Integra Cisco Secure Network Analytics con Google SecOps
Versione integrazione: 7.0
Questo documento spiega come integrare Cisco Secure Network Analytics (in precedenza Stealthwatch) con Google Security Operations (Google SecOps).
Casi d'uso
L'integrazione di Cisco Secure Network Analytics può risolvere i seguenti casi d'uso:
Recupera eventi di sicurezza: utilizza le funzionalità di Google SecOps per cercare e recuperare eventi di sicurezza host dal server Cisco Secure Network Analytics durante l'indagine sugli incidenti.
Cerca dati sul flusso di rete: utilizza le funzionalità di Google SecOps per cercare flussi di rete per indirizzo IP in un periodo di tempo specificato per comprendere i pattern di comunicazione degli host.
Parametri di integrazione
L'integrazione di Cisco Secure Network Analytics richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API Root | Obbligatorio. L'URL di base dell'istanza Cisco Secure Network Analytics. Il valore predefinito è |
Username | Obbligatorio. Il nome utente utilizzato per accedere a Cisco Secure Network Analytics. |
Password | Obbligatorio. La password utilizzata per accedere a Cisco Secure Network Analytics. |
Verify SSL | Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Cisco Secure Network Analytics. Disabilitato per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supporto di più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Utilizza l'azione Ping per testare la connettività a Cisco Secure Network Analytics.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Ping". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca eventi
Utilizza l'azione Cerca eventi per recuperare gli eventi di sicurezza di un host da Cisco Secure Network Analytics per un determinato periodo di tempo.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP Address
Input azione
L'azione Cerca eventi richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Time Frame |
Obbligatorio. Il numero di ore, misurato a ritroso dall'ora attuale, da includere nella finestra di ricerca degli eventi di sicurezza. |
Output dell'azione
L'azione Cerca eventi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Flussi di ricerca
Utilizza l'azione Flussi di ricerca per recuperare i dati sul flusso di rete da Cisco Secure Network Analytics per un determinato indirizzo IP e intervallo di tempo.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP Address
Input azione
L'azione Flussi di ricerca richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Time Frame | Obbligatorio. Il numero di ore, misurato a ritroso dall'ora attuale, da includere nella ricerca del flusso. |
Limit | Obbligatorio. Il numero massimo di record di flusso da recuperare da Cisco Secure Network Analytics. |
Output dell'azione
L'azione Cerca flussi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.