Varonis Data Security Platform
Versione integrazione: 4.0
Casi d'uso del prodotto
- Importa gli avvisi di Varonis per l'analisi in Google Security Operations.
- Aggiorna gli avvisi Varonis da Google SecOps.
Product PermissionConfiguration
Per configurare Varonis in modo che funzioni con Google SecOps, devi seguire questi passaggi:
- È necessario installare una patch API speciale sul deployment di DatAdvantage. Contatta il team Varonis per maggiori informazioni.
- L'utente che verrà utilizzato per l'integrazione deve disporre dei ruoli "Utente interfaccia utente web" e "DatAlertConfiguration" di DatAdvantage.
Configura l'integrazione di Varonis Data Security Platform in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{ip address}:{port} | Sì | Specifica l'URL dell'API per l'istanza Varonis Data Security di destinazione. |
| Nome utente | Stringa | N/D | Sì | Specifica il nome utente con cui connetterti. |
| Password | Password | N/D | Sì | Specifica la password con cui connetterti. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, il certificato configurato per la radice dell'API viene convalidato. |
Azioni
Dindin
Descrizione
Verifica la connettività a Varonis Data Security Platform con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Esempi di casi d'uso del playbook
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Pubblica su
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo | |
|---|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Connessione riuscita a Varonis Data Security Platform con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi a Varonis Data Security Platform. Error is {0}".format(exception.stacktrace) |
Generale |
Aggiorna avviso
Descrizione
Aggiorna l'avviso della piattaforma Varonis Data Security.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| GUID avviso | CSV | N/D | Sì | Specifica il GUID dell'avviso per l'aggiornamento. Questa azione può essere eseguita su più avvisi. È possibile specificare più avvisi come stringa separata da virgole. |
| Stato avviso | DDL | Selezionane uno Valori possibili:
|
Sì | Specifica lo stato dell'avviso da aggiornare. |
| Motivo chiusura | DDL | Non fornito Valori possibili:
|
No | Specifica il motivo della chiusura dell'avviso. Quando lo stato dell'avviso viene modificato in "Chiuso", è necessario specificare il motivo della chiusura. |
Esempi di casi d'uso del playbook
Aggiorna l'avviso DatAdvantage da Google SecOps.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo | |
|---|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'avviso viene aggiornato correttamente: "Gli avvisi {0} sono stati aggiornati correttamente".format(elenco degli avvisi) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'aggiornamento dell'avviso non è riuscito: "Failed to update alert(s) {0} due to following error {1}".format(alert list, error code) Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Failed to execute "Update Alert" action! Error is {0}".format(exception.stacktrace) |
Generale |
Connettori
Varonis Data Security Platform Alerts Connector
Descrizione
Il connettore può essere utilizzato per recuperare gli avvisi dalla piattaforma Varonis Data Security. L'elenco dinamico dei connettori può essere utilizzato per filtrare avvisi specifici per l'importazione in base al nome dell'avviso della piattaforma Varonis Data Security.
Configura il connettore di avvisi della piattaforma Varonis Data Security in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | device_product | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Tipo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| PythonProcessTimeout | Numero intero | 300 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{ip address}:{port} | Sì | Specifica l'URL dell'API per l'istanza di destinazione di Varonis Data Security Platform. |
| Nome utente | Stringa | N/D | Sì | Specifica il nome utente con cui connetterti. |
| Password | Password | N/D | Sì | Specifica la password con cui connetterti. |
| Max Days Backwards | Numero intero | 3 | Sì | Recupera gli avvisi X giorni indietro. |
| Numero massimo di avvisi per ciclo | Numero intero | 10 | Sì | Recupera X avvisi per ciclo del connettore. |
| Numero massimo di eventi per avviso Varonis | Numero intero | 25 | Sì | Numero massimo di eventi recuperati dal connettore per l'avviso della piattaforma Varonis Data Security. |
| Stato | CSV | Aperta, In corso di indagine, Chiusa | Sì | Stati degli avvisi della piattaforma di sicurezza dei dati da recuperare. |
| Gravità | CSV | Basso, Medio, Alto | Sì | Gravità degli avvisi della piattaforma di sicurezza dei dati da recuperare. |
| Disattiva overflow | Casella di controllo | Selezionata | No | Se abilitato, il connettore ignora il meccanismo di overflow di Google SecOps durante la creazione degli avvisi. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Deselezionata | Sì | Se attivato, il connettore utilizza i nomi degli avvisi specificati nell'elenco dinamico come lista bloccata. Inserisce solo gli avvisi che non corrispondono all'elenco dinamico. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, il certificato configurato per la radice dell'API viene convalidato. |
| Modello nome avviso | Stringa | [Name] | Se fornito, il connettore utilizza questo valore per il nome dell'avviso di Google SecOps. Puoi fornire segnaposto nel seguente formato: [nome del campo]. Esempio: Avviso Varonis - [nome]. Nota: il connettore utilizza prima l'evento CSOAR per i segnaposto. Vengono gestite solo le chiavi con valore stringa. Se non viene fornito nulla o l'utente fornisce un modello non valido, il connettore utilizza il nome dell'avviso predefinito: [name]. |
|
| Modello del generatore di regole | Stringa | [Name] | Se fornito, il connettore utilizza questo valore per il valore del generatore di regole di Google SecOps. Puoi fornire segnaposto nel seguente formato: [nome del campo]. Esempio: Avviso Varonis - [nome]. Nota: il connettore utilizza innanzitutto l'evento Google SecOps per i segnaposto. Vengono gestite solo le chiavi con valore stringa. Se non viene fornito nulla o l'utente fornisce un modello non valido, il connettore utilizza il generatore di regole predefinito: [name]. |
|
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.