RSA NetWitness
Versão da integração: 15.0
Configure a integração do RSA NetWitness no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Consultar o NetWitness para eventos em torno do anfitrião
Descrição
Atribuir um problema a um utilizador.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Hostname.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Devolve se existir no resultado JSON |
| org.src | Devolve se existir no resultado JSON |
| domain.src | Devolve se existir no resultado JSON |
| netname | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| livrar | Devolve se existir no resultado JSON |
| payload | Devolve se existir no resultado JSON |
| tamanho | Devolve se existir no resultado JSON |
| country.src | Devolve se existir no resultado JSON |
| serviço | Devolve se existir no resultado JSON |
| longdec.src | Devolve se existir no resultado JSON |
| eth.src | Devolve se existir no resultado JSON |
| tcp.dstport | Devolve se existir no resultado JSON |
| direção | Devolve se existir no resultado JSON |
| média | Devolve se existir no resultado JSON |
| ip.dst | Devolve se existir no resultado JSON |
| latdec.src | Devolve se existir no resultado JSON |
| city.src | Devolve se existir no resultado JSON |
| alerta | Devolve se existir no resultado JSON |
| sessionid | Devolve se existir no resultado JSON |
| eth.type | Devolve se existir no resultado JSON |
| ip.src | Devolve se existir no resultado JSON |
| tcp.flags | Devolve se existir no resultado JSON |
| eth.dst | Devolve se existir no resultado JSON |
| fez | Devolve se existir no resultado JSON |
| tcp.srcport | Devolve se existir no resultado JSON |
| pacote | Devolve se existir no resultado JSON |
| streams | Devolve se existir no resultado JSON |
| tempo | Devolve se existir no resultado JSON |
| ip.proto | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Consultar o NetWitness para eventos em torno do IP
Descrição
Execute uma consulta no RSA NetWitness para obter todos os eventos de uma consulta específica (condições) para um determinado endereço IP no alerta.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Devolve se existir no resultado JSON |
| ubc.req | Devolve se existir no resultado JSON |
| netname | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| livrar | Devolve se existir no resultado JSON |
| payload | Devolve se existir no resultado JSON |
| tamanho | Devolve se existir no resultado JSON |
| serviço | Devolve se existir no resultado JSON |
| mcb.req | Devolve se existir no resultado JSON |
| eth.src | Devolve se existir no resultado JSON |
| tcp.flags | Devolve se existir no resultado JSON |
| tcp.dstport | Devolve se existir no resultado JSON |
| direção | Devolve se existir no resultado JSON |
| média | Devolve se existir no resultado JSON |
| ip.dst | Devolve se existir no resultado JSON |
| alerta | Devolve se existir no resultado JSON |
| sessionid | Devolve se existir no resultado JSON |
| eth.type | Devolve se existir no resultado JSON |
| ip.src | Devolve se existir no resultado JSON |
| Eth.dst | Devolve se existir no resultado JSON |
| fez | Devolve se existir no resultado JSON |
| tcp.srcport | Devolve se existir no resultado JSON |
| pacotes | Devolve se existir no resultado JSON |
| streams | Devolve se existir no resultado JSON |
| tempo | Devolve se existir no resultado JSON |
| entropy.req | Devolve se existir no resultado JSON |
| ip.proto | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Consultar o NetWitness para eventos relacionados com o utilizador
Descrição
Execute uma consulta no RSA NetWitness para obter todos os eventos de uma consulta específica (condições) para um determinado nome de utilizador no alerta.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Devolve se existir no resultado JSON |
| ubc.req | Devolve se existir no resultado JSON |
| netname | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| livrar | Devolve se existir no resultado JSON |
| payload | Devolve se existir no resultado JSON |
| tamanho | Devolve se existir no resultado JSON |
| serviço | Devolve se existir no resultado JSON |
| mcb.req | Devolve se existir no resultado JSON |
| mcbc.req | Devolve se existir no resultado JSON |
| tcp.dstport | Devolve se existir no resultado JSON |
| direção | Devolve se existir no resultado JSON |
| média | Devolve se existir no resultado JSON |
| ip.dst | Devolve se existir no resultado JSON |
| alerta | Devolve se existir no resultado JSON |
| sessionid | Devolve se existir no resultado JSON |
| eth.type | Devolve se existir no resultado JSON |
| ip.src | Devolve se existir no resultado JSON |
| tcp.flags | Devolve se existir no resultado JSON |
| Tcp.srcport | Devolve se existir no resultado JSON |
| pacotes | Devolve se existir no resultado JSON |
| user.src | Devolve se existir no resultado JSON |
| streams | Devolve se existir no resultado JSON |
| tempo | Devolve se existir no resultado JSON |
| entropy.req | Devolve se existir no resultado JSON |
| ip.proto | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Executar consulta geral
Descrição
Execute uma consulta gratuita e receba um evento e um ficheiro PCAP.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Consulta | 0 | N/A | String de consulta personalizada. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_json | Verdadeiro/Falso | events_json:False |
Resultado JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Atualize a base de dados "TI" do NetWitness
Descrição
Defina a configuração do feed personalizado no NetWitness para enriquecer as entidades com chaves e valores de metadados específicos. Estes serão correlacionados mais tarde nas regras de correlação do NetWitness
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| String de valor-chave | 0 | N/A | Uma string de chave-valor,que é apresentada no formato atual: key1:val1,key2:val2 |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado JSON
N/A
Atualize a base de dados de TI de entrada não processada do NetWitness
Descrição
Defina a configuração do feed personalizado no NetWitness para enriquecer as entidades com chaves e valores de metadados específicos. Estes serão correlacionados posteriormente nas regras de correlação do NetWitness.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Identificadores | 0 | N/A | Lista de identificadores separados por vírgulas. |
| Itens de chave e valor | 0 | N/A | Itens de chave e valor. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Conetores
Configure conetores do RSA NetWitness no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Para configurar o conector selecionado, use os parâmetros específicos do conector indicados nas tabelas seguintes:
- Parâmetros de configuração do conetor de incidentes do RSA NetWitness
- Parâmetros de configuração do conector de consultas do RSA NetWitness
Conetor de incidentes do RSA NetWitness
Descrição
Conector de incidentes do RSA NetWitness.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | nome | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| URI da IU | 2 | https://x.x.x.x/ | N/A |
| URI do concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Descodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nome de utilizador | 2 | nulo | N/A |
| Palavra-passe | 3 | nulo | N/A |
| Campo do gerador de regras | 2 | nulo | N/A |
| Campo de hora do evento | 2 | tempo | N/A |
| Máximo de dias para trás | 1 | 1 | N/A |
| Limite de número de incidentes | 1 | 10 | N/A |
| Validar SSL | o | nulo | N/A |
| Endereço do servidor proxy | 2 | nulo | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | 2 | nulo | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | 3 | nulo | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
RSA NetWitness Query Connector
Descrição
Conector de consulta estática do RSA NetWitness.
Parâmetros do conetor
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | nome | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| URI do concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Descodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nome de utilizador | 2 | nulo | N/A |
| Palavra-passe | 3 | nulo | N/A |
| Consulta | 2 | nulo | N/A |
| Campo do gerador de regras | 2 | nulo | N/A |
| Limite de contagem de alertas | 1 | 10 | N/A |
| Máximo de dias para trás | 1 | 1 | N/A |
| Campo de hora do evento | 2 | tempo | N/A |
| Validar SSL | o | nulo | N/A |
| Endereço do servidor proxy | 2 | nulo | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | 2 | nulo | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | 3 | nulo | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.