RSA NetWitness
Versión de integración: 15.0
Configura la integración de RSA NetWitness en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Consulta NetWitness para ver los eventos relacionados con el host
Descripción
Asigna un problema a un usuario.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| org.src | Devuelve si existe en el resultado JSON. |
| domain.src | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| de por vida | Devuelve si existe en el resultado JSON. |
| deshacerse | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| tamaño | Devuelve si existe en el resultado JSON. |
| country.src | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| longdec.src | Devuelve si existe en el resultado JSON. |
| eth.src | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| latdec.src | Devuelve si existe en el resultado JSON. |
| city.src | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| eth.dst | Devuelve si existe en el resultado JSON. |
| hizo | Devuelve si existe en el resultado JSON. |
| tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquete | Devuelve si existe en el resultado JSON. |
| de aplicaciones. | Devuelve si existe en el resultado JSON. |
| hora | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Consulta NetWitness para ver los eventos relacionados con la IP
Descripción
Ejecuta una consulta en RSA NetWitness para recuperar todos los eventos de una consulta específica (condiciones) para una dirección IP determinada en la alerta.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| ubc.req | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| de por vida | Devuelve si existe en el resultado JSON. |
| deshacerse | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| tamaño | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| mcb.req | Devuelve si existe en el resultado JSON. |
| eth.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| Eth.dst | Devuelve si existe en el resultado JSON. |
| hizo | Devuelve si existe en el resultado JSON. |
| tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquetes | Devuelve si existe en el resultado JSON. |
| de aplicaciones. | Devuelve si existe en el resultado JSON. |
| hora | Devuelve si existe en el resultado JSON. |
| entropy.req | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Consulta NetWitness para ver los eventos relacionados con el usuario
Descripción
Ejecuta una consulta en RSA NetWitness para recuperar todos los eventos de una consulta específica (condiciones) para un nombre de usuario determinado en la alerta.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| payload.req | Devuelve si existe en el resultado JSON. |
| ubc.req | Devuelve si existe en el resultado JSON. |
| netname | Devuelve si existe en el resultado JSON. |
| de por vida | Devuelve si existe en el resultado JSON. |
| deshacerse | Devuelve si existe en el resultado JSON. |
| carga útil | Devuelve si existe en el resultado JSON. |
| tamaño | Devuelve si existe en el resultado JSON. |
| servicio | Devuelve si existe en el resultado JSON. |
| mcb.req | Devuelve si existe en el resultado JSON. |
| mcbc.req | Devuelve si existe en el resultado JSON. |
| tcp.dstport | Devuelve si existe en el resultado JSON. |
| direction | Devuelve si existe en el resultado JSON. |
| medio | Devuelve si existe en el resultado JSON. |
| ip.dst | Devuelve si existe en el resultado JSON. |
| alerta | Devuelve si existe en el resultado JSON. |
| sessionid | Devuelve si existe en el resultado JSON. |
| eth.type | Devuelve si existe en el resultado JSON. |
| ip.src | Devuelve si existe en el resultado JSON. |
| tcp.flags | Devuelve si existe en el resultado JSON. |
| Tcp.srcport | Devuelve si existe en el resultado JSON. |
| paquetes | Devuelve si existe en el resultado JSON. |
| user.src | Devuelve si existe en el resultado JSON. |
| de aplicaciones. | Devuelve si existe en el resultado JSON. |
| hora | Devuelve si existe en el resultado JSON. |
| entropy.req | Devuelve si existe en el resultado JSON. |
| ip.proto | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Ejecutar consulta general
Descripción
Ejecuta una consulta gratuita y recibe un evento y un archivo PCAP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Consulta | 0 | N/A | Es la cadena de consulta personalizada. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_json | Verdadero/Falso | events_json:False |
Resultado de JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Actualiza la base de datos "TI" de NetWitness
Descripción
Configura un feed personalizado en NetWitness para enriquecer las entidades con claves y valores de metadatos específicos. Estos se correlacionarán más adelante en las reglas de correlación de NetWitness.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cadena de par clave-valor | 0 | N/A | Es una cadena de clave-valor que se presenta en el formato actual: key1:val1,key2:val2 |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Resultado de JSON
N/A
Actualiza la base de datos de TI de la entrada sin procesar de NetWitness
Descripción
Configura un feed personalizado en NetWitness para enriquecer las entidades con claves y valores de metadatos específicos. Estos se correlacionarán más adelante en las reglas de correlación de NetWitness.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Identificadores | 0 | N/A | Lista de identificadores separados por comas. |
| Elementos de clave y valor | 0 | N/A | Elementos de clave y valor |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Conectores
Configura conectores de RSA NetWitness en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Para configurar el conector seleccionado, usa los parámetros específicos del conector que se enumeran en las siguientes tablas:
- Parámetros de configuración del conector de incidentes de RSA NetWitness
- Parámetros de configuración del conector de consultas de RSA NetWitness
Conector de incidentes de RSA NetWitness
Descripción
Es el conector de incidentes de RSA NetWitness.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | nombre | Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta el script actual. |
| URI de la IU | 2 | https://x.x.x.x/ | N/A |
| URI del concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nombre de usuario | 2 | null | N/A |
| Contraseña | 3 | null | N/A |
| Campo del generador de reglas | 2 | null | N/A |
| Campo de hora del evento | 2 | hora | N/A |
| Máx. de días hacia atrás | 1 | 1 | N/A |
| Límite de recuento de incidentes | 1 | 10 | N/A |
| Verificar SSL | o | null | N/A |
| Dirección del servidor proxy | 2 | null | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | 2 | null | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | 3 | null | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
RSA NetWitness Query Connector
Descripción
Es el conector de consultas estáticas de RSA NetWitness.
Parámetros del conector
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | 2 | nombre | Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta el script actual. |
| URI del concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nombre de usuario | 2 | null | N/A |
| Contraseña | 3 | null | N/A |
| Consulta | 2 | null | N/A |
| Campo del generador de reglas | 2 | null | N/A |
| Límite de recuento de alertas | 1 | 10 | N/A |
| Máx. de días hacia atrás | 1 | 1 | N/A |
| Campo de hora del evento | 2 | hora | N/A |
| Verificar SSL | o | null | N/A |
| Dirección del servidor proxy | 2 | null | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | 2 | null | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | 3 | null | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.