Varonis Data Security Platform
統合バージョン: 4.0
プロダクトのユースケース
- Google Security Operations で分析するために Varonis アラートを取り込みます。
- Google SecOps から Varonis アラートを更新します。
Product PermissionConfiguration
Google SecOps と連携するように Varonis を構成するには、次の手順を行います。
- DatAdvantage デプロイに特別な API パッチをインストールする必要があります。これについては Varonis チームにお問い合わせください。
- 統合に使用するユーザーには、DatAdvantage の「Web UI User」ロールと「DatAlertConfiguration」ロールが必要です。
Google SecOps で Varonis Data Security Platform の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{ip address}:{port} | はい | ターゲットの Varonis Data Security インスタンスの API URL を指定します。 |
| ユーザー名 | 文字列 | なし | はい | 接続するユーザー名を指定します。 |
| パスワード | パスワード | なし | はい | 接続するパスワードを指定します。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、API ルート用に構成された証明書が検証されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Varonis Data Security Platform への接続性をテストします。
パラメータ
なし
プレイブックのユースケースの例
このアクションは、Google Security Operations Marketplace タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 | |
|---|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Varonis Data Security Platform に正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Varonis Data Security Platform に接続できませんでした。エラーは {0} です。」format(exception.stacktrace) |
全般 |
アラートを更新
説明
Varonis Data Security Platform アラートを更新します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート GUID | CSV | なし | はい | 更新するアラートの GUID を指定します。このアクションは複数のアラートで実行できます。複数のアラートは、カンマ区切りの文字列として指定できます。 |
| アラートのステータス | DDL | 1 つ選択 値は次のいずれかです。
|
はい | 更新するアラート ステータスを指定します。 |
| 終了理由 | DDL | 指定されていません 値は次のいずれかです。
|
いいえ | アラートのクローズの理由を指定します。アラートのステータスが「closed」に変更された場合は、終了理由を指定する必要があります。 |
プレイブックのユースケースの例
Google SecOps から DatAdvantage アラートを更新します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 | |
|---|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 アラートが正常に更新された場合: 「アラート {0} が正常に更新されました」.format(アラートのリスト) アクションが失敗し、ハンドブックの実行が停止します。 アラートの更新に失敗した場合: 「次のエラー {1} によりアラート {0} の更新に失敗しました」format(アラートリスト, エラーコード) 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合: 「"アラートの更新" アクションの実行に失敗しました。エラーは {0} です。」format(exception.stacktrace) |
全般 |
コネクタ
Varonis Data Security Platform アラート コネクタ
説明
このコネクタは、Varonis Data Security Platform からアラートを取得するために使用できます。コネクタの動的リストを使用して、Varonis Data Security Platform のアラート名に基づいて、取り込み用の特定のアラートをフィルタできます。
Google SecOps で Varonis Data Security Platform Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | device_product | はい | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| PythonProcessTimeout | Integer | 300 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{ip address}:{port} | はい | ターゲットの Varonis Data Security Platform インスタンスの API URL を指定します。 |
| ユーザー名 | 文字列 | なし | はい | 接続するユーザー名を指定します。 |
| パスワード | パスワード | なし | はい | 接続するパスワードを指定します。 |
| 遡る最大日数 | 整数 | 3 | はい | X 日前から遡ってアラートを取得します。 |
| 1 サイクルあたりの最大アラート数 | Integer | 10 | はい | コネクタのサイクルごとに X 個のアラートを取得します。 |
| Varonis アラートあたりの最大イベント数 | Integer | 25 | はい | コネクタが Varonis Data Security Platform アラートで取得するイベントの最大数。 |
| ステータス | CSV | Open、Under Investigation、Closed | はい | 取得するデータ セキュリティ プラットフォームのアラート ステータス。 |
| 重大度 | CSV | 低、中、高 | はい | 取得するデータ セキュリティ プラットフォームのアラートの重大度。 |
| オーバーフローを無効化 | チェックボックス | オン | いいえ | 有効にすると、コネクタはアラートの作成時に Google SecOps のオーバーフロー メカニズムを無視します。 |
| 動的リストをブロックリストとして使用する | チェックボックス | オフ | はい | 有効にすると、コネクタは動的リストで指定されたアラート名をブロックリストとして使用します。動的リストと一致しないアラートのみを取り込みます。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、API ルート用に構成された証明書が検証されます。 |
| アラート名テンプレート | 文字列 | [名前] | 指定すると、コネクタはこの値を Google SecOps アラート名に使用します。 プレースホルダは [フィールド名] の形式で指定できます。 例: Varonis アラート - [名前]。 注: コネクタは、まずプレースホルダに CSOAR イベントを使用します。 文字列値を持つキーのみが処理されます。 何も指定されていない場合や、無効なテンプレートが指定された場合、コネクタはデフォルトのアラート名([name])を使用します。 |
|
| ルール生成ツール テンプレート | 文字列 | [名前] | 指定すると、コネクタはこの値を Google SecOps ルール ジェネレータの値として使用します。 プレースホルダは [フィールド名] の形式で指定できます。 例: Varonis アラート - [名前]。 注: コネクタは、プレースホルダに Google SecOps イベントを最初に使用します。 文字列値を持つキーのみが処理されます。 何も指定されていない場合、またはユーザーが無効なテンプレートを指定した場合、コネクタはデフォルトのルール ジェネレータ([name])を使用します。 |
|
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。