Varonis 資料安全平台

整合版本:4.0

產品用途

  1. 將 Varonis 快訊擷取至 Google Security Operations 進行分析。
  2. 更新 Google SecOps 中的 Varonis 快訊。

產品權限設定

如要設定 Varonis 與 Google SecOps 搭配使用,請按照下列步驟操作:

  1. 您需要在 DatAdvantage 部署作業中安裝特殊的 API 修補程式,請與 Varonis 團隊聯絡。
  2. 用於整合的使用者應具備 DatAdavantage「Web UI User」和「DatAlertConfiguration」角色。

在 Google SecOps 中設定 Varonis Data Security Platform 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合:

參數顯示名稱 類型 預設值 為必填項目 說明
API 根層級 字串 https://{ip address}:{port} 指定目標 Varonis Data Security 執行個體的 API 網址。
使用者名稱 字串 不適用 指定要連線的使用者名稱。
密碼 密碼 不適用 指定連線密碼。
驗證 SSL 核取方塊 已勾選 如果啟用,系統會驗證為 API 根目錄設定的憑證。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Varonis Data Security Platform 的連線。

參數

不適用

應對手冊用途示例

這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面上測試連線,可做為手動動作執行,不適用於應對手冊。

執行日期

這項動作不會在實體上執行,也沒有強制輸入參數。

動作執行結果

指令碼執行結果
指令碼結果名稱 值選項 範例
is_success True/False is_success=False
JSON 結果
N/A
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果成功:「Successfully connected to the Varonis Data Security Platform with the provided connection parameters!」(已使用提供的連線參數成功連線至 Varonis Data Security Platform!)

動作應會失敗並停止執行應對手冊:

如果未成功:「Failed to connect to the Varonis Data Security Platform! Error is {0}".format(exception.stacktrace)

一般

更新警告內容

說明

更新 Varonis Data Security Platform 快訊。

參數

參數名稱 類型 預設值 為必填項目 說明
快訊 GUID CSV 不適用 指定要更新的快訊 GUID。這項動作可對多則快訊執行。您可以透過以半形逗號分隔的字串指定多個快訊。
警告狀態 DDL

請選取一項

可能的值包括:

  • 請選取一項
  • 開啟
  • 調查中
  • 已關閉
 指定要更新的快訊狀態。
關閉原因 DDL

未提供

可能的值包括:

  • 未提供
  • 已解決
  • 設定錯誤
  • 威脅模型已停用或刪除
  • 帳戶分類錯誤
  • 合法活動
  • 其他
 指定快訊的結案原因。如果快訊狀態變更為「已結案」,則必須指定結案原因。

應對手冊用途示例

更新 Google SecOps 的 DatAdvantage 快訊。

執行日期

這項操作不會對實體執行。

動作執行結果

指令碼執行結果
指令碼結果名稱 值選項 範例
is_success True/False is_success=False
JSON 結果
N/A
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不應失敗,也不應停止執行應對手冊:

如果快訊更新成功:「Alert(s) {0} were updated successfully」(已成功更新快訊 {0})。format(快訊清單)

動作應會失敗並停止執行應對手冊:

如果無法更新快訊:「Failed to update alert(s) {0} due to following error {1}」(由於發生下列錯誤,因此無法更新快訊 {0}:{1})。format(alert list, error code)

如果系統回報嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等),請按照下列步驟操作:「Failed to execute "Update Alert" action! Error is {0}".format(exception.stacktrace)

一般

連接器

Varonis Data Security Platform Alerts 連接器

說明

您可以使用這個連接器,從 Varonis Data Security Platform 擷取快訊。連接器動態清單可用於根據 Varonis Data Security Platform 警報名稱,篩選要擷取的特定警報。

在 Google SecOps 中設定 Varonis Data Security Platform Alerts 連接器

如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器

連接器參數

請使用下列參數設定連接器:

參數顯示名稱 類型 預設值 為必填項目 說明
產品欄位名稱 字串 device_product 輸入來源欄位名稱,即可擷取產品欄位名稱。
事件欄位名稱 字串 類型 輸入來源欄位名稱,即可擷取事件欄位名稱。
環境欄位名稱 字串 ""

說明儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境就是預設環境。
環境規則運算式模式 字串 .*

要對「環境欄位名稱」欄位中的值執行的 regex 模式。

預設值為 .*,可擷取所有內容並傳回未變更的值。

用於允許使用者透過規則運算式邏輯操控環境欄位。

如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
PythonProcessTimeout 整數 300 執行目前指令碼的 Python 程序逾時限制。
API 根層級 字串 https://{ip address}:{port} 指定目標 Varonis Data Security Platform 執行個體的 API 網址。
使用者名稱 字串 不適用 指定要連線的使用者名稱。
密碼 密碼 不適用 指定連線密碼。
最多可回溯的天數 整數 3 擷取 X 天前的快訊。
每個週期最多可發出幾次快訊 整數 10 每個連接器週期擷取 X 個快訊。
每個 Varonis 快訊的事件上限 整數 25 連接器為 Varonis Data Security Platform 快訊擷取的事件數量上限。
狀態 CSV 開啟、調查中、已結案 要擷取的資料安全平台快訊狀態。
嚴重性 CSV 低、中、高 要擷取的資料安全平台警示嚴重程度。
停用溢位 核取方塊 已勾選 啟用後,連接器會在建立快訊時忽略 Google SecOps 溢位機制。
將動態清單做為封鎖清單使用 核取方塊 已取消勾選 如果啟用,連接器會使用動態清單中指定的快訊名稱做為封鎖清單。系統只會擷取與動態清單不符的快訊。
驗證 SSL 核取方塊 已勾選 如果啟用,系統會驗證為 API 根目錄設定的憑證。
快訊名稱範本 字串 [Name]敬上

如果提供此值,連接器會將其做為 Google SecOps 快訊名稱。

預留位置的格式為 [欄位名稱]。

範例:Varonis 警報 - [名稱]。

注意:連接器會先使用 CSOAR 事件做為預留位置。

系統只會處理具有字串值的鍵。

如果未提供任何內容,或使用者提供的範本無效,連接器會使用預設的快訊名稱 - [name]。
規則產生器範本 字串 [Name]敬上

如果提供這個值,連接器會將其做為 Google SecOps 規則產生器值。

預留位置的格式為 [欄位名稱]。

範例:Varonis 警報 - [名稱]。

注意:連接器會先使用 Google SecOps 事件做為預留位置。

系統只會處理具有字串值的鍵。

如果未提供任何範本,或使用者提供的範本無效,連接器會使用預設規則產生器 - [name]。
Proxy 伺服器位址 字串 不適用 要使用的 Proxy 伺服器位址。
Proxy 使用者名稱 字串 不適用 用於驗證的 Proxy 使用者名稱。
Proxy 密碼 密碼 不適用 用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。