Intégrer Cisco Secure Network Analytics à Google SecOps
Version de l'intégration : 7.0
Ce document explique comment intégrer Cisco Secure Network Analytics (anciennement Stealthwatch) à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration de Cisco Secure Network Analytics peut répondre aux cas d'utilisation suivants :
Récupérer les événements de sécurité : utilisez les fonctionnalités Google SecOps pour rechercher et récupérer les événements de sécurité de l'hôte à partir du serveur Cisco Secure Network Analytics lors de l'investigation d'un incident.
Rechercher des données sur les flux réseau : utilisez les fonctionnalités Google SecOps pour rechercher des flux réseau par adresse IP au cours d'une période spécifiée afin de comprendre les schémas de communication des hôtes.
Paramètres d'intégration
L'intégration Cisco Secure Network Analytics nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Root | Obligatoire. URL de base de l'instance Cisco Secure Network Analytics. La valeur par défaut est |
Username | Obligatoire. Nom d'utilisateur utilisé pour se connecter à Cisco Secure Network Analytics. |
Password | Obligatoire. Mot de passe utilisé pour se connecter à Cisco Secure Network Analytics. |
Verify SSL | Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Cisco Secure Network Analytics. Désactivé par défaut |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre bureau et Effectuer une action manuelle.
Ping
Utilisez l'action Ping pour tester la connectivité à Cisco Secure Network Analytics.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Ping". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des événements
Utilisez l'action Rechercher des événements pour récupérer les événements de sécurité d'un hôte à partir de Cisco Secure Network Analytics pour une période donnée.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP Address
Entrées d'action
L'action Search Events (Rechercher des événements) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Time Frame |
Obligatoire. Nombre d'heures à inclure dans la période de recherche des événements de sécurité, en remontant dans le temps à partir de l'heure actuelle. |
Sorties d'action
L'action Rechercher des événements fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Flux de recherche
Utilisez l'action Search Flows (Rechercher des flux) pour récupérer les données de flux réseau de Cisco Secure Network Analytics pour une adresse IP et une période données.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP Address
Entrées d'action
L'action Flux de recherche nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Time Frame | Obligatoire. Nombre d'heures à inclure dans la recherche de flux, mesuré à partir de l'heure actuelle. |
Limit | Obligatoire. Nombre maximal d'enregistrements de flux à récupérer à partir de Cisco Secure Network Analytics. |
Sorties d'action
L'action Flux de recherche fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.