Varonis 数据安全平台
集成版本:4.0
产品使用场景
- 在 Google Security Operations 中注入 Varonis 提醒以供分析。
- 更新来自 Google SecOps 的 Varonis 提醒。
Product PermissionConfiguration
如需将 Varonis 配置为与 Google SecOps 搭配使用,您需要执行以下步骤:
- 需要在 DatAdvantage 部署上安装特殊的 API 补丁,请与 Varonis 团队联系以获取相关信息。
- 用于集成的用户应具有 DatAdavantage“Web 界面用户”和“DatAlertConfiguration”角色。
在 Google SecOps 中配置 Varonis 数据安全平台集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{ip address}:{port} | 是 | 为目标 Varonis Data Security 实例指定 API 网址。 |
| 用户名 | 字符串 | 不适用 | 是 | 指定要连接的用户名。 |
| 密码 | 密码 | 不适用 | 是 | 指定连接密码。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证为 API 根配置的证书。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Varonis 数据安全平台的连接。
参数
不适用
剧本使用场景示例
此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面上测试连接,可以作为手动操作执行,但不能在 playbook 中使用。
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已使用提供的连接参数成功连接到 Varonis 数据安全平台!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Varonis Data Security Platform! 错误为 {0}".format(exception.stacktrace) |
常规 |
更新提醒
说明
更新了 Varonis 数据安全平台提醒。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 GUID | CSV | 不适用 | 是 | 指定要更新的提醒的 GUID。此操作可针对多条提醒运行。您可以采用英文逗号分隔的字符串形式指定多个提醒。 |
| 提醒状态 | DDL | 选择一项 可能的值:
|
是 | 指定要更新为的提醒状态。 |
| 关闭原因 | DDL | 未提供 可能的值:
|
否 | 指定提醒的关闭原因。当提醒状态更改为“已关闭”时,必须指定关闭原因。 |
剧本使用场景示例
更新了来自 Google SecOps 的 DatAdvantage 提醒。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果提醒更新成功:“已成功更新提醒 {0}”。format(提醒列表) 操作应失败并停止 playbook 执行: 如果未能更新提醒:“Failed to update alert(s) {0} due to following error {1}”.format(alert list, error code) 如果报告了致命错误(例如凭据错误、无法连接到服务器等),则会显示以下消息:“Failed to execute "Update Alert" action! 错误为 {0}".format(exception.stacktrace) |
常规 |
连接器
Varonis Data Security Platform Alerts 连接器
说明
该连接器可用于从 Varonis Data Security Platform 中提取提醒。连接器动态列表可用于根据 Varonis 数据安全平台提醒名称过滤要提取的特定提醒。
在 Google SecOps 中配置 Varonis Data Security Platform Alerts 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | device_product | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| PythonProcessTimeout | 整数 | 300 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{ip address}:{port} | 是 | 指定目标 Varonis Data Security Platform 实例的 API 网址。 |
| 用户名 | 字符串 | 不适用 | 是 | 指定要连接的用户名。 |
| 密码 | 密码 | 不适用 | 是 | 指定连接密码。 |
| 回溯的天数上限 | 整数 | 3 | 是 | 向后提取 X 天的提醒。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 在每个连接器周期内提取 X 个提醒。 |
| 每个 Varonis 提醒的事件数量上限 | 整数 | 25 | 是 | 连接器为 Varonis 数据安全平台提醒提取的事件数量上限。 |
| 状态 | CSV | 开放、正在接受调查、已关闭 | 是 | 要提取的数据安全平台提醒状态。 |
| 严重程度 | CSV | 低、中、高 | 是 | 要提取的数据安全平台提醒严重程度。 |
| 停用溢出 | 复选框 | 勾选 | 否 | 如果启用,连接器在创建提醒时会忽略 Google SecOps 溢出机制。 |
| 将动态列表用作屏蔽名单 | 复选框 | 尚未核查 | 是 | 如果启用,连接器会将动态列表中指定的提醒名称用作 BlockList。它仅接收与动态列表不匹配的提醒。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证为 API 根配置的证书。 |
| 提醒名称模板 | 字符串 | [Name] | 如果提供,连接器会将此值用作 Google SecOps 提醒名称。 您可以提供以下格式的占位符:[字段名称]。 示例:Varonis 提醒 - [名称]。 注意:连接器首先使用 CSOAR 事件作为占位符。 系统仅处理具有字符串值的键。 如果未提供任何内容,或者用户提供的模板无效,连接器将使用默认的提醒名称“[name]”。 |
|
| 规则生成器模板 | 字符串 | [Name] | 如果提供,连接器会将此值用作 Google SecOps 规则生成器值。 您可以提供以下格式的占位符:[字段名称]。 示例:Varonis 提醒 - [名称]。 注意:连接器首先使用 Google SecOps 事件作为占位符。 系统仅处理具有字符串值的键。 如果未提供任何内容,或者用户提供的模板无效,连接器将使用默认规则生成器 [name]。 |
|
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。