Plataforma de segurança de dados da Varonis
Versão da integração: 4.0
Casos de uso de produtos
- Ingerir alertas da Varonis para análise no Google Security Operations.
- Atualize os alertas do Varonis no Google SecOps.
Product PermissionConfiguration
Para configurar o Varonis para trabalhar com o Google SecOps, siga estas etapas:
- Um patch especial da API precisa ser instalado na implantação do DatAdvantage. Entre em contato com a equipe da Varonis para saber mais.
- O usuário que será usado para a integração precisa ter as funções "Usuário da interface da Web" e "DatAlertConfiguration" do DataAdvantage.
Configurar a integração da plataforma de segurança de dados da Varonis no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{ip address}:{port} | Sim | Especifique o URL da API para a instância de segurança de dados da Varonis de destino. |
| Nome de usuário | String | N/A | Sim | Especifique o nome de usuário para se conectar. |
| Senha | Senha | N/A | Sim | Especifique a senha para se conectar. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, o certificado configurado para a raiz da API será validado. |
Ações
Ping
Descrição
Teste a conectividade com a plataforma de segurança de dados da Varonis usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace de operações de segurança do Google".
Parâmetros
N/A
Exemplos de casos de uso de playbook
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.
Data de execução
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo | |
|---|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão concluída com a plataforma de segurança de dados da Varonis usando os parâmetros fornecidos". A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar à plataforma de segurança de dados da Varonis. O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar alerta
Descrição
Atualiza o alerta da plataforma de segurança de dados da Varonis.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| GUID do alerta | CSV | N/A | Sim | Especifique o GUID do alerta para a atualização. Essa ação pode ser executada em vários alertas. É possível especificar vários alertas como uma string separada por vírgulas. |
| Status do alerta | DDL | Selecione uma opção. Valores possíveis:
|
Sim | Especifique o status do alerta a ser atualizado. |
| Motivo do encerramento | DDL | Não fornecido Valores possíveis:
|
Não | Especifique o motivo do encerramento do alerta. Quando o status do alerta é alterado para "fechado", o motivo do encerramento precisa ser especificado. |
Exemplos de casos de uso de playbook
Atualiza o alerta do DatAdvantage do Google SecOps.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo | |
|---|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o alerta for atualizado com sucesso: "Os alertas {0} foram atualizados com sucesso".format(lista de alertas) A ação precisa falhar e interromper a execução de um playbook: Se não for possível atualizar o alerta: "Não foi possível atualizar os alertas {0} devido ao seguinte erro {1}".format(lista de alertas, código de erro) Se um erro fatal for informado, como credenciais incorretas, sem conexão com o servidor ou outro: "Falha ao executar a ação "Atualizar alerta"! O erro é {0}".format(exception.stacktrace) |
Geral |
Conectores
Conector de alertas da plataforma de segurança de dados da Varonis
Descrição
O conector pode ser usado para buscar alertas da plataforma de segurança de dados da Varonis. A lista dinâmica do conector pode ser usada para filtrar alertas específicos para ingestão com base no nome do alerta da plataforma de segurança de dados da Varonis.
Configurar o conector de alertas da plataforma de segurança de dados da Varonis no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | device_product | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | Tipo | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| PythonProcessTimeout | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip address}:{port} | Sim | Especifique o URL da API para a instância de destino da plataforma de segurança de dados da Varonis. |
| Nome de usuário | String | N/A | Sim | Especifique o nome de usuário para se conectar. |
| Senha | Senha | N/A | Sim | Especifique a senha para se conectar. |
| Número máximo de dias para retroceder | Número inteiro | 3 | Sim | Extrai alertas de X dias atrás. |
| Número máximo de alertas por ciclo | Número inteiro | 10 | Sim | Extrai X alertas por ciclo de conector. |
| Número máximo de eventos por alerta do Varonis | Número inteiro | 25 | Sim | Número máximo de eventos que o conector busca para o alerta da plataforma de segurança de dados da Varonis. |
| Status | CSV | Em aberto, Em investigação, Encerrado | Sim | Status de alerta da plataforma de segurança de dados a serem buscados. |
| Gravidade | CSV | Baixa, média, alta | Sim | Gravidades de alertas da plataforma de segurança de dados a serem buscadas. |
| Desativar o estouro | Caixa de seleção | Selecionado | Não | Se ativado, o conector vai ignorar o mecanismo de estouro do Google SecOps ao criar alertas. |
| Usar lista dinâmica como lista de bloqueio | Caixa de seleção | Desmarcado | Sim | Se ativado, o conector usa os nomes de alertas especificados na lista dinâmica como uma lista de bloqueio. Ele ingere apenas alertas que não correspondem à lista dinâmica. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, o certificado configurado para a raiz da API será validado. |
| Modelo de nome do alerta | String | [Nome] | Se fornecido, o conector usa esse valor para o nome do alerta do Google SecOps. É possível fornecer marcadores de posição no seguinte formato: [nome do campo]. Exemplo: alerta da Varonis: [nome]. Observação: o conector primeiro usa o evento CSOAR para marcadores de posição. Somente chaves com valor de string são processadas. Se nada for fornecido ou se o usuário fornecer um modelo inválido, o conector usará o nome de alerta padrão: [nome]. |
|
| Modelo do gerador de regras | String | [Nome] | Se fornecido, o conector usa esse valor para o valor do gerador de regras do Google SecOps. É possível fornecer marcadores de posição no seguinte formato: [nome do campo]. Exemplo: alerta da Varonis: [nome]. Observação: o conector primeiro usa o evento do Google SecOps para marcadores de posição. Somente chaves com valor de string são processadas. Se nada for fornecido ou se o usuário fornecer um modelo inválido, o conector vai usar o gerador de regras padrão: [name]. |
|
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.