Integra Cisco Secure Network Analytics con Google SecOps
Versión de integración: 7.0
En este documento, se explica cómo integrar Cisco Secure Network Analytics (antes Stealthwatch) con Google Security Operations (Google SecOps).
Casos de uso
La integración de Cisco Secure Network Analytics puede abordar los siguientes casos de uso:
Recupera eventos de seguridad: Usa las capacidades de Google SecOps para buscar y recuperar eventos de seguridad del host desde el servidor de Cisco Secure Network Analytics durante la investigación de incidentes.
Busca datos de flujo de red: Usa las capacidades de SecOps de Google para buscar flujos de red por dirección IP dentro de un período especificado y comprender los patrones de comunicación del host.
Parámetros de integración
La integración de Cisco Secure Network Analytics requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root | Obligatorio. Es la URL base de la instancia de Cisco Secure Network Analytics. El valor predeterminado es |
Username | Obligatorio. Es el nombre de usuario que se usa para acceder a Cisco Secure Network Analytics. |
Password | Obligatorio. Es la contraseña que se usa para acceder a Cisco Secure Network Analytics. |
Verify SSL | Es opcional. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Cisco Secure Network Analytics. Está inhabilitado de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.
Ping
Usa la acción Ping para probar la conectividad a Cisco Secure Network Analytics.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Ping". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Buscar eventos
Usa la acción Search Events para recuperar los eventos de seguridad de un host de Cisco Secure Network Analytics para un período determinado.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP Address
Entradas de acción
La acción Search Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
Obligatorio. Cantidad de horas, medidas hacia atrás desde la hora actual, que se incluirán en la ventana de búsqueda de eventos de seguridad. |
Resultados de la acción
La acción Search Events proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Flujos de búsqueda
Usa la acción Search Flows para recuperar datos de flujo de red de Cisco Secure Network Analytics para una dirección IP y un período determinados.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP Address
Entradas de acción
La acción Search Flows requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame | Obligatorio. Es la cantidad de horas, medidas hacia atrás desde la hora actual, que se incluirán en la búsqueda del flujo. |
Limit | Obligatorio. Es la cantidad máxima de registros de flujo que se pueden recuperar de Cisco Secure Network Analytics. |
Resultados de la acción
La acción Search Flows proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.