Integrar o Cisco Secure Network Analytics ao Google SecOps
Versão da integração: 7.0
Este documento explica como integrar o Cisco Secure Network Analytics (antigo Stealthwatch) ao Google Security Operations (Google SecOps).
Casos de uso
A integração do Cisco Secure Network Analytics pode resolver os seguintes casos de uso:
Recuperar eventos de segurança: use os recursos do Google SecOps para pesquisar e recuperar eventos de segurança do host no servidor do Cisco Secure Network Analytics durante a investigação de incidentes.
Pesquisar dados de fluxo de rede: use os recursos do Google SecOps para pesquisar fluxos de rede por endereço IP em um período especificado e entender os padrões de comunicação do host.
Parâmetros de integração
A integração do Cisco Secure Network Analytics exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root | Obrigatório. O URL de base da instância do Cisco Secure Network Analytics. O valor padrão é |
Username | Obrigatório. O nome de usuário usado para fazer login no Cisco Secure Network Analytics. |
Password | Obrigatório. A senha usada para fazer login no Cisco Secure Network Analytics. |
Verify SSL | Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Cisco Secure Network Analytics. Essa configuração está desativada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Use a ação Ping para testar a conectividade com o Cisco Secure Network Analytics.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Ping". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação "Ping":
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar eventos
Use a ação Pesquisar eventos para recuperar os eventos de segurança de um host do Cisco Secure Network Analytics em um determinado período.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP Address
Entradas de ação
A ação Eventos de pesquisa exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Time Frame |
Obrigatório. O número de horas, medido de trás para frente a partir do horário atual, a ser incluído no período de pesquisa de eventos de segurança. |
Saídas de ação
A ação Pesquisar eventos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Pesquisar fluxos
Use a ação Pesquisar fluxos para recuperar dados de fluxo de rede do Cisco Secure Network Analytics para um determinado endereço IP e período.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP Address
Entradas de ação
A ação Fluxos de pesquisa exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Time Frame | Obrigatório. O número de horas, medido de trás para frente a partir do horário atual, a ser incluído na pesquisa de fluxo. |
Limit | Obrigatório. O número máximo de registros de fluxo a serem recuperados do Cisco Secure Network Analytics. |
Saídas de ação
A ação Pesquisar fluxos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.