RSA NetWitness
整合版本:15.0
在 Google Security Operations 中設定 RSA NetWitness 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
查詢主機周圍的 NetWitness 事件
說明
將問題指派給使用者。
參數
不適用
用途
不適用
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| payload.req | 如果 JSON 結果中存在該值,則傳回該值 |
| org.src | 如果 JSON 結果中存在該值,則傳回該值 |
| domain.src | 如果 JSON 結果中存在該值,則傳回該值 |
| netname | 如果 JSON 結果中存在該值,則傳回該值 |
| 整個效期 | 如果 JSON 結果中存在該值,則傳回該值 |
| 去除 | 如果 JSON 結果中存在該值,則傳回該值 |
| 酬載 | 如果 JSON 結果中存在該值,則傳回該值 |
| 大小 | 如果 JSON 結果中存在該值,則傳回該值 |
| country.src | 如果 JSON 結果中存在該值,則傳回該值 |
| 服務 | 如果 JSON 結果中存在該值,則傳回該值 |
| longdec.src | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.src | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.dstport | 如果 JSON 結果中存在該值,則傳回該值 |
| 方向 | 如果 JSON 結果中存在該值,則傳回該值 |
| 中 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.dst | 如果 JSON 結果中存在該值,則傳回該值 |
| latdec.src | 如果 JSON 結果中存在該值,則傳回該值 |
| city.src | 如果 JSON 結果中存在該值,則傳回該值 |
| 快訊 | 如果 JSON 結果中存在該值,則傳回該值 |
| sessionid | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.type | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.src | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.flags | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.dst | 如果 JSON 結果中存在該值,則傳回該值 |
| did | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.srcport | 如果 JSON 結果中存在該值,則傳回該值 |
| 封包 | 如果 JSON 結果中存在該值,則傳回該值 |
| 串流 | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.proto | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
查詢 NetWitness 中與 IP 相關的事件
說明
在 RSA NetWitness 上執行查詢,擷取特定查詢 (條件) 的所有事件,這些事件與快訊中的指定 IP 位址相關。
參數
不適用
用途
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| payload.req | 如果 JSON 結果中存在該值,則傳回該值 |
| ubc.req | 如果 JSON 結果中存在該值,則傳回該值 |
| netname | 如果 JSON 結果中存在該值,則傳回該值 |
| 整個效期 | 如果 JSON 結果中存在該值,則傳回該值 |
| 去除 | 如果 JSON 結果中存在該值,則傳回該值 |
| 酬載 | 如果 JSON 結果中存在該值,則傳回該值 |
| 大小 | 如果 JSON 結果中存在該值,則傳回該值 |
| 服務 | 如果 JSON 結果中存在該值,則傳回該值 |
| mcb.req | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.src | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.flags | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.dstport | 如果 JSON 結果中存在該值,則傳回該值 |
| 方向 | 如果 JSON 結果中存在該值,則傳回該值 |
| 中 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.dst | 如果 JSON 結果中存在該值,則傳回該值 |
| 快訊 | 如果 JSON 結果中存在該值,則傳回該值 |
| sessionid | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.type | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.src | 如果 JSON 結果中存在該值,則傳回該值 |
| Eth.dst | 如果 JSON 結果中存在該值,則傳回該值 |
| did | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.srcport | 如果 JSON 結果中存在該值,則傳回該值 |
| 封包 | 如果 JSON 結果中存在該值,則傳回該值 |
| 串流 | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| entropy.req | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.proto | 如果 JSON 結果中存在,則傳回 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
查詢 NetWitness 中與使用者相關的事件
說明
在 RSA NetWitness 上執行查詢,擷取特定查詢 (條件) 的所有事件,這些事件與快訊中的特定使用者名稱相關。
參數
不適用
用途
不適用
執行時間
這項動作會對使用者實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| payload.req | 如果 JSON 結果中存在該值,則傳回該值 |
| ubc.req | 如果 JSON 結果中存在該值,則傳回該值 |
| netname | 如果 JSON 結果中存在該值,則傳回該值 |
| 整個效期 | 如果 JSON 結果中存在該值,則傳回該值 |
| 去除 | 如果 JSON 結果中存在該值,則傳回該值 |
| 酬載 | 如果 JSON 結果中存在該值,則傳回該值 |
| 大小 | 如果 JSON 結果中存在該值,則傳回該值 |
| 服務 | 如果 JSON 結果中存在該值,則傳回該值 |
| mcb.req | 如果 JSON 結果中存在該值,則傳回該值 |
| mcbc.req | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.dstport | 如果 JSON 結果中存在該值,則傳回該值 |
| 方向 | 如果 JSON 結果中存在該值,則傳回該值 |
| 中 | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.dst | 如果 JSON 結果中存在該值,則傳回該值 |
| 快訊 | 如果 JSON 結果中存在該值,則傳回該值 |
| sessionid | 如果 JSON 結果中存在該值,則傳回該值 |
| eth.type | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.src | 如果 JSON 結果中存在該值,則傳回該值 |
| tcp.flags | 如果 JSON 結果中存在該值,則傳回該值 |
| Tcp.srcport | 如果 JSON 結果中存在該值,則傳回該值 |
| 封包 | 如果 JSON 結果中存在該值,則傳回該值 |
| user.src | 如果 JSON 結果中存在該值,則傳回該值 |
| 串流 | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| entropy.req | 如果 JSON 結果中存在該值,則傳回該值 |
| ip.proto | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
執行一般查詢
說明
執行免費查詢,並接收事件和 PCAP 檔案。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 查詢 | 0 | 不適用 | 自訂查詢字串。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| events_json | True/False | events_json:False |
JSON 結果
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
更新 NetWitness 的「TI」資料庫
說明
在 NetWitness 中設定自訂動態饋給設定,以特定中繼資料鍵和值擴充實體。這些值稍後會在 NetWitness 關聯規則中相互關聯
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 鍵/值字串 | 0 | 不適用 | 鍵值字串,目前格式為:key1:val1,key2:val2 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 結果
N/A
更新 NetWitness 原始輸入的 TI 資料庫
說明
在 NetWitness 中設定自訂動態饋給設定,以特定中繼資料鍵和值擴充實體。這些事件稍後會在 NetWitness 關聯規則中相互關聯。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| ID | 0 | 不適用 | 以半形逗號分隔的 ID 清單。 |
| 鍵和值項目 | 0 | 不適用 | 鍵和值項目。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
連接器
在 Google SecOps 中設定 RSA NetWitness 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
如要設定所選的連接器,請使用下列表格列出的連接器專屬參數:
RSA NetWitness 事件連接器
說明
RSA NetWitness 事件連接器。
連接器參數
請使用下列參數設定連接器:
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用來判斷裝置產品的欄位名稱。 |
| EventClassId | 2 | 名稱 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| PythonProcessTimeout | 2 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| UI URI | 2 | https://x.x.x.x/ | 不適用 |
| 集中器 URI | 2 | http://x.x.x.x:50105/ | 不適用 |
| 解碼 URI | 2 | https://x.x.x.x:50102/ | 不適用 |
| 使用者名稱 | 2 | null | 不適用 |
| 密碼 | 3 | null | 不適用 |
| 規則產生器欄位 | 2 | null | 不適用 |
| 活動時間欄位 | 2 | 時間 | 不適用 |
| 最多可回溯的天數 | 1 | 1 | 不適用 |
| 事件數上限 | 1 | 10 | 不適用 |
| 驗證 SSL | o | null | 不適用 |
| Proxy 伺服器位址 | 2 | null | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 2 | null | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 3 | null | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
RSA NetWitness 查詢連接器
說明
RSA NetWitness 靜態查詢連接器。
連接器參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| DeviceProductField | 2 | device_product | 用來判斷裝置產品的欄位名稱。 |
| EventClassId | 2 | 名稱 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| PythonProcessTimeout | 2 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| 集中器 URI | 2 | http://x.x.x.x:50105/ | 不適用 |
| 解碼 URI | 2 | https://x.x.x.x:50102/ | 不適用 |
| 使用者名稱 | 2 | null | 不適用 |
| 密碼 | 3 | null | 不適用 |
| 查詢 | 2 | null | 不適用 |
| 規則產生器欄位 | 2 | null | 不適用 |
| 快訊數量上限 | 1 | 10 | 不適用 |
| 最多可回溯的天數 | 1 | 1 | 不適用 |
| 活動時間欄位 | 2 | 時間 | 不適用 |
| 驗證 SSL | o | null | 不適用 |
| Proxy 伺服器位址 | 2 | null | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 2 | null | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 3 | null | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。