Varonis Data Security Platform
Integrationsversion: 4.0
Anwendungsfälle für Produkte
- Varonis-Warnungen zur Analyse in Google Security Operations aufnehmen.
- Aktualisieren Sie die Varonis-Benachrichtigungen in Google SecOps.
Product PermissionConfiguration
So konfigurieren Sie Varonis für die Zusammenarbeit mit Google SecOps:
- Auf der DatAdvantage-Bereitstellung muss ein spezieller API-Patch installiert werden. Wenden Sie sich dazu an das Varonis-Team.
- Der Nutzer, der für die Integration verwendet wird, sollte die Rollen „Web UI User“ und „DatAlertConfiguration“ haben.
Varonis Data Security Platform-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{ip address}:{port} | Ja | Geben Sie die API-URL für die Zielinstanz von Varonis Data Security an. |
| Nutzername | String | – | Ja | Geben Sie den Nutzernamen an, mit dem die Verbindung hergestellt werden soll. |
| Passwort | Passwort | – | Ja | Geben Sie das Passwort für die Verbindung an. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das für den API-Root konfigurierte Zertifikat validiert. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zur Varonis Data Security Platform mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Beispiele für Anwendungsfälle von Playbooks
Die Aktion wird verwendet, um die Konnektivität auf der Seite „Integrationskonfiguration“ auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden und wird nicht in Playbooks verwendet.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Die Verbindung zur Varonis Data Security Platform wurde mit den angegebenen Verbindungsparametern hergestellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn dies nicht erfolgreich ist: „Verbindung zur Varonis Data Security Platform konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Benachrichtigung ändern
Beschreibung
Aktualisieren Sie die Varonis Data Security Platform-Benachrichtigung.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-GUID | CSV | – | Ja | Geben Sie die GUID der Benachrichtigung für das Update an. Diese Aktion kann für mehrere Benachrichtigungen ausgeführt werden. Mehrere Benachrichtigungen können als durch Kommas getrennter String angegeben werden. |
| Benachrichtigungsstatus | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Ja | Geben Sie den Warnungsstatus an, auf den aktualisiert werden soll. |
| Grund für Schließen | DDL | Keine Angabe Mögliche Werte:
|
Nein | Geben Sie den Grund für das Schließen der Benachrichtigung an. Wenn der Warnungsstatus in „Geschlossen“ geändert wird, muss ein Schließungsgrund angegeben werden. |
Beispiele für Anwendungsfälle von Playbooks
Aktualisieren Sie die DatAdvantage-Benachrichtigung von Google SecOps.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Benachrichtigung erfolgreich aktualisiert wurde: „Alert(s) {0} were updated successfully“ (Benachrichtigungen {0} wurden aktualisiert).format(list of alerts) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn die Aktualisierung der Benachrichtigung fehlgeschlagen ist: „Benachrichtigungen {0} konnten aufgrund des folgenden Fehlers {1} nicht aktualisiert werden“.format(alert list, error code) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Fehler beim Ausführen der Aktion ‚Benachrichtigung aktualisieren‘! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Connectors
Varonis Data Security Platform Alerts Connector
Beschreibung
Mit dem Connector können Benachrichtigungen von der Varonis Data Security Platform abgerufen werden. Die dynamische Liste des Connectors kann verwendet werden, um bestimmte Benachrichtigungen für die Aufnahme basierend auf dem Benachrichtigungsnamen der Varonis Data Security Platform zu filtern.
Varonis Data Security Platform Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | device_product | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| PythonProcessTimeout | Ganzzahl | 300 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{ip address}:{port} | Ja | Geben Sie die API-URL für die Zielinstanz der Varonis Data Security Platform an. |
| Nutzername | String | – | Ja | Geben Sie den Nutzernamen an, mit dem die Verbindung hergestellt werden soll. |
| Passwort | Passwort | – | Ja | Geben Sie das Passwort für die Verbindung an. |
| Max. Tage rückwärts | Ganzzahl | 3 | Ja | Benachrichtigungen für die letzten X Tage abrufen. |
| Maximale Anzahl an Benachrichtigungen pro Zyklus | Ganzzahl | 10 | Ja | Ruft X Benachrichtigungen pro Connector-Zyklus ab. |
| Maximale Anzahl von Ereignissen pro Varonis-Benachrichtigung | Ganzzahl | 25 | Ja | Maximale Anzahl von Ereignissen, die der Connector für die Varonis Data Security Platform-Benachrichtigung abruft. |
| Status | CSV | Offen, Wird überprüft, Geschlossen | Ja | Abzurufende Benachrichtigungsstatus der Data Security Platform. |
| Schweregrad | CSV | Niedrig, Mittel, Hoch | Ja | Schweregrade von Benachrichtigungen der Data Security Platform, die abgerufen werden sollen. |
| Überlauf deaktivieren | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus beim Erstellen von Benachrichtigungen. |
| Dynamische Liste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, verwendet der Connector die in der dynamischen Liste angegebenen Warnungsnamen als Blocklist. Es werden nur Benachrichtigungen aufgenommen, die nicht mit der dynamischen Liste übereinstimmen. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das für den API-Root konfigurierte Zertifikat validiert. |
| Vorlagenname für Benachrichtigungen | String | [Name] | Falls angegeben, wird dieser Wert vom Connector für „Google SecOps Alert Name“ verwendet. Sie können Platzhalter im folgenden Format angeben: [Name des Felds]. Beispiel: Varonis-Benachrichtigung – [Name]. Hinweis: Der Connector verwendet zuerst CSOAR-Ereignisse für Platzhalter. Es werden nur Schlüssel mit String-Werten verarbeitet. Wenn nichts angegeben wird oder der Nutzer eine ungültige Vorlage angibt, verwendet der Connector den Standardnamen für Benachrichtigungen: [name]. |
|
| Regelgeneratorvorlage | String | [Name] | Falls angegeben, verwendet der Connector diesen Wert für „Google SecOps Rule Generator Value“. Sie können Platzhalter im folgenden Format angeben: [Name des Felds]. Beispiel: Varonis-Benachrichtigung – [Name]. Hinweis: Der Connector verwendet zuerst Google SecOps Event für Platzhalter. Es werden nur Schlüssel mit String-Werten verarbeitet. Wenn nichts angegeben wird oder der Nutzer eine ungültige Vorlage angibt, verwendet der Connector den Standardregelgenerator [name]. |
|
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten