RSA NetWitness
集成版本:15.0
在 Google Security Operations 中配置 RSA NetWitness 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
查询 NetWitness 以获取主机周围的事件
说明
将问题分配给用户。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| payload.req | 返回 JSON 结果中是否存在相应值 |
| org.src | 返回 JSON 结果中是否存在相应值 |
| domain.src | 返回 JSON 结果中是否存在相应值 |
| netname | 返回 JSON 结果中是否存在相应值 |
| 整个有效期 | 返回 JSON 结果中是否存在相应值 |
| 去除 | 返回 JSON 结果中是否存在相应值 |
| payload | 返回 JSON 结果中是否存在相应值 |
| 大小 | 返回 JSON 结果中是否存在相应值 |
| country.src | 返回 JSON 结果中是否存在相应值 |
| 服务 | 返回 JSON 结果中是否存在相应值 |
| longdec.src | 返回 JSON 结果中是否存在相应值 |
| eth.src | 返回 JSON 结果中是否存在相应值 |
| tcp.dstport | 返回 JSON 结果中是否存在相应值 |
| 方向 | 返回 JSON 结果中是否存在相应值 |
| 中 | 返回 JSON 结果中是否存在相应值 |
| ip.dst | 返回 JSON 结果中是否存在相应值 |
| latdec.src | 返回 JSON 结果中是否存在相应值 |
| city.src | 返回 JSON 结果中是否存在相应值 |
| 提醒 | 返回 JSON 结果中是否存在相应值 |
| sessionid | 返回 JSON 结果中是否存在相应值 |
| eth.type | 返回 JSON 结果中是否存在相应值 |
| ip.src | 返回 JSON 结果中是否存在相应值 |
| tcp.flags | 返回 JSON 结果中是否存在相应值 |
| eth.dst | 返回 JSON 结果中是否存在相应值 |
| did | 返回 JSON 结果中是否存在相应值 |
| tcp.srcport | 返回 JSON 结果中是否存在相应值 |
| 数据包 | 返回 JSON 结果中是否存在相应值 |
| 视频流 | 返回 JSON 结果中是否存在相应值 |
| 时间 | 返回 JSON 结果中是否存在相应值 |
| ip.proto | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
查询 NetWitness 中与 IP 相关的事件
说明
在 RSA NetWitness 上运行查询,以检索特定查询(条件)的所有事件,这些事件与提醒中的给定 IP 地址相关。
参数
不适用
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| payload.req | 返回 JSON 结果中是否存在相应值 |
| ubc.req | 返回 JSON 结果中是否存在相应值 |
| netname | 返回 JSON 结果中是否存在相应值 |
| 整个有效期 | 返回 JSON 结果中是否存在相应值 |
| 去除 | 返回 JSON 结果中是否存在相应值 |
| payload | 返回 JSON 结果中是否存在相应值 |
| 大小 | 返回 JSON 结果中是否存在相应值 |
| 服务 | 返回 JSON 结果中是否存在相应值 |
| mcb.req | 返回 JSON 结果中是否存在相应值 |
| eth.src | 返回 JSON 结果中是否存在相应值 |
| tcp.flags | 返回 JSON 结果中是否存在相应值 |
| tcp.dstport | 返回 JSON 结果中是否存在相应值 |
| 方向 | 返回 JSON 结果中是否存在相应值 |
| 中 | 返回 JSON 结果中是否存在相应值 |
| ip.dst | 返回 JSON 结果中是否存在相应值 |
| 提醒 | 返回 JSON 结果中是否存在相应值 |
| sessionid | 返回 JSON 结果中是否存在相应值 |
| eth.type | 返回 JSON 结果中是否存在相应值 |
| ip.src | 返回 JSON 结果中是否存在相应值 |
| Eth.dst | 返回 JSON 结果中是否存在相应值 |
| did | 返回 JSON 结果中是否存在相应值 |
| tcp.srcport | 返回 JSON 结果中是否存在相应值 |
| 数据包 | 返回 JSON 结果中是否存在相应值 |
| 视频流 | 返回 JSON 结果中是否存在相应值 |
| 时间 | 返回 JSON 结果中是否存在相应值 |
| entropy.req | 返回 JSON 结果中是否存在相应值 |
| ip.proto | 如果存在于 JSON 结果中,则返回 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
查询 NetWitness 以获取用户周围的事件
说明
在 RSA NetWitness 上运行查询,以检索提醒中指定用户名的特定查询(条件)的所有事件。
参数
不适用
使用场景
不适用
运行于
此操作在 User 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| payload.req | 返回 JSON 结果中是否存在相应值 |
| ubc.req | 返回 JSON 结果中是否存在相应值 |
| netname | 返回 JSON 结果中是否存在相应值 |
| 整个有效期 | 返回 JSON 结果中是否存在相应值 |
| 去除 | 返回 JSON 结果中是否存在相应值 |
| payload | 返回 JSON 结果中是否存在相应值 |
| 大小 | 返回 JSON 结果中是否存在相应值 |
| 服务 | 返回 JSON 结果中是否存在相应值 |
| mcb.req | 返回 JSON 结果中是否存在相应值 |
| mcbc.req | 返回 JSON 结果中是否存在相应值 |
| tcp.dstport | 返回 JSON 结果中是否存在相应值 |
| 方向 | 返回 JSON 结果中是否存在相应值 |
| 中 | 返回 JSON 结果中是否存在相应值 |
| ip.dst | 返回 JSON 结果中是否存在相应值 |
| 提醒 | 返回 JSON 结果中是否存在相应值 |
| sessionid | 返回 JSON 结果中是否存在相应值 |
| eth.type | 返回 JSON 结果中是否存在相应值 |
| ip.src | 返回 JSON 结果中是否存在相应值 |
| tcp.flags | 返回 JSON 结果中是否存在相应值 |
| Tcp.srcport | 返回 JSON 结果中是否存在相应值 |
| 数据包 | 返回 JSON 结果中是否存在相应值 |
| user.src | 返回 JSON 结果中是否存在相应值 |
| 视频流 | 返回 JSON 结果中是否存在相应值 |
| 时间 | 返回 JSON 结果中是否存在相应值 |
| entropy.req | 返回 JSON 结果中是否存在相应值 |
| ip.proto | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
运行常规查询
说明
运行免费查询并接收事件和 PCAP 文件。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 查询 | 0 | 不适用 | 自定义查询字符串。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| events_json | True/False | events_json:False |
JSON 结果
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
更新 NetWitness 的“TI”数据库
说明
在 NetWitness 中设置自定义 Feed 配置,以使用特定元数据键和值来丰富实体。这些信息稍后将在 NetWitness 相关性规则中进行关联
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 键值对字符串 | 0 | 不适用 | 以当前格式呈现的键值字符串:key1:val1,key2:val2 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 结果
N/A
更新 NetWitness 原始输入的 TI 数据库
说明
在 NetWitness 中设置自定义 Feed 配置,以使用特定元数据键和值来丰富实体。这些信息稍后将在 NetWitness 相关性规则中进行关联。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 标识符 | 0 | 不适用 | 以英文逗号分隔的标识符列表。 |
| 关键和价值项目 | 0 | 不适用 | 键和值项。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
连接器
在 Google SecOps 中配置 RSA NetWitness 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
如需配置所选连接器,请使用下表中列出的连接器专用参数:
RSA NetWitness Incidents 连接器
说明
RSA NetWitness Incidents 连接器。
连接器参数
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用于确定设备产品的字段名称。 |
| EventClassId | 2 | name | 用于确定事件名称(子类型)的字段名称。 |
| PythonProcessTimeout | 2 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| 界面 URI | 2 | https://x.x.x.x/ | 不适用 |
| 集中器 URI | 2 | http://x.x.x.x:50105/ | 不适用 |
| 解码 URI | 2 | https://x.x.x.x:50102/ | 不适用 |
| 用户名 | 2 | null | 不适用 |
| 密码 | 3 | null | 不适用 |
| 规则生成器字段 | 2 | null | 不适用 |
| 活动时间字段 | 2 | 时间 | 不适用 |
| 回溯的天数上限 | 1 | 1 | 不适用 |
| 突发事件数量限制 | 1 | 10 | 不适用 |
| 验证 SSL | o | null | 不适用 |
| 代理服务器地址 | 2 | null | 要使用的代理服务器的地址。 |
| 代理用户名 | 2 | null | 用于进行身份验证的代理用户名。 |
| 代理密码 | 3 | null | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
RSA NetWitness 查询连接器
说明
RSA NetWitness 静态查询连接器。
连接器参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用于确定设备产品的字段名称。 |
| EventClassId | 2 | name | 用于确定事件名称(子类型)的字段名称。 |
| PythonProcessTimeout | 2 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| 集中器 URI | 2 | http://x.x.x.x:50105/ | 不适用 |
| 解码 URI | 2 | https://x.x.x.x:50102/ | 不适用 |
| 用户名 | 2 | null | 不适用 |
| 密码 | 3 | null | 不适用 |
| 查询 | 2 | null | 不适用 |
| 规则生成器字段 | 2 | null | 不适用 |
| 提醒数量上限 | 1 | 10 | 不适用 |
| 回溯的天数上限 | 1 | 1 | 不适用 |
| 活动时间字段 | 2 | 时间 | 不适用 |
| 验证 SSL | o | null | 不适用 |
| 代理服务器地址 | 2 | null | 要使用的代理服务器的地址。 |
| 代理用户名 | 2 | null | 用于进行身份验证的代理用户名。 |
| 代理密码 | 3 | null | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。