RSA NetWitness
Integrationsversion: 15.0
RSA NetWitness-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
NetWitness nach Ereignissen im Zusammenhang mit dem Host abfragen
Beschreibung
Weisen Sie einem Nutzer ein Problem zu.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| payload.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| org.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| domain.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| netname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Lifetime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| entfernen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| payload | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Größe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| country.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dienst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| longdec.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.dstport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| direction | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Mittel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.dst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| latdec.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| city.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Benachrichtigung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sessionid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.flags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.dst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| haben | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.srcport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Paket | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Streams | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.proto | Gibt zurück, ob es im JSON-Ergebnis |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
NetWitness nach Ereignissen im Zusammenhang mit einer IP-Adresse abfragen
Beschreibung
Führen Sie eine Abfrage in RSA NetWitness aus, um alle Ereignisse für eine bestimmte Abfrage (Bedingungen) für eine bestimmte IP-Adresse in der Benachrichtigung abzurufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| payload.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ubc.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| netname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Lifetime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| entfernen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| payload | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Größe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dienst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mcb.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.flags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.dstport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| direction | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Mittel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.dst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Benachrichtigung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sessionid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Eth.dst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| haben | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.srcport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Pakete | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Streams | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| entropy.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.proto | Gibt zurück, ob es im JSON-Ergebnis |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
NetWitness nach Ereignissen im Zusammenhang mit einem Nutzer abfragen
Beschreibung
Führen Sie eine Abfrage in RSA NetWitness aus, um alle Ereignisse für eine bestimmte Abfrage (Bedingungen) für einen bestimmten Nutzernamen in der Benachrichtigung abzurufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| payload.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ubc.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| netname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Lifetime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| entfernen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| payload | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Größe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dienst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mcb.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mcbc.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.dstport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| direction | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Mittel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.dst | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Benachrichtigung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sessionid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| eth.type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| tcp.flags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tcp.srcport | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Pakete | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| user.src | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Streams | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| entropy.req | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip.proto | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Allgemeine Anfrage ausführen
Beschreibung
Führen Sie eine kostenlose Abfrage aus und erhalten Sie ein Ereignis und eine PCAP-Datei.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Abfrage | 0 | – | Benutzerdefinierter Abfragestring. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| events_json | Wahr/falsch | events_json:False |
JSON-Ergebnis
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Aktualisieren der „TI“-Datenbank von NetWitness
Beschreibung
Legen Sie in NetWitness eine benutzerdefinierte Feedkonfiguration fest, um Entitäten mit bestimmten Metadatenschlüsseln und ‑werten anzureichern. Diese werden später in den NetWitness-Korrelationsregeln korreliert.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Schlüssel/Wert-String | 0 | – | Ein Schlüssel/Wert-String im aktuellen Format: key1:val1,key2:val2 |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
JSON-Ergebnis
N/A
TI-Datenbank mit NetWitness-Rohdaten aktualisieren
Beschreibung
Legen Sie in NetWitness eine benutzerdefinierte Feedkonfiguration fest, um Entitäten mit bestimmten Metadatenschlüsseln und ‑werten anzureichern. Diese werden später in den NetWitness-Korrelationsregeln korreliert.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Kennungen | 0 | – | Durch Kommas getrennte Liste von Kennungen. |
| Schlüssel- und Wertelemente | 0 | – | Schlüssel- und Wertelemente. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Connectors
RSA NetWitness-Connectors in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Verwenden Sie die in den folgenden Tabellen aufgeführten connectorspezifischen Parameter, um den ausgewählten Connector zu konfigurieren:
- Konfigurationsparameter für den RSA NetWitness Incidents Connector
- Konfigurationsparameter für RSA NetWitness Query Connector
RSA NetWitness Incidents Connector
Beschreibung
RSA NetWitness Incidents Connector
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. |
| EventClassId | 2 | Name | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. |
| PythonProcessTimeout | 2 | 60 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| UI-URI | 2 | https://x.x.x.x/ | – |
| Konzentrator-URI | 2 | http://x.x.x.x:50105/ | – |
| URI decodieren | 2 | https://x.x.x.x:50102/ | – |
| Nutzername | 2 | null | – |
| Passwort | 3 | null | – |
| Feld für den Regelgenerator | 2 | null | – |
| Feld „Ereigniszeit“ | 2 | Zeit | – |
| Max. Tage rückwärts | 1 | 1 | – |
| Anzahllimit für Vorfälle | 1 | 10 | – |
| SSL überprüfen | o | null | – |
| Proxyserveradresse | 2 | null | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | 2 | null | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | 3 | null | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
RSA NetWitness Query Connector
Beschreibung
RSA NetWitness-Connector für statische Abfragen.
Connector-Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. |
| EventClassId | 2 | Name | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. |
| PythonProcessTimeout | 2 | 60 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| Konzentrator-URI | 2 | http://x.x.x.x:50105/ | – |
| URI decodieren | 2 | https://x.x.x.x:50102/ | – |
| Nutzername | 2 | null | – |
| Passwort | 3 | null | – |
| Abfrage | 2 | null | – |
| Feld für den Regelgenerator | 2 | null | – |
| Limit für die Anzahl der Benachrichtigungen | 1 | 10 | – |
| Max. Tage rückwärts | 1 | 1 | – |
| Feld „Ereigniszeit“ | 2 | Zeit | – |
| SSL überprüfen | o | null | – |
| Proxyserveradresse | 2 | null | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | 2 | null | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | 3 | null | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten