RSA NetWitness Platform
整合版本:11.0
在 Google Security Operations 中設定 RSA NetWitness Platform 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| Broker API 根層級 | 字串 | http://x.x.x.x:50103 | 否 | Broker API 的 API 根目錄。 |
| Broker API 使用者名稱 | 字串 | 不適用 | 否 | Broker API 的使用者名稱。 |
| Broker API 密碼 | 密碼 | 不適用 | 否 | Broker API 的密碼。 |
| 集中器 API 根層級 | 字串 | http://x.x.x.x:50105 | 否 | Concentrator API 的 API 根層級。 |
| Concentrator API 使用者名稱 | 字串 | 不適用 | 否 | Concentrator API 的使用者名稱。 |
| Concentrator API 密碼 | 密碼 | 不適用 | 否 | Concentrator API 的密碼。 |
| Web API 根層級 | 字串 | https://{ip}/rest/api/ | 否 | Netwitness Platform 執行個體的 API 根目錄。 |
| 網路使用者名稱 | 字串 | 不適用 | 否 | Netwitness Platform Instance 的使用者名稱。 |
| 網站密碼 | 密碼 | 不適用 | 否 | Netwitness Platform 執行個體的密碼。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果啟用,系統會驗證連線至 RSA Netwitness Platform 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
測試與 RSA Netwitness Platform 的連線。
參數
不適用
用途
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入的參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
充實端點
說明
透過端點的主機名稱或 IP 位址擷取系統資訊。需要 RSA Netwitness Respond 授權、在背景執行的端點伺服器服務,以及在整合設定中設定的網路使用者名稱和網路密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 風險分數門檻 | 整數 | 50 | 否 | 指定端點的風險門檻。如果端點超過門檻,相關實體就會標示為可疑。如未指定任何項目,動作就不會檢查風險評分。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| RSA_NTW_agentId | agentId | 以 JSON 格式提供時 |
| RSA_NTW_hostName | hostName | 以 JSON 格式提供時 |
| RSA_NTW_riskScore | riskScore | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_ipv4 | 以空格分隔的 networkInterfaces/ipv4 清單 | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_ipv6 | 以空格分隔的 networkInterfaces/ipv6 清單 | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | 以空格分隔的 networkInterfaces/networkIdv6 清單 | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_gateway | 以空格分隔的 networkInterfaces/gateway 清單 | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_dns | 以空格分隔的 networkInterfaces/dns 清單 | 以 JSON 格式提供時 |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | 以 JSON 格式提供時 |
| RSA_NTW_lastSeenTime | lastSeenTime | 以 JSON 格式提供時 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且至少有一個提供的實體經過擴充 (is_success = true): Print "Successfully enriched the following endpoints from RSA Netwitness: \n {0}".format(entity.identifier list) 如果無法擴充特定實體(is_success = true): Print "Action was not able to enrich the following endpoints from RSA Netwitness \n: {0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false): 列印:「No entities were enriched.」(沒有實體經過擴充。) 動作應會失敗並停止執行劇本: Print "Error executing action "Enrich Endpoint". 原因:{0}''.format(error.Stacktrace) 如果找不到端點服務: Print "Error executing action "Enrich Endpoint". 原因:找不到端點伺服器。」 |
一般 |
充實檔案
說明
使用雜湊或檔案名稱擷取檔案相關資訊。系統僅支援 MD5 和 SHA256。需要 RSA Netwitness Respond 授權、在背景執行的端點伺服器服務,以及在整合設定中設定的網頁使用者名稱和網頁密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 風險分數門檻 | 整數 | 50 | 否 | 指定檔案的風險門檻。如果檔案超過閾值,相關實體就會標示為可疑。如未指定任何項目,動作就不會檢查風險評分。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| RSA_NTW_filename | firstFileName | 以 JSON 格式提供時 |
| RSA_NTW_reputationStatus | reputationStatus | 以 JSON 格式提供時 |
| RSA_NTW_globalRiskScore | globalRiskScore | 以 JSON 格式提供時 |
| RSA_NTW_machineOsType | machineOsType | 以 JSON 格式提供時 |
| RSA_NTW_size | 大小 | 以 JSON 格式提供時 |
| RSA_NTW_checksumMd5 | checksumMd5 | 以 JSON 格式提供時 |
| RSA_NTW_checksumSha1 | checksumSha1 | 以 JSON 格式提供時 |
| RSA_NTW_checksumSha256 | checksumSha256 | 以 JSON 格式提供時 |
| RSA_NTW_entropy | 熵 | 以 JSON 格式提供時 |
| RSA_NTW_format | pe | 以 JSON 格式提供時 |
| RSA_NTW_fileStatus | 普通 | 以 JSON 格式提供時 |
| RSA_NTW_remediationAction | 解除封鎖 | 以 JSON 格式提供時 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 如果無法擴充特定實體 (is_success = true): 如果所有實體都無法完成擴充 (is_success = false): 動作應會失敗並停止執行應對手冊: 如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等): 列印「Error executing action "Enrich File". 原因:{0}''.format(error.Stacktrace)
列印「Error executing action "Enrich File". 原因:找不到端點伺服器。」 |
一般 |
隔離端點
說明
在 RSA Netwitness 中隔離要求端點。需要 RSA Netwitness Respond 授權、在背景執行的端點伺服器服務,以及在整合設定中設定的網路使用者名稱和網路密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 註解 | 字串 | 不適用 | 是 | 新增註解,說明要求隔離的原因。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗,也不得停止劇本執行: 如果無法隔離至少一個提供的實體(is_success = false): 動作應會失敗並停止執行應對手冊: 如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等): Print "Error executing action "Isolate Endpoint". 原因:{0}''.format(error.Stacktrace) 如果找不到端點服務: Print "Error executing action "Isolate Endpoint". 原因:找不到端點伺服器。」 |
一般 |
取消隔離端點
說明
在 RSA Netwitness 中要求取消隔離端點。需要 RSA Netwitness Respond 授權、在背景執行的端點伺服器服務,以及在整合設定中設定的網路使用者名稱和網路密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 註解 | 字串 | 不適用 | 是 | 新增註解,說明要求隔離的原因。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 如果無法隔離至少一個提供的實體(is_success = false): 動作應會失敗並停止執行應對手冊: 如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器等): Print "Error executing action "Unisolate Endpoint". 原因:{0}''.format(error.Stacktrace) 如果找不到端點服務: Print "Error executing action "Unisolate Endpoint". 原因:找不到端點伺服器。」 |
一般 |
更新事件
說明
在 RSA Netwitness 中更新事件。需要 RSA Netwitness Respond 授權,並在整合設定中設定網路使用者名稱和網路密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定需要更新的事件 ID。 |
| 狀態 | DDL | 不適用 | 否 | 指定事件的新狀態。 |
| 指派對象 | 字串 | 不適用 | 否 | 指定事件的新指派對象。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果狀態碼 == 200 (is_success = true): Print "Successfully updated incident with ID {0} in RSA Netwitness".format(incident_id). 如果狀態碼為 400 (is_success=false): Print "Action wasn't able to update incident with ID {0} in RSA Netwitness. Reason: {1}".format(incident_id, errors/message). 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器等: Print "Error executing action "Update Incident". 原因:{0}''.format(error.Stacktrace) |
一般 |
為事件新增附註
說明
在 RSA Netwitness 中為事件新增附註。需要 RSA Netwitness Respond 授權,並在整合設定中設定網路使用者名稱和網路密碼。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定需要更新的事件 ID。 |
| 注意事項 | 字串 | 不適用 | 是 | 指定要新增記事的記事。 |
| 作者 | 字串 | 不適用 | 是 | 指定附註的作者。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果狀態碼 == 200 (is_success = true): Print "Successfully added note to incident with ID {0} in RSA Netwitness".format(incident_id). 如果狀態碼為 400 (is_success=false): Print "Action wasn't able to add note to incident with ID {0} in RSA Netwitness. Reason: {1}".format(incident_id, errors/message). 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器等: 列印「Error executing action "Add Note to Incident". 原因:{0}''.format(error.Stacktrace) |
一般 |
連接器
RSA Netwitness Platform - Incidents Connector
說明
從 RSA Netwitness Platform 提取事件。
如何使用憑證 JSON 物件
憑證 JSON 物件提供更彈性的資料來源驗證方式。最基本的 JSON 設定如下所示:
{
"default_username": "username",
"default_password": "password"
}
如果沒有「default_username」和「default_password」,連接器會擲回錯誤。 如果所有資料來源共用相同的使用者名稱和密碼,就適合採用這項設定。如要為資料來源提供特定憑證,JSON 的結構會如下所示:
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
連結器會掃描來源 API 根目錄的事件,然後與憑證 JSON 物件中的可用項目進行比較。如果找到相符項目,連接器會從「dataSources」清單中取得使用者名稱和密碼;如果沒有相符項目,則會使用「default_username」和 default_password。此外,您不需要在「dataSources」清單中同時提供使用者名稱和密碼。舉例來說,如果只提供使用者名稱,連接器會從「dataSource」清單取得使用者名稱,並從「default_password」取得密碼。
在 Google SecOps 中設定 RSA Netwitness Platform - Incidents 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| Web API 根層級 | 字串 | https://{ip}/rest/api/ | 是 | RSA Netwitness Platform 執行個體的 Web API 根目錄。 |
| 網路使用者名稱 | 字串 | 不適用 | 是 | RSA Netwitness Platform 帳戶的使用者名稱。 |
| 網站密碼 | 密碼 | 不適用 | 是 | RSA Netwitness Platform 帳戶的密碼。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取事件的小時數。注意:連接器會等待指定時間,以便更新事件。 |
| 要擷取的最低風險分數 | 整數 | 不適用 | 否 | 要擷取的事件最低風險分數。根據預設,連接器會擷取所有事件。上限為 100 個。 |
| 嚴重性備用 | 字串 | 參考用 | 是 | 指定風險分數無法使用時,Google SecOps 快訊的備援嚴重程度。可能的值:資訊、低、中、高、重大。 |
| 要擷取的事件數量上限 | 整數 | 10 | 否 | 每個連接器疊代要處理多少事件。上限為 100。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 RSA Netwitness Platform 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 | |
| 憑證 JSON 物件 | 密碼 | 不適用 | 否 | 這項參數用於儲存資料來源憑證。這個參數的優先順序高於「Broker API Root」、「Broker API Username」、「Broker API Password」、「Concentrator API Root」、「Concentrator API Username」和「Concentrator API Password」。詳情請參閱說明文件入口網站。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。