Plate-forme Varonis Data Security
Version de l'intégration : 4.0
Cas d'utilisation des produits
- Ingérez les alertes Varonis pour les analyser dans Google Security Operations.
- Mettez à jour les alertes Varonis depuis Google SecOps.
Product PermissionConfiguration
Pour configurer Varonis afin qu'il fonctionne avec Google SecOps, procédez comme suit :
- Un correctif d'API spécial doit être installé sur le déploiement DatAdvantage. Veuillez contacter l'équipe Varonis à ce sujet.
- L'utilisateur qui sera utilisé pour l'intégration doit disposer des rôles "Web UI User" et "DatAlertConfiguration" de DataAdvantage.
Configurer l'intégration de la plate-forme Varonis Data Security dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{ip address}:{port} | Oui | Spécifiez l'URL de l'API pour l'instance Varonis Data Security cible. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Spécifiez le nom d'utilisateur à utiliser pour la connexion. |
| Mot de passe | Mot de passe | N/A | Oui | Spécifiez le mot de passe à utiliser pour la connexion. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, le certificat configuré pour la racine de l'API est validé. |
Actions
Ping
Description
Testez la connectivité à la plate-forme Varonis Data Security avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exemples de cas d'utilisation de playbooks
Cette action permet de tester la connectivité sur la page de configuration de l'intégration, dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.
Date d'exécution
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type | |
|---|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion à la plate-forme Varonis Data Security établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion à la plate-forme Varonis Data Security ! Error is {0}".format(exception.stacktrace) |
Général |
Mettre à jour l'alerte
Description
Mettez à jour l'alerte de la plate-forme Varonis Data Security.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| GUID de l'alerte | CSV | N/A | Oui | Spécifiez le GUID de l'alerte à modifier. Cette action peut être exécutée sur plusieurs alertes. Vous pouvez spécifier plusieurs alertes sous la forme d'une chaîne de caractères séparée par des virgules. |
| État de l'alerte | LDD | Sélectionnez une réponse Valeurs possibles :
|
Oui | Spécifiez l'état de l'alerte à modifier. |
| Motif de la clôture | LDD | Non fourni Valeurs possibles :
|
Non | Spécifiez le motif de clôture de l'alerte. Lorsque l'état de l'alerte est défini sur "Fermée", vous devez indiquer la raison de la fermeture. |
Exemples de cas d'utilisation de playbooks
Mise à jour de l'alerte DatAdvantage de Google SecOps.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type | |
|---|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'alerte a bien été modifiée : "Les alertes {0} ont bien été modifiées".format(liste des alertes) L'action doit échouer et arrêter l'exécution d'un playbook : Si la mise à jour de l'alerte a échoué : "Échec de la mise à jour de la ou des alertes {0} en raison de l'erreur suivante : {1}".format(liste des alertes, code d'erreur) Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur), le message suivant s'affiche : "Échec de l'exécution de l'action "Mettre à jour l'alerte" ! Error is {0}".format(exception.stacktrace) |
Général |
Connecteurs
Connecteur d'alertes de la plate-forme Varonis Data Security
Description
Le connecteur peut être utilisé pour extraire les alertes de la plate-forme Varonis Data Security. La liste dynamique des connecteurs peut être utilisée pour filtrer des alertes spécifiques à ingérer en fonction du nom de l'alerte de la plate-forme Varonis Data Security.
Configurer le connecteur d'alertes Varonis Data Security Platform dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | device_product | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | Type | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| PythonProcessTimeout | Integer | 300 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{ip address}:{port} | Oui | Spécifiez l'URL de l'API pour l'instance cible de la plate-forme Varonis Data Security. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Spécifiez le nom d'utilisateur à utiliser pour la connexion. |
| Mot de passe | Mot de passe | N/A | Oui | Spécifiez le mot de passe à utiliser pour la connexion. |
| Nombre maximal de jours en arrière | Integer | 3 | Oui | Récupérer les alertes X jours en arrière. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Récupérez les alertes X par cycle de connecteur. |
| Nombre maximal d'événements par alerte Varonis | Integer | 25 | Oui | Nombre maximal d'événements que le connecteur récupère pour l'alerte Varonis Data Security Platform. |
| État | CSV | Ouvert, En cours d'examen, Fermé | Oui | États des alertes de la plate-forme de sécurité des données à récupérer. |
| Gravité | CSV | Faible, Moyenne, Élevée | Oui | Niveaux de gravité des alertes de la plate-forme de sécurité des données à récupérer. |
| Désactiver le dépassement | Case à cocher | Cochée | Non | Si cette option est activée, le connecteur ignore le mécanisme de dépassement de capacité de Google SecOps lors de la création d'alertes. |
| Utiliser une liste dynamique comme liste de blocage | Case à cocher | Décochée | Oui | Si cette option est activée, le connecteur utilise les noms d'alertes spécifiés dans la liste dynamique comme liste de blocage. Il n'ingère que les alertes qui ne correspondent pas à la liste dynamique. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, le certificat configuré pour la racine de l'API est validé. |
| Modèle de nom d'alerte | Chaîne | [Nom] | Si elle est fournie, le connecteur utilise cette valeur pour le nom de l'alerte Google SecOps. Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Alerte Varonis : [nom]. Remarque : Le connecteur utilise d'abord l'événement CSOAR pour les espaces réservés. Seules les clés ayant une valeur de chaîne sont traitées. Si rien n'est fourni ou si l'utilisateur fournit un modèle non valide, le connecteur utilise le nom d'alerte par défaut : [name]. |
|
| Modèle de générateur de règles | Chaîne | [Nom] | Si elle est fournie, le connecteur utilise cette valeur pour la valeur du générateur de règles Google SecOps. Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Alerte Varonis : [nom]. Remarque : Le connecteur utilise d'abord l'événement Google SecOps pour les espaces réservés. Seules les clés ayant une valeur de chaîne sont traitées. Si rien n'est fourni ou si l'utilisateur fournit un modèle non valide, le connecteur utilise le générateur de règles par défaut : [name]. |
|
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.