RSA NetWitness Platform
통합 버전: 11.0
Google Security Operations에서 RSA NetWitness Platform 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 브로커 API 루트 | 문자열 | http://x.x.x.x:50103 | 아니요 | 브로커 API의 API 루트입니다. |
| 브로커 API 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 브로커 API의 사용자 이름입니다. |
| 브로커 API 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 브로커 API의 비밀번호입니다. |
| 집중 장치 API 루트 | 문자열 | http://x.x.x.x:50105 | 아니요 | 컨센트레이터 API의 API 루트입니다. |
| 집중 장치 API 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 컨센트레이터 API의 사용자 이름입니다. |
| 컨센트레이터 API 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 컨센트레이터 API의 비밀번호입니다. |
| Web API 루트 | 문자열 | https://{ip}/rest/api/ | 아니요 | Netwitness Platform 인스턴스의 API 루트입니다. |
| 웹 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | Netwitness Platform 인스턴스의 사용자 이름입니다. |
| 웹 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | Netwitness Platform 인스턴스의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 RSA Netwitness Platform 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
RSA Netwitness Platform에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
엔드포인트 보강
설명
호스트 이름 또는 IP 주소로 엔드포인트의 시스템 정보를 가져옵니다. RSA Netwitness Respond 라이선스, 백그라운드에서 실행되는 엔드포인트 서버 서비스, 통합 구성에 구성된 웹 사용자 이름 및 웹 비밀번호가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위험 점수 기준 | 정수 | 50 | 거짓 | 엔드포인트의 위험 임계값을 지정합니다. 엔드포인트가 임계값을 초과하면 관련 항목이 의심스러운 것으로 표시됩니다. 아무것도 지정하지 않으면 작업에서 위험 점수를 확인하지 않습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| RSA_NTW_agentId | agentId | JSON으로 제공되는 경우 |
| RSA_NTW_hostName | hostName | JSON으로 제공되는 경우 |
| RSA_NTW_riskScore | riskScore | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_ipv4 | 공백으로 구분된 networkInterfaces/ipv4 목록 | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_ipv6 | 공백으로 구분된 networkInterfaces/ipv6 목록 | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | 공백으로 구분된 networkInterfaces/networkIdv6 목록 | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_gateway | 공백으로 구분된 networkInterfaces/gateway 목록 | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_dns | 공백으로 구분된 networkInterfaces/dns 목록 | JSON으로 제공되는 경우 |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | JSON으로 제공되는 경우 |
| RSA_NTW_lastSeenTime | lastSeenTime | JSON으로 제공되는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우 (is_success = true): 'RSA Netwitness에서 다음 엔드포인트를 보강했습니다.\n {0}'.format(entity.identifier list)를 출력합니다. 특정 항목을 보강하지 못한 경우(is_success = true): '작업이 RSA Netwitness에서 다음 엔드포인트를 보강할 수 없습니다.\n: {0}'.format([entity.identifier])을 출력합니다. 모든 항목을 보강하지 못한 경우 (is_success = false): '보강된 항목이 없습니다' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. '엔드포인트 보강' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) 엔드포인트 서비스를 찾을 수 없는 경우: '엔드포인트 보강' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: 엔드포인트 서버를 찾을 수 없습니다.' |
일반 |
파일 보강
설명
해시 또는 파일 이름을 사용하여 파일에 관한 정보를 가져옵니다. MD5 및 SHA256만 지원됩니다. RSA Netwitness Respond 라이선스, 백그라운드에서 실행되는 엔드포인트 서버 서비스, 통합 구성에 구성된 웹 사용자 이름 및 웹 비밀번호가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위험 점수 기준 | 정수 | 50 | 아니요 | 파일의 위험 기준을 지정합니다. 파일이 임곗값을 초과하면 관련 항목이 의심스러운 것으로 표시됩니다. 아무것도 지정하지 않으면 작업에서 위험 점수를 확인하지 않습니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| RSA_NTW_filename | firstFileName | JSON으로 제공되는 경우 |
| RSA_NTW_reputationStatus | reputationStatus | JSON으로 제공되는 경우 |
| RSA_NTW_globalRiskScore | globalRiskScore | JSON으로 제공되는 경우 |
| RSA_NTW_machineOsType | machineOsType | JSON으로 제공되는 경우 |
| RSA_NTW_size | 크기 | JSON으로 제공되는 경우 |
| RSA_NTW_checksumMd5 | checksumMd5 | JSON으로 제공되는 경우 |
| RSA_NTW_checksumSha1 | checksumSha1 | JSON으로 제공되는 경우 |
| RSA_NTW_checksumSha256 | checksumSha256 | JSON으로 제공되는 경우 |
| RSA_NTW_entropy | 엔트로피 | JSON으로 제공되는 경우 |
| RSA_NTW_format | pe | JSON으로 제공되는 경우 |
| RSA_NTW_fileStatus | 보통 | JSON으로 제공되는 경우 |
| RSA_NTW_remediationAction | 차단 해제 | JSON으로 제공되는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 특정 항목을 보강할 수 없는 경우(is_success = true): 모든 항목을 보강할 수 없는 경우 (is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '파일 보강' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)
'파일 보강' 작업 실행 중에 오류가 발생했습니다. 이유: 엔드포인트 서버를 찾을 수 없습니다.' |
일반 |
엔드포인트 격리
설명
RSA Netwitness에서 엔드포인트 격리를 요청합니다. RSA Netwitness Respond 라이선스, 백그라운드에서 실행되는 엔드포인트 서버 서비스, 통합 구성에 구성된 웹 사용자 이름 및 웹 비밀번호가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 격리 요청의 이유를 설명하는 의견을 추가합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 제공된 항목 중 하나 이상을 격리할 수 없는 경우(is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '엔드포인트 격리' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) 엔드포인트 서비스를 찾을 수 없는 경우: '엔드포인트 격리' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: 엔드포인트 서버를 찾을 수 없습니다.' |
일반 |
엔드포인트 격리 해제
설명
RSA Netwitness에서 엔드포인트 격리 해제를 요청합니다. RSA Netwitness Respond 라이선스, 백그라운드에서 실행되는 엔드포인트 서버 서비스, 통합 구성에 구성된 웹 사용자 이름 및 웹 비밀번호가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 격리 요청의 이유를 설명하는 의견을 추가합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 제공된 항목 중 하나 이상을 격리하지 못한 경우(is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: '엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) 엔드포인트 서비스를 찾을 수 없는 경우: '엔드포인트 격리 해제' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: 엔드포인트 서버를 찾을 수 없습니다.' |
일반 |
사고 업데이트
설명
RSA Netwitness에서 인시던트를 업데이트합니다. 통합 구성에 구성된 RSA Netwitness Respond 라이선스, 웹 사용자 이름, 웹 비밀번호가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 사고 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 인시던트의 ID를 지정합니다. |
| 상태 | DDL | 해당 사항 없음 | 아니요 | 인시던트의 새 상태를 지정합니다. |
| 담당자 | 문자열 | 해당 사항 없음 | 아니요 | 인시던트의 새 담당자를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 == 200인 경우 (is_success = true): "RSA Netwitness에서 ID가 {0}인 인시던트를 업데이트했습니다.".format(incident_id)를 출력합니다. 상태 코드 400인 경우 (is_success=false): '작업이 RSA Netwitness에서 ID {0}인 인시던트를 업데이트할 수 없습니다. 이유: {1}".format(incident_id, errors/message). 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '인시던트 업데이트' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
인시던트에 메모 추가
설명
RSA Netwitness의 인시던트에 메모를 추가합니다. 통합 구성에 구성된 웹 사용자 이름과 웹 비밀번호가 있는 RSA Netwitness Respond 라이선스가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 사고 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 인시던트의 ID를 지정합니다. |
| 참고 | 문자열 | 해당 사항 없음 | 예 | 추가할 메모를 지정합니다. |
| 작성자 | 문자열 | 해당 사항 없음 | 예 | 메모의 작성자를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 == 200인 경우 (is_success = true): 'RSA Netwitness에서 ID가 {0}인 인시던트에 메모를 추가했습니다.'.format(incident_id)를 출력합니다. 상태 코드 400인 경우 (is_success=false): '작업이 RSA Netwitness에서 ID가 {0}인 인시던트에 메모를 추가할 수 없습니다. 이유: {1}".format(incident_id, errors/message). 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '인시던트에 메모 추가' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
커넥터
RSA Netwitness Platform - Incidents Connector(RSA Netwitness 플랫폼 - 인시던트 커넥터)
설명
RSA Netwitness Platform에서 인시던트를 가져옵니다.
사용자 인증 정보 JSON 객체로 작업하는 방법
사용자 인증 정보 JSON 객체는 데이터 소스를 인증하는 더 유연한 방법을 제공합니다. JSON의 가장 기본적인 구성은 다음과 같습니다.
{
"default_username": "username",
"default_password": "password"
}
'default_username' 및 'default_password'가 없으면 커넥터에서 오류가 발생합니다. 이 구성은 모든 데이터 소스가 동일한 사용자 이름과 비밀번호를 공유하는 환경에 적합합니다. 데이터 소스에 특정 사용자 인증 정보를 제공해야 하는 경우 JSON 구조는 다음과 같습니다.
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
커넥터는 이벤트에서 소스 API 루트를 스캔한 다음, 인증 정보 JSON 객체에서 사용 가능한 항목과 비교합니다. 일치하는 항목이 있으면 커넥터는 'dataSources' 목록에서 사용자 이름과 비밀번호를 가져옵니다. 일치하는 항목이 없으면 'default_username'과 default_password를 사용합니다. 또한 'dataSources' 목록에 사용자 이름과 비밀번호를 모두 제공하지 않아도 됩니다. 예를 들어 사용자 이름만 제공된 경우 커넥터는 'dataSource' 목록에서 사용자 이름을 가져오고 'default_password'에서 비밀번호를 가져옵니다.
Google SecOps에서 RSA Netwitness Platform - Incidents Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| Web API 루트 | 문자열 | https://{ip}/rest/api/ | 예 | RSA Netwitness Platform 인스턴스의 웹 API 루트입니다. |
| 웹 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | RSA Netwitness Platform 계정의 사용자 이름입니다. |
| 웹 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | RSA Netwitness Platform 계정의 비밀번호입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 인시던트를 가져올 위치의 시간입니다. 참고: 커넥터는 제공된 시간 동안 인시던트 업데이트를 기다립니다. |
| 가져올 가장 낮은 위험 점수 | 정수 | 해당 사항 없음 | 아니요 | 가져올 인시던트의 가장 낮은 위험 점수입니다. 기본적으로 커넥터는 모든 인시던트를 수집합니다.최대값은 100입니다. |
| 심각도 대체 | 문자열 | 정보 제공 | 예 | 위험 점수를 사용할 수 없는 경우 Google SecOps 알림의 대체 심각도를 지정합니다. 가능한 값: Informational, Low, Medium, High, Critical |
| 가져올 최대 인시던트 수 | 정수 | 10 | 아니요 | 커넥터 반복당 처리할 인시던트 수입니다. 최대는 100입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 RSA Netwitness Platform 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 아니요 | 사용할 프록시 서버의 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 아니요 | 인증할 프록시 사용자 이름입니다. | |
| 프록시 비밀번호 | 비밀번호 | 아니요 | 인증할 프록시 비밀번호입니다. | |
| 사용자 인증 정보 JSON 객체 | 비밀번호 | 해당 사항 없음 | 아니요 | 이 매개변수는 데이터 소스 사용자 인증 정보를 저장하는 데 필요합니다. 이 매개변수는 '브로커 API 루트', '브로커 API 사용자 이름', '브로커 API 비밀번호', '컨센트레이터 API 루트', '컨센트레이터 API 사용자 이름', '컨센트레이터 API 비밀번호'보다 우선합니다. 자세한 내용은 문서 포털을 참고하세요. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.