RSA NetWitness
Versión de integración: 15.0
Configurar la integración de RSA NetWitness en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Consultar NetWitness para ver los eventos de un host
Descripción
Asigna un problema a un usuario.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| org.src | Devuelve si existe en el resultado JSON. |
| domain.src | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| Desde siempre | Devuelve si existe en el resultado JSON. |
| eliminar | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| size | Devuelve si existe en el resultado JSON. |
| country.src | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| longdec.src | Devuelve si existe en el resultado JSON. |
| eth.src | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| latdec.src | Devuelve si existe en el resultado JSON. |
| city.src | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| eth.dst | Devuelve si existe en el resultado JSON. |
| ¿ | Devuelve si existe en el resultado JSON. |
| tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquete | Devuelve si existe en el resultado JSON. |
| streams | Devuelve si existe en el resultado JSON. |
| Tiempo | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Consultar NetWitness para obtener eventos de una IP
Descripción
Ejecuta una consulta en RSA NetWitness para obtener todos los eventos de una consulta específica (condiciones) de una dirección IP determinada en la alerta.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| ubc.req | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| Desde siempre | Devuelve si existe en el resultado JSON. |
| eliminar | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| size | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| mcb.req | Devuelve si existe en el resultado JSON. |
| eth.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| Eth.dst | Devuelve si existe en el resultado JSON. |
| ¿ | Devuelve si existe en el resultado JSON. |
| tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquetes | Devuelve si existe en el resultado JSON. |
| streams | Devuelve si existe en el resultado JSON. |
| Tiempo | Devuelve si existe en el resultado JSON. |
| entropy.req | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Consultar NetWitness para obtener eventos relacionados con un usuario
Descripción
Ejecuta una consulta en RSA NetWitness para recuperar todos los eventos de una consulta específica (condiciones) de un nombre de usuario determinado en la alerta.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| ubc.req | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| Desde siempre | Devuelve si existe en el resultado JSON. |
| eliminar | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| size | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| mcb.req | Devuelve si existe en el resultado JSON. |
| mcbc.req | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| Tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquetes | Devuelve si existe en el resultado JSON. |
| user.src | Devuelve si existe en el resultado JSON. |
| streams | Devuelve si existe en el resultado JSON. |
| Tiempo | Devuelve si existe en el resultado JSON. |
| entropy.req | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Ejecutar consulta general
Descripción
Ejecuta una consulta gratuita y recibe un evento y un archivo PCAP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Consulta | 0 | N/A | Cadena de consulta personalizada. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_json | Verdadero/Falso | events_json:False |
Resultado de JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Actualizar la base de datos "TI" de NetWitness
Descripción
Configure un feed personalizado en NetWitness para enriquecer las entidades con pares clave-valor de metadatos específicos. Estos se correlacionarán más adelante en las reglas de correlación de NetWitness.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cadena de clave-valor | 0 | N/A | Una cadena de clave-valor,que se presenta en el formato actual: clave1:valor1,clave2:valor2 |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Resultado de JSON
N/A
Actualizar la base de datos de TI de la entrada sin procesar de NetWitness
Descripción
Configure un feed personalizado en NetWitness para enriquecer las entidades con pares clave-valor de metadatos específicos. Se correlacionarán más adelante en las reglas de correlación de NetWitness.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Identificadores | 0 | N/A | Lista de identificadores separados por comas. |
| Elementos de clave y valor | 0 | N/A | Elementos de clave y valor. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Conectores
Configurar conectores de RSA NetWitness en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Para configurar el conector seleccionado, usa los parámetros específicos del conector que se indican en las siguientes tablas:
- Parámetros de configuración de RSA NetWitness Incidents Connector
- Parámetros de configuración de RSA NetWitness Query Connector
Conector de incidentes de RSA NetWitness
Descripción
Conector de incidentes de RSA NetWitness.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | name | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| URI de la interfaz de usuario | 2 | https://x.x.x.x/ | N/A |
| URI del concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nombre de usuario | 2 | null | N/A |
| Contraseña | 3 | null | N/A |
| Campo del generador de reglas | 2 | null | N/A |
| Campo de hora del evento | 2 | Tiempo | N/A |
| Máximo de días hacia atrás | 1 | 1 | N/A |
| Límite de recuento de incidentes | 1 | 10 | N/A |
| Verificar SSL | o | null | N/A |
| Dirección del servidor proxy | 2 | null | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | 2 | null | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | 3 | null | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
Conector de consultas de RSA NetWitness
Descripción
Conector de consulta estática de RSA NetWitness.
Parámetros del conector
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | name | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| URI del concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nombre de usuario | 2 | null | N/A |
| Contraseña | 3 | null | N/A |
| Consulta | 2 | null | N/A |
| Campo del generador de reglas | 2 | null | N/A |
| Límite de recuento de alertas | 1 | 10 | N/A |
| Máximo de días hacia atrás | 1 | 1 | N/A |
| Campo de hora del evento | 2 | Tiempo | N/A |
| Verificar SSL | o | null | N/A |
| Dirección del servidor proxy | 2 | null | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | 2 | null | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | 3 | null | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.