RSA NetWitness
Version de l'intégration : 15.0
Configurer l'intégration RSA NetWitness dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Interroger NetWitness pour les événements autour de l'hôte
Description
Attribuez un problème à un utilisateur.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| payload.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| org.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| domain.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| netname | Renvoie la valeur si elle existe dans le résultat JSON. |
| durée de vie | Renvoie la valeur si elle existe dans le résultat JSON. |
| éliminer | Renvoie la valeur si elle existe dans le résultat JSON. |
| payload | Renvoie la valeur si elle existe dans le résultat JSON. |
| taille | Renvoie la valeur si elle existe dans le résultat JSON. |
| country.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| service | Renvoie la valeur si elle existe dans le résultat JSON. |
| longdec.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.dstport | Renvoie la valeur si elle existe dans le résultat JSON. |
| direction | Renvoie la valeur si elle existe dans le résultat JSON. |
| modérés | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.dst | Renvoie la valeur si elle existe dans le résultat JSON. |
| latdec.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| city.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| alerte | Renvoie la valeur si elle existe dans le résultat JSON. |
| sessionid | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.type | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.flags | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.dst | Renvoie la valeur si elle existe dans le résultat JSON. |
| a fait | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.srcport | Renvoie la valeur si elle existe dans le résultat JSON. |
| paquet | Renvoie la valeur si elle existe dans le résultat JSON. |
| appareils IoT et flux d'application. | Renvoie la valeur si elle existe dans le résultat JSON. |
| temps | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.proto | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Interroger NetWitness pour les événements autour d'une adresse IP
Description
Exécutez une requête sur RSA NetWitness pour récupérer tous les événements correspondant à une requête (conditions) spécifique pour une adresse IP donnée dans l'alerte.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| payload.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| ubc.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| netname | Renvoie la valeur si elle existe dans le résultat JSON. |
| durée de vie | Renvoie la valeur si elle existe dans le résultat JSON. |
| éliminer | Renvoie la valeur si elle existe dans le résultat JSON. |
| payload | Renvoie la valeur si elle existe dans le résultat JSON. |
| taille | Renvoie la valeur si elle existe dans le résultat JSON. |
| service | Renvoie la valeur si elle existe dans le résultat JSON. |
| mcb.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.flags | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.dstport | Renvoie la valeur si elle existe dans le résultat JSON. |
| direction | Renvoie la valeur si elle existe dans le résultat JSON. |
| modérés | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.dst | Renvoie la valeur si elle existe dans le résultat JSON. |
| alerte | Renvoie la valeur si elle existe dans le résultat JSON. |
| sessionid | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.type | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| Eth.dst | Renvoie la valeur si elle existe dans le résultat JSON. |
| a fait | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.srcport | Renvoie la valeur si elle existe dans le résultat JSON. |
| paquets | Renvoie la valeur si elle existe dans le résultat JSON. |
| appareils IoT et flux d'application. | Renvoie la valeur si elle existe dans le résultat JSON. |
| temps | Renvoie la valeur si elle existe dans le résultat JSON. |
| entropy.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.proto | Renvoie la valeur si elle existe dans le résultat JSON |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Interroger NetWitness pour obtenir des événements autour d'un utilisateur
Description
Exécutez une requête sur RSA NetWitness pour récupérer tous les événements correspondant à une requête (conditions) spécifique pour un nom d'utilisateur donné dans l'alerte.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| payload.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| ubc.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| netname | Renvoie la valeur si elle existe dans le résultat JSON. |
| durée de vie | Renvoie la valeur si elle existe dans le résultat JSON. |
| éliminer | Renvoie la valeur si elle existe dans le résultat JSON. |
| payload | Renvoie la valeur si elle existe dans le résultat JSON. |
| taille | Renvoie la valeur si elle existe dans le résultat JSON. |
| service | Renvoie la valeur si elle existe dans le résultat JSON. |
| mcb.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| mcbc.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.dstport | Renvoie la valeur si elle existe dans le résultat JSON. |
| direction | Renvoie la valeur si elle existe dans le résultat JSON. |
| modérés | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.dst | Renvoie la valeur si elle existe dans le résultat JSON. |
| alerte | Renvoie la valeur si elle existe dans le résultat JSON. |
| sessionid | Renvoie la valeur si elle existe dans le résultat JSON. |
| eth.type | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| tcp.flags | Renvoie la valeur si elle existe dans le résultat JSON. |
| Tcp.srcport | Renvoie la valeur si elle existe dans le résultat JSON. |
| paquets | Renvoie la valeur si elle existe dans le résultat JSON. |
| user.src | Renvoie la valeur si elle existe dans le résultat JSON. |
| appareils IoT et flux d'application. | Renvoie la valeur si elle existe dans le résultat JSON. |
| temps | Renvoie la valeur si elle existe dans le résultat JSON. |
| entropy.req | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip.proto | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Exécuter une requête générale
Description
Exécutez une requête gratuite et recevez un événement et un fichier PCAP.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Requête | 0 | N/A | Chaîne de requête personnalisée. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| events_json | Vrai/Faux | events_json:False |
Résultat JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Mettre à jour la base de données "TI" de NetWitness
Description
Définissez une configuration de flux personnalisée dans NetWitness pour enrichir les entités avec des clés et des valeurs de métadonnées spécifiques. Elles seront corrélées ultérieurement dans les règles de corrélation NetWitness.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chaîne clé-valeur | 0 | N/A | Chaîne de valeur clé,présentée au format actuel : key1:val1,key2:val2 |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_succeed | Vrai/Faux | is_succeed:False |
Résultat JSON
N/A
Mettre à jour la base de données TI des entrées brutes NetWitness
Description
Définissez une configuration de flux personnalisée dans NetWitness pour enrichir les entités avec des clés et des valeurs de métadonnées spécifiques. Elles seront corrélées ultérieurement dans les règles de corrélation NetWitness.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Identifiants | 0 | N/A | Liste d'identifiants séparés par une virgule. |
| Éléments de clé et de valeur | 0 | N/A | Éléments clé et valeur. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Connecteurs
Configurer les connecteurs RSA NetWitness dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :
- Paramètres de configuration du connecteur RSA NetWitness Incidents
- Paramètres de configuration du connecteur de requête RSA NetWitness
Connecteur RSA NetWitness Incidents
Description
Connecteur RSA NetWitness Incidents.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| EventClassId | 2 | nom | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| PythonProcessTimeout | 2 | 60 | Délai limite (en secondes) pour le processus Python exécutant le script actuel. |
| URI de l'UI | 2 | https://x.x.x.x/ | N/A |
| URI du concentrateur | 2 | http://x.x.x.x:50105/ | N/A |
| Décoder l'URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nom d'utilisateur | 2 | null | N/A |
| Mot de passe | 3 | null | N/A |
| Champ du générateur de règles | 2 | null | N/A |
| Champ "Heure de l'événement" | 2 | temps | N/A |
| Nombre maximal de jours en arrière | 1 | 1 | N/A |
| Limite du nombre d'incidents | 1 | 10 | N/A |
| Vérifier le protocole SSL | 0 | null | N/A |
| Adresse du serveur proxy | 2 | null | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | 2 | null | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | 3 | null | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
RSA NetWitness Query Connector
Description
Connecteur de requête statique RSA NetWitness.
Paramètres du connecteur
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| EventClassId | 2 | nom | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| PythonProcessTimeout | 2 | 60 | Délai limite (en secondes) pour le processus Python exécutant le script actuel. |
| URI du concentrateur | 2 | http://x.x.x.x:50105/ | N/A |
| Décoder l'URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nom d'utilisateur | 2 | null | N/A |
| Mot de passe | 3 | null | N/A |
| Requête | 2 | null | N/A |
| Champ du générateur de règles | 2 | null | N/A |
| Limite du nombre d'alertes | 1 | 10 | N/A |
| Nombre maximal de jours en arrière | 1 | 1 | N/A |
| Champ "Heure de l'événement" | 2 | temps | N/A |
| Vérifier le protocole SSL | 0 | null | N/A |
| Adresse du serveur proxy | 2 | null | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | 2 | null | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | 3 | null | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.