Vectra

Versión de la integración: 8.0

Casos prácticos

  1. Ingiere detecciones de Vectra para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
  2. Realiza acciones de enriquecimiento: obtén datos de Vectra para enriquecer los datos de las alertas de Google SecOps.

Permiso de producto

Para obtener un token de API, debes ir a la página de perfil y copiarlo.

Ubicación del token de API

Configurar la integración de Vectra en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Raíz de la API Cadena https://{address}:{port} Raíz de la API del servidor de Vectra.
Token de API Contraseña N/A Token de API de la cuenta de Vectra.
Verificar SSL Casilla Marcada Si está habilitada, compruebe que el certificado SSL de la conexión con el servidor de Vectra es válido.
Ejecutar de forma remota Casilla Desmarcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con Vectra con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente:

Imprime "Successfully connected to the Vectra server with the provided connection parameters!"
("Se ha conectado correctamente al servidor de Vectra con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:
Si no se resuelve correctamente:

Imprime "No se ha podido conectar con el servidor de Vectra. Error: {0}".format(exception.stacktrace)

 General

Endpoint de enriquecimiento

Descripción

Obtiene la información del sistema del endpoint de obtención por su nombre de host o dirección IP.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Fuente (clave JSON) Lógica: cuándo aplicar
Vectra_id results/id Cuando esté disponible en JSON
Vectra_name results/name Cuando esté disponible en JSON
Vectra_state results/state Cuando esté disponible en JSON
Vectra_threat results/threat Cuando esté disponible en JSON
Vectra_certainty resultados/certeza Cuando esté disponible en JSON
Vectra_ip results/last_source Cuando esté disponible en JSON
Vectra_tags {results/tags} separados por espacios Cuando esté disponible en JSON
Vectra_note resultados/nota Cuando esté disponible en JSON
Vectra_url results/url Cuando esté disponible en JSON
Vectra_last_modified results/last_modified Cuando esté disponible en JSON
Vectra_groups {results/groups} separados por espacios Cuando esté disponible en JSON
Vectra_is_key_asset results/is_key_asset Cuando esté disponible en JSON
Vectra_has_active_traffic results/has_active_traffic Cuando esté disponible en JSON
Vectra_is_targeting_key_asset results/is_targeting_key_asset Cuando esté disponible en JSON
Vectra_privilege_level results/privilege_level Cuando esté disponible en JSON
Vectra_previous_ip {results/previous_ips} separados por espacios Cuando esté disponible en JSON
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
            "id": 131,
            "name": "DESKTOP-DAIOS7J",
            "active_traffic": false,
            "has_active_traffic": false,
            "t_score": 0,
            "threat": 0,
            "c_score": 0,
            "certainty": 0,
            "severity": null,
            "last_source": "10.0.2.68",
            "ip": "10.0.2.68",
            "previous_ips": [],
            "last_detection_timestamp": "2019-10-08T17:13:57Z",
            "key_asset": false,
            "is_key_asset": false,
            "state": "inactive",
            "targets_key_asset": false,
            "is_targeting_key_asset": false,
            "detection_set": [],
            "host_artifact_set": [
                {
                    "type": "netbios",
                    "value": "DESKTOP-DAIOS7J",
                    "source": null,
                    "siem": false
                }
            ],
            "sensor": "YLq09aHU",
            "sensor_name": "Vectra X",
            "tags": [],
            "note": null,
            "note_modified_by": null,
            "note_modified_timestamp": null,
            "url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
            "host_url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
            "last_modified": "2020-02-12T13:41:51Z",
            "assigned_to": null,
            "assigned_date": null,
            "groups": [],
            "has_custom_model": false,
            "privilege_level": null,
            "privilege_category": null,
            "probable_owner": null,
            "detection_profile": null,
            "host_session_luids": [],
            "host_luid": "e0M-jygN"
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente y se ha enriquecido al menos una de las entidades proporcionadas (is_success = true):

Imprime "Se han enriquecido correctamente los siguientes endpoints de Vectra: \n {0}".format(entity.identifier list)

Si la acción ha encontrado varias coincidencias en Vectra para algunas entidades de Google SecOps, se ha tomado la primera coincidencia para enriquecer el endpoint:

Imprime "Se han encontrado varias coincidencias en Vectra. Se ha tomado la primera coincidencia de las siguientes entidades:/n {0}".format(entity.identifiers list)

Si no consigo enriquecer entidades específicas(is_success = true):

Imprime "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

Imprime "Error al ejecutar la acción "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace)

 General

Añadir etiquetas

Descripción

Añade etiquetas al endpoint o a la detección en Vectra.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado ¿Es Mandatory? Descripción
Tipo de elemento Menú desplegable

Endpoint

Valores posibles:
Endpoint

Detección

 Selecciona el tipo de elemento al que quieres añadir etiquetas.
ID de artículo Cadena N/A Especifica el ID de la detección o del endpoint.
Etiquetas CSV N/A Especifica qué etiquetas quieres añadir a la detección o al endpoint. Las etiquetas deben separarse con comas (por ejemplo: etiqueta1, etiqueta2).

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentra una detección o un endpoint y las etiquetas se han actualizado correctamente (is_success = true):

Imprime "Se han añadido correctamente las etiquetas {0} a {1} con el ID {2}.format(tags, Item Type, Item ID)

Si se ha detectado un endpoint, pero no se han añadido etiquetas (is_success=False):

Imprime "No se ha podido añadir las etiquetas {0} a {1} con el ID {2}. Motivo: {3}. format(tags, Item Type, Item ID, tags parameter from response)".

Si no se ha encontrado la detección o el endpoint (is_success=False):

Imprime "{0} con ID {1} no se ha encontrado.format(Item Type, Item ID)."

II is_success=false sin una situación específica y no es un error crítico:

Imprime "Action wasn't able to add tags to {0} with ID {1}.format(Item Type, Item ID)":

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave (credenciales incorrectas, error de conexión o fallo de la acción):

Imprime "Error al ejecutar la acción "Añadir etiquetas". Motivo: {0}''.format(error.Stacktrace)

 General

Quitar etiquetas

Descripción

Quita las etiquetas del endpoint o de la detección en Vectra.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Tipo de elemento Menú desplegable

Endpoint

Valores posibles:
Endpoint

Detección

 Seleccione el tipo de elemento del que quiera quitar etiquetas.
ID de artículo Cadena N/A Especifica el ID de la detección o del endpoint.
Etiquetas CSV N/A Especifica qué etiquetas quieres quitar de la detección o del endpoint. Las etiquetas deben separarse con comas (por ejemplo: etiqueta1, etiqueta2).

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentra una detección o un endpoint y las etiquetas se han actualizado correctamente (is_success = true):

Imprime "Se han quitado correctamente las etiquetas {0} de {1} con el ID {2}.format(tags, Item Type, Item ID)

Si no se ha encontrado la detección o el endpoint (is_success=False):

Imprime "{0} con ID {1} no se ha encontrado.".format(Tipo de elemento, ID de elemento)."

Si se ha encontrado la detección o el endpoint, pero no se ha encontrado la etiqueta (is_success=False):

Imprime "Las etiquetas {0} no existen en {1} con el ID {2}.".format(lista de etiquetas que no se han encontrado separadas por comas, tipo de elemento, ID de elemento)."

Si is_success=false sin una situación específica y no es un error crítico:

Imprime "Action wasn't able to remove tags from {0} with ID {1}.format(Item Type, Item ID)":

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave (credenciales incorrectas, error de conexión o fallo de la acción):

Imprime "Error al ejecutar la acción "Eliminar etiquetas". Motivo: {0}''.format(error.Stacktrace)

 General

Actualizar nota

Descripción

Actualiza la nota del endpoint o la detección.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado ¿Es Mandatory? Descripción
Tipo de elemento Menú desplegable

Endpoint

Valores posibles:
Endpoint

Detección

 Selecciona el tipo de elemento al que quieras añadir una nota.
ID de artículo Cadena N/A Especifica el ID de la detección o del endpoint.
Nota Cadena N/A Especifica qué nota quieres que aparezca en la detección o el endpoint.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentra una detección o un endpoint y la nota se actualiza correctamente (is_success = true):

Imprime "Se ha actualizado correctamente la nota de {1} con el ID {2}.format(Item Type, Item ID)

Si no se ha encontrado la detección o el endpoint (is_success=False):

Imprime "{0} con ID {1} no se ha encontrado.".format(Tipo de elemento, ID de elemento)."

Si is_success=false sin una situación específica y no es un error crítico:

Imprime "Action wasn't able to update note on {0} with ID {1}.format(Item Type, Item ID)":

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave (credenciales incorrectas, error de conexión o fallo de la acción):

Imprime "Error al ejecutar la acción "Actualizar nota". Motivo: {0}''.format(error.Stacktrace)

 General

Actualizar estado de detección

Descripción

Actualiza el estado de la detección.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de detección Entero N/A Especifique el ID de detección cuyo estado quiera actualizar.
Estado DDL

Fijo

Valores posibles:

Fijo

Activo

 Especifica el estado que se va a definir en la detección.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida\*

La acción no debe fallar ni detener la ejecución de una guía:

Si se detecta una caída y el estado se actualiza correctamente (is_success = true):

Imprime "Successfully updated status to '{0}' on detection with ID {1}.format(Status, Detection ID)

Si no se ha encontrado ninguna detección (is_success=False):

Imprime "No se ha encontrado la detección con el ID {1}.".format(ID de detección)."

Si is_success=false sin una situación específica y no es un error crítico:

Imprime "Action wasn't able to update status on detection with ID {1}.format(detection ID)":

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave (credenciales incorrectas, error de conexión o fallo de la acción):

Imprime "Error al ejecutar la acción "Update Detection Status"." Motivo: {0}''.format(error.Stacktrace)

 General

Obtener detalles de la regla de triaje

Descripción

Consulta información detallada sobre las reglas de triaje.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
IDs de reglas de triaje Entero N/A Especifica una lista separada por comas de IDs de reglas de triaje. Ejemplo: 28,29
Crear estadísticas Casilla Verdadero Si se habilita, la acción creará una estadística independiente para cada regla de triaje procesada.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Insight
Título de la estadística Descripción de la estadística
"Triage Rule {0}".format(triage_rule) "Detection Category: {0}\n Triage Category: {1}\n Detection: {2} \n Description: {3}".format(detection_category, triage_category, detection, description)
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "id": 28,
    "url": "https://api.demo.vectranetworks.com/api/v2.1/rules/28",
    "description": "whatever",
    "enabled": true,
    "created_timestamp": "2020-10-01T17:21:19Z",
    "last_timestamp": "2020-10-01T17:21:19Z",
    "is_whitelist": false,
    "priority": 1,
    "active_detections": 1,
    "total_detections": 1,
    "template": false,
    "additional_conditions": {
        "OR": [
            {
                "AND": [
                    {
                        "ANY_OF": {
                            "field": "remote1_ip",
                            "values": [
                                {
                                    "url": null,
                                    "value": "35.166.75.118",
                                    "label": "35.166.75.118"
                                }
                            ],
                            "groups": [],
                            "label": "C&C Server IP"
                        }
                    }
                ]
            }
        ]
    },
    "source_conditions": {
        "OR": [
            {
                "AND": [
                    {
                        "ANY_OF": {
                            "field": "host",
                            "values": [
                                {
                                    "url": "https://api.demo.vectranetworks.com/api/v2.1/hosts/142",
                                    "value": 142,
                                    "label": "IP-10.10.100.10"
                                }
                            ],
                            "groups": [],
                            "label": "Host"
                        }
                    }
                ]
            }
        ]
    },
    "detection_category": "COMMAND & CONTROL",
    "triage_category": "triage rule 1",
    "detection": "Hidden HTTPS Tunnel"
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente y se ha enriquecido al menos uno de los IDs de regla proporcionados (is_success = true):

Imprime "Se ha obtenido correctamente información sobre las siguientes reglas de triaje de Vectra: \n {0}".format(processed rule ids)

Si no se pueden enriquecer entidades específicas(is_success = true):

Imprime "No se ha podido obtener información sobre las siguientes reglas de triaje:\n {0}".format(not processed rule ids)

Si no se puede enriquecer ninguna entidad (is_success = false):

Imprime "No se ha obtenido información sobre las reglas de triaje".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave (credenciales incorrectas, error de conexión o fallo de la acción):

Imprime "Error al ejecutar la acción "Get Triage Rule Details". Motivo: {0}''.format(error.Stacktrace)

 General
Tabla del panel de casos

Nombre de la tabla: Triage Rules Details

Columnas de tabla:

ID (asignado como id)

Habilitado (asignado como habilitado)

Categoría de detección (asignada como detection_category)

Categoría de triaje (asignada como triage_category)

Detección (asignada como detección)

Lista blanca (asignada como is_whitelist)

Prioridad (asignada como prioridad)

Created At (asignado como created_timestamp)

 General

Conectores

Vectra - Detections Connector

Configurar el conector de detecciones de Vectra en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo de producto Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento Cadena eventType Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.

Nombre del campo de entorno

 Cadena "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.

Patrón de expresión regular del entorno

 Cadena .* No

Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno".

El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos) Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API Cadena https://x.x.x.x:x:x Raíz de la API del servidor de Vectra.
Token de API Contraseña N/A Token de API de la cuenta de Vectra.
Puntuación de amenaza mínima que se debe obtener Entero 50

Puntuación de amenaza más baja que se usará para obtener detecciones.

Mín.: 0

Máximo: 100
Puntuación de certeza mínima para obtener Entero 0 No

La puntuación de certeza más baja que se usará para obtener detecciones.

Mín.: 0

Máximo: 100
Filtro de categoría Valores separados por comas Comando y control, botnet, reconocimiento, movimiento lateral, exfiltración e información

Especifica qué categorías de detecciones quieres ingerir en Google SecOps.

Posibles valores:

Comando y control

Botnet

Reconocimiento

Movimiento lateral

Filtración externa

Información
Fetch Max Hours Backwards Entero 1 No Número de horas a partir del cual se obtienen las amenazas.
Número máximo de detecciones que se van a obtener Entero 25 No Número de detecciones que se procesan por cada iteración del conector. El límite es de 5000. Esta es una limitación de Vectra.
Usar la lista blanca como lista negra Casilla Desmarcada Si está habilitada, la lista de permitidos se usará como lista de denegados.
Verificar SSL Casilla Marcada Si está habilitada, compruebe que el certificado SSL de la conexión con el servidor de Vectra es válido.
Dirección del servidor proxy Cadena N/A No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena N/A No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña N/A No La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxies

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.