RSA NetWitness Platform
統合バージョン: 11.0
Google Security Operations で RSA NetWitness Platform の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| ブローカー API ルート | 文字列 | http://x.x.x.x:50103 | いいえ | Broker API の API ルート。 |
| Broker API Username | 文字列 | なし | いいえ | Broker API のユーザー名。 |
| Broker API Password | パスワード | なし | いいえ | Broker API のパスワード。 |
| Concentrator API ルート | 文字列 | http://x.x.x.x:50105 | いいえ | Concentrator API の API ルート。 |
| Concentrator API のユーザー名 | 文字列 | なし | いいえ | Concentrator API のユーザー名。 |
| Concentrator API Password | パスワード | なし | いいえ | Concentrator API のパスワード。 |
| Web API ルート | 文字列 | https://{ip}/rest/api/ | いいえ | Netwitness Platform インスタンスの API ルート。 |
| ウェブ ユーザー名 | 文字列 | なし | いいえ | Netwitness Platform インスタンスのユーザー名。 |
| ウェブ パスワード | パスワード | なし | いいえ | Netwitness Platform インスタンスのパスワード。 |
| SSL を確認する | チェックボックス | オフ | いいえ | 有効にすると、RSA Netwitness Platform サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
RSA Netwitness Platform への接続性をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
エンドポイントを拡充する
説明
ホスト名または IP アドレスでエンドポイントのシステム情報を取得します。RSA Netwitness Respond ライセンス、バックグラウンドで実行されているエンドポイント サーバー サービス、統合構成で構成されたウェブ ユーザー名とウェブ パスワードが必要です。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リスクスコアのしきい値 | Integer | 50 | 誤り | エンドポイントのリスクしきい値を指定します。エンドポイントがしきい値を超えると、関連するエンティティが不審としてマークされます。何も指定しない場合、アクションはリスクスコアをチェックしません。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| RSA_NTW_agentId | agentId | JSON で利用可能な場合 |
| RSA_NTW_hostName | hostName | JSON で利用可能な場合 |
| RSA_NTW_riskScore | riskScore | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_ipv4 | スペース区切りのリスト networkInterfaces/ipv4 | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_ipv6 | スペースで区切られた networkInterfaces/ipv6 のリスト | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | スペース区切りの networkInterfaces/networkIdv6 のリスト | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_gateway | スペース区切りの networkInterfaces/gateway のリスト | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_dns | スペース区切りの networkInterfaces/dns のリスト | JSON で利用可能な場合 |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | JSON で利用可能な場合 |
| RSA_NTW_lastSeenTime | lastSeenTime | JSON で利用可能な場合 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合(is_success = true): 「Successfully enriched the following endpoints from RSA Netwitness: \n {0}」と出力します。format(entity.identifier リスト) 特定のエンティティの拡充に失敗した場合(is_success = true): 「Action was not able to enrich the following endpoints from RSA Netwitness \n: {0}」を出力します。format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): 「拡充されたエンティティはありません」と出力します。 アクションが失敗し、ハンドブックの実行が停止します: 「エンドポイントの拡充」アクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) エンドポイント サービスが見つからなかった場合: 「エンドポイントの拡充」アクションの実行中にエラーが発生しました。理由: エンドポイント サーバーが見つかりませんでした。」 |
全般 |
ファイルを拡充する
説明
ハッシュまたはファイル名を使用して、ファイルに関する情報を取得します。MD5 と SHA256 のみがサポートされています。RSA Netwitness Respond ライセンス、バックグラウンドで実行されているエンドポイント サーバー サービス、統合構成で構成されたウェブ ユーザー名とウェブ パスワードが必要です。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リスクスコアのしきい値 | Integer | 50 | いいえ | ファイルのリスクしきい値を指定します。ファイルがしきい値を超えると、関連するエンティティが不審としてマークされます。何も指定しない場合、アクションはリスクスコアをチェックしません。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| RSA_NTW_filename | firstFileName | JSON で利用可能な場合 |
| RSA_NTW_reputationStatus | reputationStatus | JSON で利用可能な場合 |
| RSA_NTW_globalRiskScore | globalRiskScore | JSON で利用可能な場合 |
| RSA_NTW_machineOsType | machineOsType | JSON で利用可能な場合 |
| RSA_NTW_size | サイズ | JSON で利用可能な場合 |
| RSA_NTW_checksumMd5 | checksumMd5 | JSON で利用可能な場合 |
| RSA_NTW_checksumSha1 | checksumSha1 | JSON で利用可能な場合 |
| RSA_NTW_checksumSha256 | checksumSha256 | JSON で利用可能な場合 |
| RSA_NTW_entropy | エントロピー | JSON で利用可能な場合 |
| RSA_NTW_format | pe | JSON で利用可能な場合 |
| RSA_NTW_fileStatus | どちらとも言えない | JSON で利用可能な場合 |
| RSA_NTW_remediationAction | ブロックを解除 | JSON で利用可能な場合 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 特定のエンティティの拡充に失敗した場合(is_success = true): すべてのエンティティの拡充に失敗した場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「Error executing action "Enrich File". 理由: {0}」.format(error.Stacktrace)
「Error executing action "Enrich File". 理由: エンドポイント サーバーが見つかりませんでした。」 |
全般 |
エンドポイントを隔離する
説明
RSA Netwitness でエンドポイントの分離をリクエストします。RSA Netwitness Respond ライセンス、バックグラウンドで実行されているエンドポイント サーバー サービス、統合構成で構成されたウェブ ユーザー名とウェブ パスワードが必要です。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コメント | 文字列 | なし | はい | 分離リクエストの理由を説明するコメントを追加します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 指定されたエンティティの少なくとも 1 つを隔離できなかった場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「エラー実行アクション「エンドポイントの分離」」を出力します。理由: {0}」.format(error.Stacktrace) エンドポイント サービスが見つからなかった場合: 「エラー実行アクション「エンドポイントの分離」」を出力します。理由: エンドポイント サーバーが見つかりませんでした。」 |
全般 |
エンドポイントの分離を解除する
説明
RSA Netwitness でエンドポイントの分離を解除します。RSA Netwitness Respond ライセンス、バックグラウンドで実行されているエンドポイント サーバー サービス、統合構成で構成されたウェブ ユーザー名とウェブ パスワードが必要です。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コメント | 文字列 | なし | はい | 分離リクエストの理由を説明するコメントを追加します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 指定されたエンティティの少なくとも 1 つを分離できなかった場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「Error executing action "Unisolate Endpoint". 理由: {0}」.format(error.Stacktrace) エンドポイント サービスが見つからなかった場合: 「Error executing action "Unisolate Endpoint". 理由: エンドポイント サーバーが見つかりませんでした。」 |
全般 |
インシデントを更新
説明
RSA Netwitness のインシデントを更新します。RSA Netwitness Respond ライセンスが必要です。統合構成でウェブのユーザー名とウェブのパスワードが構成されている必要があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント ID | 文字列 | なし | はい | 更新する必要があるインシデントの ID を指定します。 |
| ステータス | DDL | なし | いいえ | インシデントの新しいステータスを指定します。 |
| 割り当て先 | 文字列 | なし | いいえ | インシデントの新しい割り当て先を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 status code == 200(is_success = true)の場合: 「RSA Netwitness で ID {0} のインシデントを更新しました」と出力します。format(incident_id)。 ステータス コード 400(is_success=false)の場合: 「Action wasn't able to update incident with ID {0} in RSA Netwitness.」を出力します。理由: {1}".format(incident_id, errors/message). アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「エラー実行中のアクション「インシデントを更新」」を出力します。理由: {0}''.format(error.Stacktrace) |
全般 |
インシデントにメモを追加する
説明
RSA Netwitness のインシデントにメモを追加します。RSA Netwitness Respond ライセンスが必要です。統合構成でウェブのユーザー名とウェブのパスワードが構成されている必要があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント ID | 文字列 | なし | はい | 更新する必要があるインシデントの ID を指定します。 |
| 注 | 文字列 | なし | はい | 追加先のメモを指定します。 |
| 著者 | 文字列 | なし | はい | メモの作成者を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 status code == 200(is_success = true)の場合: 「Successfully added note to incident with ID {0} in RSA Netwitness」を出力します。 ステータス コード 400(is_success=false)の場合: 「Action wasn't able to add note to incident with ID {0} in RSA Netwitness.」を出力します。理由: {1}".format(incident_id, errors/message). アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合: 「インシデントにメモを追加」アクションの実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
コネクタ
RSA Netwitness Platform - インシデント コネクタ
説明
RSA Netwitness Platform からインシデントを取得します。
認証情報 JSON オブジェクトの使用方法
認証情報 JSON オブジェクトを使用すると、データソースに対する認証をより柔軟に行うことができます。JSON の最も基本的な構成は次のようになります。
{
"default_username": "username",
"default_password": "password"
}
「default_username」と「default_password」がない場合、コネクタはエラーをスローします。この構成は、すべてのデータソースで同じユーザー名とパスワードを共有する環境に適しています。データソースに特定の認証情報を提供する必要がある場合、JSON の構造は次のようになります。
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
コネクタは、イベントでソース API ルートをスキャンし、認証情報 JSON オブジェクトで使用可能なものと比較します。一致するものが見つかった場合、コネクタは「dataSources」リストからユーザー名とパスワードを取得します。一致するものがない場合は、「default_username」と default_password を使用します。また、[dataSources] リストにユーザー名とパスワードの両方を指定する必要はありません。たとえば、ユーザー名のみが指定されている場合、コネクタは「dataSource」リストからユーザー名を取得し、「default_password」からパスワードを取得します。
Google SecOps で RSA Netwitness Platform - Incidents Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| Web API ルート | 文字列 | https://{ip}/rest/api/ | はい | RSA Netwitness Platform インスタンスの Web API ルート。 |
| ウェブ ユーザー名 | 文字列 | なし | はい | RSA Netwitness Platform アカウントのユーザー名。 |
| ウェブ パスワード | パスワード | なし | はい | RSA Netwitness Platform アカウントのパスワード。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | インシデントを取得した時点からの経過時間数。注: コネクタは、インシデントの更新のために指定された時間だけ待機します。 |
| 取得する最小のリスクスコア | 整数 | なし | いいえ | 取得するインシデントの最小リスクスコア。デフォルトでは、コネクタはすべてのインシデントを取り込みます。最大値は 100 です。 |
| 重大度のフォールバック | 文字列 | 情報 | はい | リスクスコアが利用できない場合に、Google SecOps アラートのフォールバックの重大度を指定します。有効な値: 情報、低、中、高、重大。 |
| 取得する最大インシデント数 | Integer | 10 | いいえ | 1 回のコネクタのイテレーションで処理するインシデントの数。最大値は 100 です。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | はい | 有効になっている場合は、RSA Netwitness Platform サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 | |
| 認証情報の JSON オブジェクト | パスワード | なし | いいえ | このパラメータは、データソースの認証情報を保存するために必要です。このパラメータは、[Broker API Root]、[Broker API Username]、[Broker API Password]、[Concentrator API Root]、[Concentrator API Username]、[Concentrator API Password] よりも優先されます。詳しくは、ドキュメント ポータルをご覧ください。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。