passwort verwenden. Wenn Sie bestimmte Anmeldedaten für die Datenquellen angeben müssen, sieht die Struktur des JSON so aus:
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
Der Connector scannt die Ereignisse nach dem API-Quellstamm und vergleicht sie dann mit den Informationen im JSON-Objekt für Anmeldedaten. Wenn eine Übereinstimmung gefunden wird, verwendet der Connector den Nutzernamen und das Passwort aus der Liste „dataSources“. Wenn keine Übereinstimmung gefunden wird, werden „default_username“ und „default_password“ verwendet. Außerdem müssen Sie in der Liste „dataSources“ nicht sowohl den Nutzernamen als auch das Passwort angeben. Wenn beispielsweise nur der Nutzername angegeben wird, übernimmt der Connector den Nutzernamen aus der Liste „dataSource“ und das Passwort aus „default_password“.
RSA Netwitness Platform – Incidents Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| Web-API-Stamm | String | https://{ip}/rest/api/ | Ja | Web-API-Stammverzeichnis der RSA NetWitness Platform-Instanz. |
| Web-Nutzername | String | – | Ja | Nutzername des RSA NetWitness Platform-Kontos. |
| Webpasswort | Passwort | – | Ja | Das Passwort für das RSA Netwitness Platform-Konto. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Vorfälle abgerufen werden sollen. Hinweis: Der Connector wartet die angegebene Zeit, bis Vorfälle aktualisiert werden. |
| Niedrigste abzurufende Risikobewertung | Ganzzahl | – | Nein | Niedrigster Risikowert der abzurufenden Vorfälle. Standardmäßig werden alle Vorfälle aufgenommen.Das Maximum liegt bei 100. |
| Fallback für Schweregrad | String | Informationell | Ja | Geben Sie an, welcher Schweregrad für die Google SecOps-Benachrichtigung verwendet werden soll, wenn kein Risikowert verfügbar ist. Mögliche Werte: „Informational“, „Low“, „Medium“, „High“, „Critical“. |
| Maximale Anzahl abzurufender Vorfälle | Ganzzahl | 10 | Nein | Die Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen. Der Höchstwert beträgt 100. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum RSA NetWitness Platform-Server gültig ist. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. | |
| JSON-Objekt für Anmeldedaten | Passwort | – | Nein | Dieser Parameter ist erforderlich, um die Anmeldedaten der Datenquelle zu speichern. Dieser Parameter hat Priorität gegenüber „Broker API Root“, „Broker API Username“, „Broker API Password“, „Concentrator API Root“, „Concentrator API Username“ und „Concentrator API Password“. Weitere Informationen finden Sie im Dokumentationsportal. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten