本頁面由 Cloud Translation API 翻譯而成。

將 Cisco Secure Network Analytics 與 Google SecOps 整合

整合版本：7.0

本文說明如何將 Cisco Secure Network Analytics (前身為 Stealthwatch) 與 Google Security Operations (Google SecOps) 整合。

用途

Cisco Secure Network Analytics 整合功能可解決下列用途：

擷取安全事件：在事件調查期間，使用 Google SecOps 功能從 Cisco Secure Network Analytics 伺服器搜尋及擷取主機安全事件。
搜尋網路流量資料：使用 Google SecOps 功能，在指定時間範圍內依 IP 位址搜尋網路流量，瞭解主機通訊模式。

整合參數

整合 Cisco Secure Network Analytics 時，需要下列參數：

參數	說明
`API Root`	必填。 Cisco Secure Network Analytics 執行個體的基準網址。預設值為 `https://x.x.x.x`。
`Username`	必填。用於登入 Cisco Secure Network Analytics 的使用者名稱。
`Password`	必填。用來登入 Cisco Secure Network Analytics 的密碼。
`Verify SSL`	選填。如果選取這個選項，整合服務會在連線至 Cisco Secure Network Analytics 伺服器時驗證 SSL 憑證。預設為停用。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作，請參閱「從工作台回覆待處理動作」和「執行手動動作」。

乒乓

使用「Ping」動作測試與 Cisco Secure Network Analytics 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

無

動作輸出內容

「Ping」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件總覽表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
輸出訊息	可用
指令碼結果	可用

輸出訊息

「Ping」動作可能會傳回下列輸出訊息：

輸出訊息訊息說明

輸出訊息	訊息說明
`Successfully connected to the Stealthwatch with the provided connection parameters!`	動作成功。
`Error executing action "Ping". Reason: ERROR_REASON`	動作失敗。請檢查伺服器連線、輸入參數或憑證。

Successfully connected to the Stealthwatch with the provided connection parameters!

動作成功。

Error executing action "Ping". Reason:
ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。

指令碼結果

下表列出使用 Ping 動作時，指令碼結果輸出的值：

指令碼結果名稱	值
`is_success`	`True`或`False`

搜尋事件

使用「搜尋事件」動作，從 Cisco Secure Network Analytics 擷取特定時間範圍內主機的安全性事件。

這項動作會對下列 Google SecOps 實體執行：

IP Address

動作輸入內容

「搜尋事件」動作需要下列參數：

參數說明

參數	說明
`Time Frame`	必填。以目前時間為準，回溯多少小時來納入安全事件的搜尋時間範圍。

Time Frame

必填。

以目前時間為準，回溯多少小時來納入安全事件的搜尋時間範圍。

動作輸出內容

「搜尋事件」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件總覽表格	無法使用
補充資訊表格	無法使用
JSON 結果	可用
輸出訊息	可用
指令碼結果	可用

搜尋流程

使用「搜尋流程」動作，從 Cisco Secure Network Analytics 擷取特定 IP 位址和時間範圍的網路流程資料。

這項動作會對下列 Google SecOps 實體執行：

IP Address

動作輸入內容

「搜尋流程」動作需要下列參數：

參數說明

參數	說明
`Time Frame`	必填。從目前時間回溯，要納入流程搜尋的小時數。
`Limit`	必填。從 Cisco Secure Network Analytics 擷取的流量記錄數量上限。

Time Frame

必填。

從目前時間回溯，要納入流程搜尋的小時數。

Limit

必填。

從 Cisco Secure Network Analytics 擷取的流量記錄數量上限。

動作輸出內容

「搜尋流程」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件總覽表格	無法使用
補充資訊表格	無法使用
JSON 結果	可用
輸出訊息	可用
指令碼結果	可用

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。