将 Cisco Secure Network Analytics 与 Google SecOps 集成
集成版本:7.0
本文档介绍了如何将 Cisco Secure Network Analytics(以前称为 Stealthwatch)与 Google Security Operations (Google SecOps) 集成。
使用场景
Cisco Secure Network Analytics 集成可解决以下使用情形:
检索安全事件:在事件调查期间,使用 Google SecOps 功能从 Cisco Secure Network Analytics 服务器搜索和检索主机安全事件。
搜索网络流数据:使用 Google SecOps 功能,在指定时间范围内按 IP 地址搜索网络流,以了解主机通信模式。
集成参数
Cisco Secure Network Analytics 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root | 必填。 Cisco Secure Network Analytics 实例的基础网址。 默认值为 |
Username | 必填。 用于登录 Cisco Secure Network Analytics 的用户名。 |
Password | 必填。 用于登录 Cisco Secure Network Analytics 的密码。 |
Verify SSL | 可选。 如果选中此选项,集成会在连接到 Cisco Secure Network Analytics 服务器时验证 SSL 证书。 默认情况下,该环境处于停用状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
使用 Ping 操作测试与 Cisco Secure Network Analytics 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Ping". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索活动
使用 Search Events 操作从 Cisco Secure Network Analytics 中检索主机的安全事件,时间范围为指定的时间段。
此操作适用于以下 Google SecOps 实体:
IP Address
操作输入
搜索活动操作需要以下参数:
| 参数 | 说明 |
|---|---|
Time Frame |
必填。 要纳入安全事件搜索窗口的小时数(从当前时间往回计算)。 |
操作输出
搜索活动操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
搜索流程
使用搜索流操作从 Cisco Secure Network Analytics 中检索指定 IP 地址和时间范围的网络流数据。
此操作适用于以下 Google SecOps 实体:
IP Address
操作输入
搜索流程操作需要以下参数:
| 参数 | 说明 |
|---|---|
Time Frame | 必填。 要纳入流量搜索范围的小时数(从当前时间往回计算)。 |
Limit | 必填。 要从 Cisco Secure Network Analytics 检索的流量记录数上限。 |
操作输出
搜索流操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。