Integrar Cisco Secure Network Analytics con Google SecOps
Versión de integración: 7.0
En este documento se explica cómo integrar Cisco Secure Network Analytics (antes Stealthwatch) con Google Security Operations (Google SecOps).
Casos prácticos
La integración de Cisco Secure Network Analytics puede abordar los siguientes casos prácticos:
Recuperar eventos de seguridad: usa las funciones de Google SecOps para buscar y recuperar eventos de seguridad de host del servidor de Cisco Secure Network Analytics durante la investigación de incidentes.
Buscar datos de flujo de red: usa las funciones de Google SecOps para buscar flujos de red por dirección IP en un periodo específico y, así, comprender los patrones de comunicación de los hosts.
Parámetros de integración
La integración de Cisco Secure Network Analytics requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root | Obligatorio. La URL base de la instancia de Cisco Secure Network Analytics. El valor predeterminado es |
Username | Obligatorio. Nombre de usuario que se utiliza para iniciar sesión en Cisco Secure Network Analytics. |
Password | Obligatorio. La contraseña que se usa para iniciar sesión en Cisco Secure Network Analytics. |
Verify SSL | Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Cisco Secure Network Analytics. Esta opción está inhabilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Usa la acción Ping para probar la conectividad con Cisco Secure Network Analytics.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Ping". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar eventos
Usa la acción Buscar eventos para obtener los eventos de seguridad de un host de Cisco Secure Network Analytics en un periodo determinado.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP Address
Entradas de acciones
La acción Buscar eventos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
Obligatorio. Número de horas, medido hacia atrás desde la hora actual, que se incluirán en la ventana de búsqueda de eventos de seguridad. |
Resultados de la acción
La acción Buscar eventos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Buscar flujos
Usa la acción Buscar flujos para obtener datos de flujo de red de Cisco Secure Network Analytics de una dirección IP y un periodo concretos.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP Address
Entradas de acciones
La acción Flujos de búsqueda requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame | Obligatorio. Número de horas, medido hacia atrás desde la hora actual, que se incluirán en la búsqueda de flujo. |
Limit | Obligatorio. Número máximo de registros de flujo que se pueden recuperar de Cisco Secure Network Analytics. |
Resultados de la acción
La acción Buscar flujos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.