Varonis Data Security Platform
Versão da integração: 4.0
Exemplos de utilização de produtos
- Carregue alertas do Varonis para análise no Google Security Operations.
- Atualize os alertas do Varonis a partir do Google SecOps.
Product PermissionConfiguration
Para configurar o Varonis para funcionar com o Google SecOps, tem de seguir os seguintes passos:
- Tem de ser instalado um patch de API especial na implementação do DatAdvantage. Contacte a equipa da Varonis para saber mais.
- O utilizador que vai ser usado para a integração deve ter as funções "Utilizador da IU Web" e "DatAlertConfiguration" do DataAdvantage.
Configure a integração da plataforma de segurança de dados da Varonis no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{ip address}:{port} | Sim | Especifique o URL da API para a instância de segurança de dados da Varonis de destino. |
| Nome de utilizador | String | N/A | Sim | Especifique o nome de utilizador com o qual estabelecer ligação. |
| Palavra-passe | Palavra-passe | N/A | Sim | Especifique a palavra-passe para estabelecer ligação. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, o certificado configurado para a raiz da API é validado. |
Ações
Tchim-tchim
Descrição
Teste a conetividade à Varonis Data Security Platform com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Exemplos de utilização do manual de estratégias
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.
É apresentado em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Case Wall
| Tipo de resultado | Valor / descrição | Tipo | |
|---|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação bem-sucedida à plataforma de segurança de dados da Varonis com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Falha ao estabelecer ligação à plataforma de segurança de dados da Varonis! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar alerta
Descrição
Atualização do alerta da plataforma de segurança de dados da Varonis.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| GUID do alerta | CSV | N/A | Sim | Especifique o GUID do alerta para a atualização. Esta ação pode ser executada em vários alertas. Podem ser especificadas várias alertas como uma string separada por vírgulas. |
| Estado do alerta | LDD | Selecione uma opção Valores possíveis:
|
Sim | Especifique o estado do alerta para o qual quer atualizar. |
| Motivo do encerramento | LDD | Não fornecido Valores possíveis:
|
Não | Especifique o motivo do encerramento do alerta. Quando o estado do alerta é alterado para "fechado", tem de especificar o motivo do encerramento. |
Exemplos de utilização do manual de estratégias
Atualize o alerta do DatAdvantage a partir do Google SecOps.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Case Wall
| Tipo de resultado | Valor / descrição | Tipo | |
|---|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o alerta for atualizado com êxito: "Os alertas {0} foram atualizados com êxito".format(lista de alertas) A ação deve falhar e parar a execução de um guia interativo: Se a atualização do alerta falhar: "Failed to update alert(s) {0} due to following error {1}".format(alert list, error code) Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Falha ao executar a ação "Atualizar alerta"! O erro é {0}".format(exception.stacktrace) |
Geral |
Conetores
Conetor de alertas da plataforma de segurança de dados da Varonis
Descrição
O conetor pode ser usado para obter alertas da plataforma de segurança de dados da Varonis. A lista dinâmica do conetor pode ser usada para filtrar alertas específicos para carregamento com base no nome do alerta da Varonis Data Security Platform.
Configure o conetor de alertas da plataforma de segurança de dados da Varonis no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | device_product | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | Tipo | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| PythonProcessTimeout | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip address}:{port} | Sim | Especifique o URL da API para a instância da plataforma de segurança de dados da Varonis de destino. |
| Nome de utilizador | String | N/A | Sim | Especifique o nome de utilizador com o qual estabelecer ligação. |
| Palavra-passe | Palavra-passe | N/A | Sim | Especifique a palavra-passe para estabelecer ligação. |
| Máximo de dias para trás | Número inteiro | 3 | Sim | Obter alertas X dias para trás. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | Obter X alertas por ciclo do conetor. |
| Máximo de eventos por alerta do Varonis | Número inteiro | 25 | Sim | Número máximo de eventos que o conetor obtém para o alerta da plataforma de segurança de dados da Varonis. |
| Estado | CSV | Aberta, sob investigação, fechada | Sim | Estados de alerta da plataforma de segurança de dados a obter. |
| Gravidade | CSV | Baixa, média e alta | Sim | Gravidades dos alertas da plataforma de segurança de dados a obter. |
| Desative o Overflow | Caixa de verificação | Marcado | Não | Se estiver ativado, o conetor ignora o mecanismo de overflow do Google SecOps ao criar alertas. |
| Use a lista dinâmica como lista de bloqueios | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, o conetor usa os nomes de alertas especificados na lista dinâmica como uma lista de bloqueio. Só introduz alertas que não correspondem à lista dinâmica. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, o certificado configurado para a raiz da API é validado. |
| Modelo de nome de alerta | String | [Name] | Se for fornecido, o conetor usa este valor para o nome do alerta do Google SecOps. Pode fornecer marcadores de posição no seguinte formato: [nome do campo]. Exemplo: Alerta do Varonis – [nome]. Nota: o conector usa primeiro o evento CSOAR para marcadores de posição. Apenas são processadas as chaves com valor de string. Se não for fornecido nada ou o utilizador fornecer um modelo inválido, o conetor usa o nome do alerta predefinido: [name]. |
|
| Modelo do gerador de regras | String | [Name] | Se for fornecido, o conetor usa este valor para o valor do gerador de regras do Google SecOps. Pode fornecer marcadores de posição no seguinte formato: [nome do campo]. Exemplo: Alerta do Varonis – [nome]. Nota: o conector usa primeiro o evento do Google SecOps para marcadores de posição. Apenas são processadas as chaves com valor de string. Se não for fornecido nada ou o utilizador fornecer um modelo inválido, o conetor usa o gerador de regras predefinido: [name]. |
|
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.