RSA NetWitness
Versi integrasi: 15.0
Mengonfigurasi Integrasi RSA NetWitness di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Tindakan
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengirim Kueri NetWitness untuk Peristiwa di Sekitar Host
Deskripsi
Menetapkan masalah kepada pengguna.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity Hostname.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| payload.req | Menampilkan apakah ada di hasil JSON |
| org.src | Menampilkan apakah ada di hasil JSON |
| domain.src | Menampilkan apakah ada di hasil JSON |
| netname | Menampilkan apakah ada di hasil JSON |
| masa aktif | Menampilkan apakah ada di hasil JSON |
| hapus | Menampilkan apakah ada di hasil JSON |
| payload | Menampilkan apakah ada di hasil JSON |
| ukuran | Menampilkan apakah ada di hasil JSON |
| country.src | Menampilkan apakah ada di hasil JSON |
| pelanggan | Menampilkan apakah ada di hasil JSON |
| longdec.src | Menampilkan apakah ada di hasil JSON |
| eth.src | Menampilkan apakah ada di hasil JSON |
| tcp.dstport | Menampilkan apakah ada di hasil JSON |
| direction | Menampilkan apakah ada di hasil JSON |
| sedang | Menampilkan apakah ada di hasil JSON |
| ip.dst | Menampilkan apakah ada di hasil JSON |
| latdec.src | Menampilkan apakah ada di hasil JSON |
| city.src | Menampilkan apakah ada di hasil JSON |
| pemberitahuan | Menampilkan apakah ada di hasil JSON |
| sessionid | Menampilkan apakah ada di hasil JSON |
| eth.type | Menampilkan apakah ada di hasil JSON |
| ip.src | Menampilkan apakah ada di hasil JSON |
| tcp.flags | Menampilkan apakah ada di hasil JSON |
| eth.dst | Menampilkan apakah ada di hasil JSON |
| melakukan | Menampilkan apakah ada di hasil JSON |
| tcp.srcport | Menampilkan apakah ada di hasil JSON |
| paket | Menampilkan apakah ada di hasil JSON |
| streaming | Menampilkan apakah ada di hasil JSON |
| waktu | Menampilkan apakah ada di hasil JSON |
| ip.proto | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Mengkueri NetWitness untuk Peristiwa di Sekitar IP
Deskripsi
Jalankan kueri di RSA NetWitness untuk mengambil semua peristiwa untuk kueri (kondisi) tertentu untuk alamat IP tertentu dalam pemberitahuan.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity Alamat IP.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| payload.req | Menampilkan apakah ada di hasil JSON |
| ubc.req | Menampilkan apakah ada di hasil JSON |
| netname | Menampilkan apakah ada di hasil JSON |
| masa aktif | Menampilkan apakah ada di hasil JSON |
| hapus | Menampilkan apakah ada di hasil JSON |
| payload | Menampilkan apakah ada di hasil JSON |
| ukuran | Menampilkan apakah ada di hasil JSON |
| pelanggan | Menampilkan apakah ada di hasil JSON |
| mcb.req | Menampilkan apakah ada di hasil JSON |
| eth.src | Menampilkan apakah ada di hasil JSON |
| tcp.flags | Menampilkan apakah ada di hasil JSON |
| tcp.dstport | Menampilkan apakah ada di hasil JSON |
| direction | Menampilkan apakah ada di hasil JSON |
| sedang | Menampilkan apakah ada di hasil JSON |
| ip.dst | Menampilkan apakah ada di hasil JSON |
| pemberitahuan | Menampilkan apakah ada di hasil JSON |
| sessionid | Menampilkan apakah ada di hasil JSON |
| eth.type | Menampilkan apakah ada di hasil JSON |
| ip.src | Menampilkan apakah ada di hasil JSON |
| Eth.dst | Menampilkan apakah ada di hasil JSON |
| melakukan | Menampilkan apakah ada di hasil JSON |
| tcp.srcport | Menampilkan apakah ada di hasil JSON |
| paket | Menampilkan apakah ada di hasil JSON |
| streaming | Menampilkan apakah ada di hasil JSON |
| waktu | Menampilkan apakah ada di hasil JSON |
| entropy.req | Menampilkan apakah ada di hasil JSON |
| ip.proto | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Mengirim Kueri NetWitness untuk Peristiwa di Sekitar Pengguna
Deskripsi
Jalankan kueri di RSA NetWitness untuk mengambil semua peristiwa untuk kueri (kondisi) tertentu bagi nama pengguna tertentu dalam pemberitahuan.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| payload.req | Menampilkan apakah ada di hasil JSON |
| ubc.req | Menampilkan apakah ada di hasil JSON |
| netname | Menampilkan apakah ada di hasil JSON |
| masa aktif | Menampilkan apakah ada di hasil JSON |
| hapus | Menampilkan apakah ada di hasil JSON |
| payload | Menampilkan apakah ada di hasil JSON |
| ukuran | Menampilkan apakah ada di hasil JSON |
| pelanggan | Menampilkan apakah ada di hasil JSON |
| mcb.req | Menampilkan apakah ada di hasil JSON |
| mcbc.req | Menampilkan apakah ada di hasil JSON |
| tcp.dstport | Menampilkan apakah ada di hasil JSON |
| direction | Menampilkan apakah ada di hasil JSON |
| sedang | Menampilkan apakah ada di hasil JSON |
| ip.dst | Menampilkan apakah ada di hasil JSON |
| pemberitahuan | Menampilkan apakah ada di hasil JSON |
| sessionid | Menampilkan apakah ada di hasil JSON |
| eth.type | Menampilkan apakah ada di hasil JSON |
| ip.src | Menampilkan apakah ada di hasil JSON |
| tcp.flags | Menampilkan apakah ada di hasil JSON |
| Tcp.srcport | Menampilkan apakah ada di hasil JSON |
| paket | Menampilkan apakah ada di hasil JSON |
| user.src | Menampilkan apakah ada di hasil JSON |
| streaming | Menampilkan apakah ada di hasil JSON |
| waktu | Menampilkan apakah ada di hasil JSON |
| entropy.req | Menampilkan apakah ada di hasil JSON |
| ip.proto | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Menjalankan Kueri Umum
Deskripsi
Jalankan kueri gratis dan terima peristiwa serta file PCAP.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Kueri | 0 | T/A | String kueri kustom. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| events_json | Benar/Salah | events_json:False |
Hasil JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Memperbarui Database 'TI' NetWitness
Deskripsi
Tetapkan konfigurasi feed kustom di NetWitness untuk memperkaya entitas dengan kunci dan nilai metadata tertentu. Peristiwa ini akan dikorelasikan nanti dalam aturan korelasi NetWitness
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| String Nilai Kunci | 0 | T/A | String nilai kunci,yang ditampilkan dalam format saat ini: key1:val1,key2:val2 |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_succeed | Benar/Salah | is_succeed:False |
Hasil JSON
N/A
Memperbarui database TI Input mentah NetWitness
Deskripsi
Tetapkan konfigurasi feed kustom di NetWitness untuk memperkaya entitas dengan kunci dan nilai metadata tertentu. Peristiwa ini akan dikorelasikan nanti dalam aturan korelasi NetWitness.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Pengenal | 0 | T/A | Daftar ID yang dipisahkan koma. |
| Item Kunci dan Nilai | 0 | T/A | Item Kunci dan Nilai. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Konektor
Mengonfigurasi konektor RSA NetWitness di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Untuk mengonfigurasi konektor yang dipilih, gunakan parameter khusus konektor yang tercantum dalam tabel berikut:
- Parameter konfigurasi RSA NetWitness Incidents Connector
- Parameter konfigurasi RSA NetWitness Query Connector
Konektor Insiden RSA NetWitness
Deskripsi
Konektor Insiden RSA NetWitness.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| EventClassId | 2 | nama | Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis). |
| PythonProcessTimeout | 2 | 60 | Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini. |
| URI UI | 2 | https://x.x.x.x/ | T/A |
| URI Konsentrator | 2 | http://x.x.x.x:50105/ | T/A |
| URI Decode | 2 | https://x.x.x.x:50102/ | T/A |
| Nama pengguna | 2 | null | T/A |
| Sandi | 3 | null | T/A |
| Kolom Pembuat Aturan | 2 | null | T/A |
| Kolom Waktu Acara | 2 | waktu | T/A |
| Maksimum Hari Mundur | 1 | 1 | T/A |
| Batas Jumlah Insiden | 1 | 10 | T/A |
| Verifikasi SSL | o | null | T/A |
| Alamat Server Proxy | 2 | null | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | 2 | null | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | 3 | null | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
RSA NetWitness Query Connector
Deskripsi
Konektor kueri statis RSA NetWitness.
Parameter konektor
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| EventClassId | 2 | nama | Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis). |
| PythonProcessTimeout | 2 | 60 | Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini. |
| URI Konsentrator | 2 | http://x.x.x.x:50105/ | T/A |
| URI Decode | 2 | https://x.x.x.x:50102/ | T/A |
| Nama pengguna | 2 | null | T/A |
| Sandi | 3 | null | T/A |
| Kueri | 2 | null | T/A |
| Kolom Pembuat Aturan | 2 | null | T/A |
| Batas Jumlah Peringatan | 1 | 10 | T/A |
| Maksimum Hari Mundur | 1 | 1 | T/A |
| Kolom Waktu Acara | 2 | waktu | T/A |
| Verifikasi SSL | o | null | T/A |
| Alamat Server Proxy | 2 | null | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | 2 | null | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | 3 | null | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.