RSA NetWitness
Versão da integração: 15.0
Configurar a integração do RSA NetWitness no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Consultar o NetWitness para eventos relacionados ao host
Descrição
Atribua um problema a um usuário.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Retorna se ele existe no resultado JSON |
| org.src | Retorna se ele existe no resultado JSON |
| domain.src | Retorna se ele existe no resultado JSON |
| netname | Retorna se ele existe no resultado JSON |
| na vida | Retorna se ele existe no resultado JSON |
| remover | Retorna se ele existe no resultado JSON |
| payload | Retorna se ele existe no resultado JSON |
| tamanho | Retorna se ele existe no resultado JSON |
| country.src | Retorna se ele existe no resultado JSON |
| serviço | Retorna se ele existe no resultado JSON |
| longdec.src | Retorna se ele existe no resultado JSON |
| eth.src | Retorna se ele existe no resultado JSON |
| tcp.dstport | Retorna se ele existe no resultado JSON |
| direção | Retorna se ele existe no resultado JSON |
| médio | Retorna se ele existe no resultado JSON |
| ip.dst | Retorna se ele existe no resultado JSON |
| latdec.src | Retorna se ele existe no resultado JSON |
| city.src | Retorna se ele existe no resultado JSON |
| alerta | Retorna se ele existe no resultado JSON |
| sessionid | Retorna se ele existe no resultado JSON |
| eth.type | Retorna se ele existe no resultado JSON |
| ip.src | Retorna se ele existe no resultado JSON |
| tcp.flags | Retorna se ele existe no resultado JSON |
| eth.dst | Retorna se ele existe no resultado JSON |
| fez | Retorna se ele existe no resultado JSON |
| tcp.srcport | Retorna se ele existe no resultado JSON |
| pacote | Retorna se ele existe no resultado JSON |
| de aplicativos. | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| ip.proto | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Consultar o NetWitness para eventos relacionados ao IP
Descrição
Execute uma consulta no RSA NetWitness para recuperar todos os eventos de uma consulta específica (condições) para um determinado endereço IP no alerta.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Retorna se ele existe no resultado JSON |
| ubc.req | Retorna se ele existe no resultado JSON |
| netname | Retorna se ele existe no resultado JSON |
| na vida | Retorna se ele existe no resultado JSON |
| remover | Retorna se ele existe no resultado JSON |
| payload | Retorna se ele existe no resultado JSON |
| tamanho | Retorna se ele existe no resultado JSON |
| serviço | Retorna se ele existe no resultado JSON |
| mcb.req | Retorna se ele existe no resultado JSON |
| eth.src | Retorna se ele existe no resultado JSON |
| tcp.flags | Retorna se ele existe no resultado JSON |
| tcp.dstport | Retorna se ele existe no resultado JSON |
| direção | Retorna se ele existe no resultado JSON |
| médio | Retorna se ele existe no resultado JSON |
| ip.dst | Retorna se ele existe no resultado JSON |
| alerta | Retorna se ele existe no resultado JSON |
| sessionid | Retorna se ele existe no resultado JSON |
| eth.type | Retorna se ele existe no resultado JSON |
| ip.src | Retorna se ele existe no resultado JSON |
| Eth.dst | Retorna se ele existe no resultado JSON |
| fez | Retorna se ele existe no resultado JSON |
| tcp.srcport | Retorna se ele existe no resultado JSON |
| pacotes | Retorna se ele existe no resultado JSON |
| de aplicativos. | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| entropy.req | Retorna se ele existe no resultado JSON |
| ip.proto | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Consultar o NetWitness para eventos relacionados ao usuário
Descrição
Execute uma consulta no RSA NetWitness para recuperar todos os eventos de uma consulta específica (condições) para um determinado nome de usuário no alerta.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "User".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| payload.req | Retorna se ele existe no resultado JSON |
| ubc.req | Retorna se ele existe no resultado JSON |
| netname | Retorna se ele existe no resultado JSON |
| na vida | Retorna se ele existe no resultado JSON |
| remover | Retorna se ele existe no resultado JSON |
| payload | Retorna se ele existe no resultado JSON |
| tamanho | Retorna se ele existe no resultado JSON |
| serviço | Retorna se ele existe no resultado JSON |
| mcb.req | Retorna se ele existe no resultado JSON |
| mcbc.req | Retorna se ele existe no resultado JSON |
| tcp.dstport | Retorna se ele existe no resultado JSON |
| direção | Retorna se ele existe no resultado JSON |
| médio | Retorna se ele existe no resultado JSON |
| ip.dst | Retorna se ele existe no resultado JSON |
| alerta | Retorna se ele existe no resultado JSON |
| sessionid | Retorna se ele existe no resultado JSON |
| eth.type | Retorna se ele existe no resultado JSON |
| ip.src | Retorna se ele existe no resultado JSON |
| tcp.flags | Retorna se ele existe no resultado JSON |
| Tcp.srcport | Retorna se ele existe no resultado JSON |
| pacotes | Retorna se ele existe no resultado JSON |
| user.src | Retorna se ele existe no resultado JSON |
| de aplicativos. | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| entropy.req | Retorna se ele existe no resultado JSON |
| ip.proto | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Executar consulta geral
Descrição
Execute uma consulta gratuita e receba um evento e um arquivo PCAP.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Consulta | 0 | N/A | String de consulta personalizada. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| events_json | Verdadeiro/Falso | events_json:False |
Resultado do JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Atualizar o banco de dados de TI do NetWitness
Descrição
Defina uma configuração de feed personalizada no NetWitness para enriquecer entidades com chaves e valores de metadados específicos. Elas serão correlacionadas posteriormente nas regras de correlação do NetWitness.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| String de chave-valor | 0 | N/A | Uma string de valor de chave,que é apresentada no formato atual: key1:val1,key2:val2 |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado do JSON
N/A
Atualizar o banco de dados de TI da entrada bruta do NetWitness
Descrição
Defina uma configuração de feed personalizada no NetWitness para enriquecer entidades com chaves e valores de metadados específicos. Elas serão correlacionadas posteriormente nas regras de correlação do NetWitness.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Identificadores | 0 | N/A | Lista de identificadores separados por vírgulas. |
| Itens de chave e valor | 0 | N/A | Itens de chave e valor. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Conectores
Configurar conectores do RSA NetWitness no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Para configurar o conector selecionado, use os parâmetros específicos listados nas tabelas a seguir:
- Parâmetros de configuração do conector de incidentes do RSA NetWitness
- Parâmetros de configuração do conector de consulta do RSA NetWitness
Conector de incidentes do RSA NetWitness
Descrição
Conector de incidentes do RSA NetWitness.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | nome | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| URI da interface | 2 | https://x.x.x.x/ | N/A |
| URI do concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nome de usuário | 2 | null | N/A |
| Senha | 3 | null | N/A |
| Campo do gerador de regras | 2 | null | N/A |
| Campo de horário do evento | 2 | tempo | N/A |
| Número máximo de dias para retroceder | 1 | 1 | N/A |
| Limite de contagem de incidentes | 1 | 10 | N/A |
| Verificar SSL | o | null | N/A |
| Endereço do servidor proxy | 2 | null | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | 2 | null | O nome de usuário do proxy para autenticação. |
| Senha do proxy | 3 | null | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Conector de consulta do RSA NetWitness
Descrição
Conector de consulta estática do RSA NetWitness.
Parâmetros do conector
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| DeviceProductField | 2 | device_product | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | 2 | nome | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | 2 | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| URI do concentrador | 2 | http://x.x.x.x:50105/ | N/A |
| Decodificar URI | 2 | https://x.x.x.x:50102/ | N/A |
| Nome de usuário | 2 | null | N/A |
| Senha | 3 | null | N/A |
| Consulta | 2 | null | N/A |
| Campo do gerador de regras | 2 | null | N/A |
| Limite de contagem de alertas | 1 | 10 | N/A |
| Número máximo de dias para retroceder | 1 | 1 | N/A |
| Campo de horário do evento | 2 | tempo | N/A |
| Verificar SSL | o | null | N/A |
| Endereço do servidor proxy | 2 | null | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | 2 | null | O nome de usuário do proxy para autenticação. |
| Senha do proxy | 3 | null | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.