RSA NetWitness Platform
Versão da integração: 11.0
Configurar a integração da plataforma RSA NetWitness no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API do corretor | String | http://x.x.x.x:50103 | Não | Raiz da API Broker. |
| Nome de usuário da API Broker | String | N/A | Não | Nome de usuário da API Broker. |
| Senha da API do corretor | Senha | N/A | Não | Senha da API Broker. |
| Raiz da API do concentrador | String | http://x.x.x.x:50105 | Não | Raiz da API Concentrator. |
| Nome de usuário da API do concentrador | String | N/A | Não | Nome de usuário da API Concentrator. |
| Senha da API do concentrador | Senha | N/A | Não | Senha da API Concentrator. |
| Raiz da API da Web | String | https://{ip}/rest/api/ | Não | Raiz da API da instância da plataforma Netwitness. |
| Nome de usuário da Web | String | N/A | Não | Nome de usuário da instância da plataforma Netwitness. |
| Senha da Web | Senha | N/A | Não | Senha da instância da plataforma Netwitness. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor da plataforma RSA Netwitness é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com a plataforma RSA NetWitness.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Endpoint de enriquecimento
Descrição
Extrai as informações do sistema do endpoint pelo nome do host ou endereço IP. Requer uma licença do RSA Netwitness Respond, um serviço de servidor de endpoint em execução em segundo plano e um nome de usuário e uma senha da Web configurados na configuração da integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | Número inteiro | 50 | Falso | Especifique o limite de risco para o endpoint. Se o endpoint exceder o limite, a entidade relacionada será marcada como suspeita. Se nada for especificado, a ação não vai verificar a pontuação de risco. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| RSA_NTW_agentId | agentId | Quando disponível em JSON |
| RSA_NTW_hostName | hostName | Quando disponível em JSON |
| RSA_NTW_riskScore | riskScore | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_ipv4 | Lista separada por espaços networkInterfaces/ipv4 | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_ipv6 | Lista separada por espaços networkInterfaces/ipv6 | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | Lista separada por espaços networkInterfaces/networkIdv6 | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_gateway | Lista separada por espaços networkInterfaces/gateway | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_dns | Lista separada por espaços networkInterfaces/dns | Quando disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | Quando disponível em JSON |
| RSA_NTW_lastSeenTime | lastSeenTime | Quando disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas tiver sido enriquecida (is_success = true): Imprima "Os seguintes endpoints do RSA Netwitness foram enriquecidos: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Print "Action was not able to enrich the following endpoints from RSA Netwitness \n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Imprima "Erro ao executar a ação "Enriquecer endpoint". Motivo: {0}''.format(error.Stacktrace) Se o serviço de endpoint não foi encontrado: Imprima "Erro ao executar a ação "Enriquecer endpoint". Motivo: o servidor de endpoint não foi encontrado." |
Geral |
Enriquecer arquivo
Descrição
Extrair informações sobre o arquivo usando hashes ou nomes de arquivos. Somente MD5 e SHA256 são compatíveis. Requer uma licença do RSA Netwitness Respond, um serviço de servidor de endpoint em execução em segundo plano e um nome de usuário e senha da Web configurados na configuração de integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | Número inteiro | 50 | Não | Especifique o limite de risco para o arquivo. Se o arquivo exceder o limite, a entidade relacionada será marcada como suspeita. Se nada for especificado, a ação não vai verificar a pontuação de risco. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| RSA_NTW_filename | firstFileName | Quando disponível em JSON |
| RSA_NTW_reputationStatus | reputationStatus | Quando disponível em JSON |
| RSA_NTW_globalRiskScore | globalRiskScore | Quando disponível em JSON |
| RSA_NTW_machineOsType | machineOsType | Quando disponível em JSON |
| RSA_NTW_size | tamanho | Quando disponível em JSON |
| RSA_NTW_checksumMd5 | checksumMd5 | Quando disponível em JSON |
| RSA_NTW_checksumSha1 | checksumSha1 | Quando disponível em JSON |
| RSA_NTW_checksumSha256 | checksumSha256 | Quando disponível em JSON |
| RSA_NTW_entropy | entropia | Quando disponível em JSON |
| RSA_NTW_format | pe | Quando disponível em JSON |
| RSA_NTW_fileStatus | Neutro | Quando disponível em JSON |
| RSA_NTW_remediationAction | Desbloquear | Quando disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível enriquecer entidades específicas(is_success = true): Se não for possível enriquecer todas as entidades (is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Enriquecer arquivo". Motivo: {0}''.format(error.Stacktrace)
Imprima "Erro ao executar a ação "Enriquecer arquivo". Motivo: o servidor de endpoint não foi encontrado." |
Geral |
Isolar endpoint
Descrição
Solicite o isolamento de endpoints no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, um serviço de servidor de endpoint em execução em segundo plano e um nome de usuário e senha da Web configurados na configuração de integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Adicione um comentário que descreva o motivo da solicitação de isolamento. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível isolar pelo menos uma das entidades fornecidas(is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Isolar endpoint". Motivo: {0}''.format(error.Stacktrace) Se o serviço de endpoint não foi encontrado: Imprima "Erro ao executar a ação "Isolar endpoint". Motivo: o servidor de endpoint não foi encontrado." |
Geral |
Isolar endpoint
Descrição
Solicite o fim do isolamento de endpoint no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, um serviço de servidor de endpoint em execução em segundo plano e um nome de usuário e senha da Web configurados na configuração de integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Adicione um comentário que descreva o motivo da solicitação de isolamento. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não for possível isolar pelo menos uma das entidades fornecidas(is_success = false): A ação precisa falhar e interromper a execução de um playbook: Se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Isolar endpoint". Motivo: {0}''.format(error.Stacktrace) Se o serviço de endpoint não foi encontrado: Imprima "Erro ao executar a ação "Isolar endpoint". Motivo: o servidor de endpoint não foi encontrado." |
Geral |
Atualizar incidente
Descrição
Atualizar incidente no RSA Netwitness. Requer uma licença do RSA Netwitness Respond e um nome de usuário e senha da Web configurados na configuração da integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código do incidente | String | N/A | Sim | Especifique o ID do incidente que precisa ser atualizado. |
| Status | DDL | N/A | Não | Especifique o novo status do incidente. |
| Responsável | String | N/A | Não | Especifique um novo atribuidor para o incidente. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: If status code == 200 (is_success = true): Print "Successfully updated incident with ID {0} in RSA Netwitness".format(incident_id). Se o código de status for 400 (is_success=false): Imprima "Não foi possível atualizar o incidente com ID {0} no RSA Netwitness. Motivo: {1}".format(incident_id, errors/message). A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Atualizar incidente". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar observação ao incidente
Descrição
Adicione uma observação ao incidente no RSA Netwitness. Exige uma licença do RSA Netwitness Respond e um nome de usuário e senha da Web configurados na configuração de integração.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código do incidente | String | N/A | Sim | Especifique o ID do incidente que precisa ser atualizado. |
| Observação | String | N/A | Sim | Especifique a nota a ser adicionada. |
| Autor | String | N/A | Sim | Especifique o autor da observação. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: If status code == 200 (is_success = true): Print "Successfully added note to incident with ID {0} in RSA Netwitness".format(incident_id). Se o código de status for 400 (is_success=false): Imprima "Não foi possível adicionar uma observação ao incidente com ID {0} no RSA Netwitness. Motivo: {1}".format(incident_id, errors/message). A ação precisa falhar e interromper a execução de um playbook: Se o erro for fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Adicionar nota ao incidente". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Conector
RSA Netwitness Platform - Conector de incidentes
Descrição
Extrai incidentes da plataforma RSA Netwitness.
Como trabalhar com o objeto JSON de credenciais
O objeto JSON de credencial oferece uma maneira mais flexível de autenticar as fontes de dados. A configuração mais básica do JSON será assim:
{
"default_username": "username",
"default_password": "password"
}
Sem "default_username" e "default_password", o conector vai gerar um erro. Essa configuração é adequada para ambientes em que todas as fontes de dados compartilham o mesmo nome de usuário e senha. Se você precisar fornecer credenciais específicas para as fontes de dados, a estrutura do JSON será assim:
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
O conector vai verificar os eventos da raiz da API de origem e compará-los com o que está disponível no objeto JSON de credencial. Se a correspondência for encontrada, o conector vai usar o nome de usuário e a senha da lista "dataSources". Se não houver correspondência, ele vai usar "default_username" e "default_password". Além disso, não é necessário informar o nome de usuário e a senha na lista "dataSources". Por exemplo, se apenas o nome de usuário for fornecido, o conector vai usar o nome de usuário da lista "dataSource" e a senha de "default_password".
Configurar o conector de incidentes da plataforma RSA Netwitness no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API da Web | String | https://{ip}/rest/api/ | Sim | Raiz da API da Web da instância da plataforma RSA Netwitness. |
| Nome de usuário da Web | String | N/A | Sim | Nome de usuário da conta da plataforma RSA Netwitness. |
| Senha da Web | Senha | N/A | Sim | Senha da conta da plataforma RSA NetWitness. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar incidentes. Observação: o conector vai esperar o tempo fornecido para as atualizações de incidentes. |
| Menor pontuação de risco a ser buscada | Número inteiro | N/A | Não | A menor pontuação de risco dos incidentes a serem buscados. Por padrão, o conector ingere todos os incidentes.O máximo é 100. |
| Substituição da gravidade | String | Informativa | Sim | Especifique qual deve ser a gravidade substituta para o alerta do Google SecOps quando a pontuação de risco não estiver disponível. Valores possíveis: Informacional, Baixa, Média, Alta, Crítica. |
| Número máximo de incidentes a serem buscados | Número inteiro | 10 | Não | Quantos incidentes processar por iteração de conector. O máximo é 100. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor da plataforma RSA Netwitness é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. | |
| Objeto JSON de credencial | Senha | N/A | Não | Necessário para armazenar as credenciais da fonte de dados. Esse parâmetro tem prioridade sobre "Raiz da API do broker", "Nome de usuário da API do broker", "Senha da API do broker", "Raiz da API do concentrador", "Nome de usuário da API do concentrador" e "Senha da API do concentrador". Consulte o portal de documentação para mais detalhes. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.