RSA NetWitness
統合バージョン: 15.0
Google Security Operations で RSA NetWitness の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ホスト周辺のイベントについて NetWitness にクエリを実行する
説明
問題をユーザーに割り当てます。
パラメータ
なし
ユースケース
なし
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| payload.req | JSON の結果に存在する場合に返す |
| org.src | JSON の結果に存在する場合に返す |
| domain.src | JSON の結果に存在する場合に返す |
| netname | JSON の結果に存在する場合に返す |
| 存続時間 | JSON の結果に存在する場合に返す |
| rid | JSON の結果に存在する場合に返す |
| payload | JSON の結果に存在する場合に返す |
| size | JSON の結果に存在する場合に返す |
| country.src | JSON の結果に存在する場合に返す |
| サービス | JSON の結果に存在する場合に返す |
| longdec.src | JSON の結果に存在する場合に返す |
| eth.src | JSON の結果に存在する場合に返す |
| tcp.dstport | JSON の結果に存在する場合に返す |
| 方向 | JSON の結果に存在する場合に返す |
| 中 | JSON の結果に存在する場合に返す |
| ip.dst | JSON の結果に存在する場合に返す |
| latdec.src | JSON の結果に存在する場合に返す |
| city.src | JSON の結果に存在する場合に返す |
| アラート | JSON の結果に存在する場合に返す |
| sessionid | JSON の結果に存在する場合に返す |
| eth.type | JSON の結果に存在する場合に返す |
| ip.src | JSON の結果に存在する場合に返す |
| tcp.flags | JSON の結果に存在する場合に返す |
| eth.dst | JSON の結果に存在する場合に返す |
| did | JSON の結果に存在する場合に返す |
| tcp.srcport | JSON の結果に存在する場合に返す |
| パケット | JSON の結果に存在する場合に返す |
| ストリーム | JSON の結果に存在する場合に返す |
| 時間 | JSON の結果に存在する場合に返す |
| ip.proto | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Query NetWitness for Events Around IP
説明
RSA NetWitness でクエリを実行して、アラート内の特定の IP アドレスの特定のクエリ(条件)のすべてのイベントを取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| payload.req | JSON の結果に存在する場合に返す |
| ubc.req | JSON の結果に存在する場合に返す |
| netname | JSON の結果に存在する場合に返す |
| 存続時間 | JSON の結果に存在する場合に返す |
| rid | JSON の結果に存在する場合に返す |
| payload | JSON の結果に存在する場合に返す |
| size | JSON の結果に存在する場合に返す |
| サービス | JSON の結果に存在する場合に返す |
| mcb.req | JSON の結果に存在する場合に返す |
| eth.src | JSON の結果に存在する場合に返す |
| tcp.flags | JSON の結果に存在する場合に返す |
| tcp.dstport | JSON の結果に存在する場合に返す |
| 方向 | JSON の結果に存在する場合に返す |
| 中 | JSON の結果に存在する場合に返す |
| ip.dst | JSON の結果に存在する場合に返す |
| アラート | JSON の結果に存在する場合に返す |
| sessionid | JSON の結果に存在する場合に返す |
| eth.type | JSON の結果に存在する場合に返す |
| ip.src | JSON の結果に存在する場合に返す |
| Eth.dst | JSON の結果に存在する場合に返す |
| did | JSON の結果に存在する場合に返す |
| tcp.srcport | JSON の結果に存在する場合に返す |
| packets | JSON の結果に存在する場合に返す |
| ストリーム | JSON の結果に存在する場合に返す |
| 時間 | JSON の結果に存在する場合に返す |
| entropy.req | JSON の結果に存在する場合に返す |
| ip.proto | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
ユーザーに関するイベントを NetWitness でクエリする
説明
RSA NetWitness でクエリを実行して、アラート内の特定のユーザー名の特定のクエリ(条件)のすべてのイベントを取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| payload.req | JSON の結果に存在する場合に返す |
| ubc.req | JSON の結果に存在する場合に返す |
| netname | JSON の結果に存在する場合に返す |
| 存続時間 | JSON の結果に存在する場合に返す |
| rid | JSON の結果に存在する場合に返す |
| payload | JSON の結果に存在する場合に返す |
| size | JSON の結果に存在する場合に返す |
| サービス | JSON の結果に存在する場合に返す |
| mcb.req | JSON の結果に存在する場合に返す |
| mcbc.req | JSON の結果に存在する場合に返す |
| tcp.dstport | JSON の結果に存在する場合に返す |
| 方向 | JSON の結果に存在する場合に返す |
| 中 | JSON の結果に存在する場合に返す |
| ip.dst | JSON の結果に存在する場合に返す |
| アラート | JSON の結果に存在する場合に返す |
| sessionid | JSON の結果に存在する場合に返す |
| eth.type | JSON の結果に存在する場合に返す |
| ip.src | JSON の結果に存在する場合に返す |
| tcp.flags | JSON の結果に存在する場合に返す |
| Tcp.srcport | JSON の結果に存在する場合に返す |
| packets | JSON の結果に存在する場合に返す |
| user.src | JSON の結果に存在する場合に返す |
| ストリーム | JSON の結果に存在する場合に返す |
| 時間 | JSON の結果に存在する場合に返す |
| entropy.req | JSON の結果に存在する場合に返す |
| ip.proto | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
一般的なクエリを実行する
説明
無料のクエリを実行して、イベントと PCAP ファイルを受信します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| クエリ | 0 | なし | カスタムクエリ文字列。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| events_json | True/False | events_json:False |
JSON の結果
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
NetWitness の「TI」データベースを更新する
説明
NetWitness でカスタム フィード構成を設定して、特定のメタデータ キーと値でエンティティを拡充します。これらは、後で NetWitness の相関ルールで関連付けられます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| Key-Value 文字列 | 0 | なし | キー値文字列。現在の形式は key1:val1,key2:val2 です。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON の結果
N/A
NetWitness の未加工入力の TI データベースを更新する
説明
NetWitness でカスタム フィード構成を設定して、特定のメタデータ キーと値でエンティティを拡充します。これらは、後で NetWitness の相関ルールで関連付けられます。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| 識別子 | 0 | なし | 識別子のカンマ区切りのリスト。 |
| キーと値の項目 | 0 | なし | [Key] 項目と [Value] 項目。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
コネクタ
Google SecOps で RSA NetWitness コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
選択したコネクタを構成するには、次の表に示すコネクタ固有のパラメータを使用します。
RSA NetWitness インシデント コネクタ
説明
RSA NetWitness Incidents Connector。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | デバイス プロダクトを識別するために使用されるフィールド名。 |
| EventClassId | 2 | name | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| PythonProcessTimeout | 2 | 60 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| UI URI | 2 | https://x.x.x.x/ | なし |
| コンセントレーター URI | 2 | http://x.x.x.x:50105/ | なし |
| decodeUri | 2 | https://x.x.x.x:50102/ | なし |
| ユーザー名 | 2 | null | なし |
| パスワード | 3 | null | なし |
| ルール生成ツール フィールド | 2 | null | なし |
| イベントのタイム フィールド | 2 | 時間 | なし |
| 遡る最大日数 | 1 | 1 | なし |
| インシデント数の上限 | 1 | 10 | なし |
| SSL を確認 | o | null | なし |
| プロキシ サーバーのアドレス | 2 | null | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 2 | null | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | 3 | null | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
RSA NetWitness Query Connector
説明
RSA NetWitness 静的クエリ コネクタ。
コネクタ パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | デバイス プロダクトを識別するために使用されるフィールド名。 |
| EventClassId | 2 | name | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| PythonProcessTimeout | 2 | 60 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| コンセントレーター URI | 2 | http://x.x.x.x:50105/ | なし |
| decodeUri | 2 | https://x.x.x.x:50102/ | なし |
| ユーザー名 | 2 | null | なし |
| パスワード | 3 | null | なし |
| クエリ | 2 | null | なし |
| ルール生成ツール フィールド | 2 | null | なし |
| アラート数の上限 | 1 | 10 | なし |
| 遡る最大日数 | 1 | 1 | なし |
| イベントのタイム フィールド | 2 | 時間 | なし |
| SSL を確認 | o | null | なし |
| プロキシ サーバーのアドレス | 2 | null | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 2 | null | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | 3 | null | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。