Cisco Secure Network Analytics in Google SecOps einbinden
Integrationsversion: 7.0
In diesem Dokument wird beschrieben, wie Sie Cisco Secure Network Analytics (früher Stealthwatch) in Google Security Operations (Google SecOps) einbinden.
Anwendungsfälle
Die Integration von Cisco Secure Network Analytics kann die folgenden Anwendungsfälle abdecken:
Sicherheitsereignisse abrufen: Mit den Google SecOps-Funktionen können Sie während der Untersuchung von Vorfällen auf dem Cisco Secure Network Analytics-Server nach Host-Sicherheitsereignissen suchen und diese abrufen.
Nach Daten zum Netzwerkfluss suchen: Mit den Google SecOps-Funktionen können Sie innerhalb eines bestimmten Zeitrahmens nach Netzwerkflüssen anhand der IP-Adresse suchen, um die Kommunikationsmuster von Hosts zu analysieren.
Integrationsparameter
Für die Cisco Secure Network Analytics-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root | Erforderlich. Die Basis-URL der Cisco Secure Network Analytics-Instanz. Der Standardwert ist |
Username | Erforderlich. Der Nutzername, mit dem Sie sich bei Cisco Secure Network Analytics anmelden. |
Password | Erforderlich. Das Passwort, mit dem Sie sich in Cisco Secure Network Analytics anmelden. |
Verify SSL | Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit dem Cisco Secure Network Analytics-Server validiert. Standardmäßig deaktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Cisco Secure Network Analytics zu testen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Ping". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Ping“ aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ereignisse suchen
Mit der Aktion Search Events (Ereignisse suchen) können Sie die Sicherheitsereignisse eines Hosts für einen bestimmten Zeitraum aus Cisco Secure Network Analytics abrufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP Address
Aktionseingaben
Für die Aktion Search Events sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Time Frame |
Erforderlich. Die Anzahl der Stunden, die ab der aktuellen Zeit rückwärts gemessen werden und im Suchzeitraum für Sicherheitsereignisse enthalten sein sollen. |
Aktionsausgaben
Die Aktion Search Events (Ereignisse suchen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Nach Flows suchen
Verwenden Sie die Aktion Search Flows, um Netzwerkflussdaten aus Cisco Secure Network Analytics für eine bestimmte IP-Adresse und einen bestimmten Zeitraum abzurufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP Address
Aktionseingaben
Für die Aktion Suchvorgänge sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Time Frame | Erforderlich. Die Anzahl der Stunden, die ab der aktuellen Zeit rückwärts gemessen werden und in die Suche nach dem Flow einbezogen werden sollen. |
Limit | Erforderlich. Die maximale Anzahl der Flow-Datensätze, die aus Cisco Secure Network Analytics abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Flows durchsuchen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten