RSA NetWitness
통합 버전: 15.0
Google Security Operations에서 RSA NetWitness 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
호스트 주변의 이벤트를 NetWitness에 쿼리
설명
사용자에게 문제를 할당합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 호스트 이름 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| payload.req | JSON 결과에 존재하는 경우에 반환 |
| org.src | JSON 결과에 존재하는 경우에 반환 |
| domain.src | JSON 결과에 존재하는 경우에 반환 |
| netname | JSON 결과에 존재하는 경우에 반환 |
| 전체 기간 | JSON 결과에 존재하는 경우에 반환 |
| rid | JSON 결과에 존재하는 경우에 반환 |
| payload | JSON 결과에 존재하는 경우에 반환 |
| 크기 | JSON 결과에 존재하는 경우에 반환 |
| country.src | JSON 결과에 존재하는 경우에 반환 |
| 서비스 | JSON 결과에 존재하는 경우에 반환 |
| longdec.src | JSON 결과에 존재하는 경우에 반환 |
| eth.src | JSON 결과에 존재하는 경우에 반환 |
| tcp.dstport | JSON 결과에 존재하는 경우에 반환 |
| direction | JSON 결과에 존재하는 경우에 반환 |
| 중간 | JSON 결과에 존재하는 경우에 반환 |
| ip.dst | JSON 결과에 존재하는 경우에 반환 |
| latdec.src | JSON 결과에 존재하는 경우에 반환 |
| city.src | JSON 결과에 존재하는 경우에 반환 |
| 알림 | JSON 결과에 존재하는 경우에 반환 |
| sessionid | JSON 결과에 존재하는 경우에 반환 |
| eth.type | JSON 결과에 존재하는 경우에 반환 |
| ip.src | JSON 결과에 존재하는 경우에 반환 |
| tcp.flags | JSON 결과에 존재하는 경우에 반환 |
| eth.dst | JSON 결과에 존재하는 경우에 반환 |
| 했어 | JSON 결과에 존재하는 경우에 반환 |
| tcp.srcport | JSON 결과에 존재하는 경우에 반환 |
| 패킷 | JSON 결과에 존재하는 경우에 반환 |
| 메시지를 수신할 수 있습니다 | JSON 결과에 존재하는 경우에 반환 |
| 시간 | JSON 결과에 존재하는 경우에 반환 |
| ip.proto | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
IP 주변 이벤트에 대해 NetWitness 쿼리
설명
RSA NetWitness에서 쿼리를 실행하여 알림의 특정 IP 주소에 대한 특정 쿼리(조건)의 모든 이벤트를 가져옵니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| payload.req | JSON 결과에 존재하는 경우에 반환 |
| ubc.req | JSON 결과에 존재하는 경우에 반환 |
| netname | JSON 결과에 존재하는 경우에 반환 |
| 전체 기간 | JSON 결과에 존재하는 경우에 반환 |
| rid | JSON 결과에 존재하는 경우에 반환 |
| payload | JSON 결과에 존재하는 경우에 반환 |
| 크기 | JSON 결과에 존재하는 경우에 반환 |
| 서비스 | JSON 결과에 존재하는 경우에 반환 |
| mcb.req | JSON 결과에 존재하는 경우에 반환 |
| eth.src | JSON 결과에 존재하는 경우에 반환 |
| tcp.flags | JSON 결과에 존재하는 경우에 반환 |
| tcp.dstport | JSON 결과에 존재하는 경우에 반환 |
| direction | JSON 결과에 존재하는 경우에 반환 |
| 중간 | JSON 결과에 존재하는 경우에 반환 |
| ip.dst | JSON 결과에 존재하는 경우에 반환 |
| 알림 | JSON 결과에 존재하는 경우에 반환 |
| sessionid | JSON 결과에 존재하는 경우에 반환 |
| eth.type | JSON 결과에 존재하는 경우에 반환 |
| ip.src | JSON 결과에 존재하는 경우에 반환 |
| Eth.dst | JSON 결과에 존재하는 경우에 반환 |
| 했어 | JSON 결과에 존재하는 경우에 반환 |
| tcp.srcport | JSON 결과에 존재하는 경우에 반환 |
| packets | JSON 결과에 존재하는 경우에 반환 |
| 메시지를 수신할 수 있습니다 | JSON 결과에 존재하는 경우에 반환 |
| 시간 | JSON 결과에 존재하는 경우에 반환 |
| entropy.req | JSON 결과에 존재하는 경우에 반환 |
| ip.proto | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
사용자 주변 이벤트에 대해 NetWitness 쿼리
설명
RSA NetWitness에서 쿼리를 실행하여 알림의 지정된 사용자 이름에 대한 특정 쿼리(조건)의 모든 이벤트를 가져옵니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| payload.req | JSON 결과에 존재하는 경우에 반환 |
| ubc.req | JSON 결과에 존재하는 경우에 반환 |
| netname | JSON 결과에 존재하는 경우에 반환 |
| 전체 기간 | JSON 결과에 존재하는 경우에 반환 |
| rid | JSON 결과에 존재하는 경우에 반환 |
| payload | JSON 결과에 존재하는 경우에 반환 |
| 크기 | JSON 결과에 존재하는 경우에 반환 |
| 서비스 | JSON 결과에 존재하는 경우에 반환 |
| mcb.req | JSON 결과에 존재하는 경우에 반환 |
| mcbc.req | JSON 결과에 존재하는 경우에 반환 |
| tcp.dstport | JSON 결과에 존재하는 경우에 반환 |
| direction | JSON 결과에 존재하는 경우에 반환 |
| 중간 | JSON 결과에 존재하는 경우에 반환 |
| ip.dst | JSON 결과에 존재하는 경우에 반환 |
| 알림 | JSON 결과에 존재하는 경우에 반환 |
| sessionid | JSON 결과에 존재하는 경우에 반환 |
| eth.type | JSON 결과에 존재하는 경우에 반환 |
| ip.src | JSON 결과에 존재하는 경우에 반환 |
| tcp.flags | JSON 결과에 존재하는 경우에 반환 |
| Tcp.srcport | JSON 결과에 존재하는 경우에 반환 |
| packets | JSON 결과에 존재하는 경우에 반환 |
| user.src | JSON 결과에 존재하는 경우에 반환 |
| 메시지를 수신할 수 있습니다 | JSON 결과에 존재하는 경우에 반환 |
| 시간 | JSON 결과에 존재하는 경우에 반환 |
| entropy.req | JSON 결과에 존재하는 경우에 반환 |
| ip.proto | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
일반 쿼리 실행
설명
무료 쿼리를 실행하고 이벤트와 PCAP 파일을 수신합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 쿼리 | 0 | 해당 사항 없음 | 맞춤 쿼리 문자열입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| events_json | True/False | events_json:False |
JSON 결과
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
NetWitness의 'TI' 데이터베이스 업데이트
설명
NetWitness에서 맞춤 피드 구성을 설정하여 특정 메타데이터 키와 값으로 엔티티를 보강합니다. 이러한 이벤트는 나중에 NetWitness 상관관계 규칙에서 상관관계가 지정됩니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 키 값 문자열 | 0 | 해당 사항 없음 | 현재 형식으로 표시되는 키 값 문자열입니다(key1:val1,key2:val2). |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 결과
N/A
NetWitness 원시 입력의 TI 데이터베이스 업데이트
설명
NetWitness에서 맞춤 피드 구성을 설정하여 특정 메타데이터 키와 값으로 엔티티를 보강합니다. 이러한 이벤트는 나중에 NetWitness 상관관계 규칙에서 상관관계가 지정됩니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 식별자 | 0 | 해당 사항 없음 | 쉼표로 구분된 식별자 목록입니다. |
| 키 및 값 항목 | 0 | 해당 사항 없음 | 키 및 값 항목 |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
커넥터
Google SecOps에서 RSA NetWitness 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
선택한 커넥터를 구성하려면 다음 표에 나열된 커넥터별 매개변수를 사용하세요.
RSA NetWitness Incidents 커넥터
설명
RSA NetWitness Incidents 커넥터
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 2 | name | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| PythonProcessTimeout | 2 | 60 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| UI URI | 2 | https://x.x.x.x/ | 해당 사항 없음 |
| 컨센트레이터 URI | 2 | http://x.x.x.x:50105/ | 해당 사항 없음 |
| URI 디코딩 | 2 | https://x.x.x.x:50102/ | 해당 사항 없음 |
| 사용자 이름 | 2 | null | 해당 사항 없음 |
| 비밀번호 | 3 | null | 해당 사항 없음 |
| 규칙 생성기 필드 | 2 | null | 해당 사항 없음 |
| 이벤트 시간 필드 | 2 | 시간 | 해당 사항 없음 |
| 최대 이전 일수 | 1 | 1 | 해당 사항 없음 |
| 사고 수 제한 | 1 | 10 | 해당 사항 없음 |
| SSL 확인 | o | null | 해당 사항 없음 |
| 프록시 서버 주소 | 2 | null | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 2 | null | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 3 | null | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
RSA NetWitness 쿼리 커넥터
설명
RSA NetWitness 정적 쿼리 커넥터
커넥터 매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 2 | name | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| PythonProcessTimeout | 2 | 60 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| 컨센트레이터 URI | 2 | http://x.x.x.x:50105/ | 해당 사항 없음 |
| URI 디코딩 | 2 | https://x.x.x.x:50102/ | 해당 사항 없음 |
| 사용자 이름 | 2 | null | 해당 사항 없음 |
| 비밀번호 | 3 | null | 해당 사항 없음 |
| 쿼리 | 2 | null | 해당 사항 없음 |
| 규칙 생성기 필드 | 2 | null | 해당 사항 없음 |
| 알림 수 제한 | 1 | 10 | 해당 사항 없음 |
| 최대 이전 일수 | 1 | 1 | 해당 사항 없음 |
| 이벤트 시간 필드 | 2 | 시간 | 해당 사항 없음 |
| SSL 확인 | o | null | 해당 사항 없음 |
| 프록시 서버 주소 | 2 | null | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 2 | null | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 3 | null | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.