Cisco Secure Network Analytics を Google SecOps と統合する
統合バージョン: 7.0
このドキュメントでは、Cisco Secure Network Analytics(旧称 Stealthwatch)を Google Security Operations(Google SecOps)と統合する方法について説明します。
ユースケース
Cisco Secure Network Analytics の統合は、次のユースケースに対応できます。
セキュリティ イベントを取得する: インシデント調査中に、Google SecOps の機能を使用して、Cisco Secure Network Analytics サーバーからホスト セキュリティ イベントを検索して取得します。
ネットワーク フローデータを検索する: Google SecOps の機能を使用して、指定した期間内の IP アドレスでネットワーク フローを検索し、ホストの通信パターンを把握します。
統合のパラメータ
Cisco Secure Network Analytics 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root | 必須。 Cisco Secure Network Analytics インスタンスのベース URL。 デフォルト値は |
Username | 必須。 Cisco Secure Network Analytics へのログインに使用するユーザー名。 |
Password | 必須。 Cisco Secure Network Analytics へのログインに使用するパスワード。 |
Verify SSL | 省略可。 選択すると、Cisco Secure Network Analytics サーバーに接続するときに、統合によって SSL 証明書が検証されます。 デフォルトでは無効にされています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
Ping アクションを使用して、Cisco Secure Network Analytics への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Ping". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検索イベント
イベントを検索アクションを使用して、指定した期間のホストのセキュリティ イベントを Cisco Secure Network Analytics から取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP Address
アクション入力
検索イベント アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Time Frame |
必須。 セキュリティ イベントの検索期間に含める、現在時刻から遡って計測した時間数。 |
アクションの出力
[イベントを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
フローを検索する
検索フロー アクションを使用して、特定の IP アドレスと期間の Cisco Secure Network Analytics からネットワーク フローデータを取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP Address
アクション入力
検索フロー アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Time Frame | 必須。 フロー検索に含める、現在時刻から遡って計測した時間数。 |
Limit | 必須。 Cisco Secure Network Analytics から取得するフローレコードの最大数。 |
アクションの出力
[フローを検索] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。