Vectra
통합 버전: 8.0
사용 사례
- Vectra 감지를 수집하여 Google Security Operations 알림을 만드는 데 사용합니다. 그런 다음 Google SecOps에서 알림을 사용하여 플레이북이나 수동 분석으로 오케스트레이션을 수행할 수 있습니다.
- 강화 작업 실행 - Vectra에서 데이터를 가져와 Google SecOps 알림의 데이터를 강화합니다.
제품 권한
API 토큰을 가져오려면 프로필 페이지로 이동하여 복사해야 합니다.
Google SecOps에서 Vectra 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://{address}:{port} | 예 | Vectra 서버의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | Vectra 계정의 API 토큰입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정한 경우 Vectra 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Vectra에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Vectra 서버에 성공적으로 연결되었습니다.' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. 'Vectra 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
엔드포인트 보강
설명
호스트 이름 또는 IP 주소로 엔드포인트의 시스템 정보를 가져옵니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| Vectra_id | results/id | JSON으로 제공되는 경우 |
| Vectra_name | results/name | JSON으로 제공되는 경우 |
| Vectra_state | results/state | JSON으로 제공되는 경우 |
| Vectra_threat | 결과/위협 | JSON으로 제공되는 경우 |
| Vectra_certainty | 결과/확실성 | JSON으로 제공되는 경우 |
| Vectra_ip | results/last_source | JSON으로 제공되는 경우 |
| Vectra_tags | 공백으로 구분된 {results/tags} | JSON으로 제공되는 경우 |
| Vectra_note | 결과/참고 | JSON으로 제공되는 경우 |
| Vectra_url | results/url | JSON으로 제공되는 경우 |
| Vectra_last_modified | results/last_modified | JSON으로 제공되는 경우 |
| Vectra_groups | 공백으로 구분된 {results/groups} | JSON으로 제공되는 경우 |
| Vectra_is_key_asset | results/is_key_asset | JSON으로 제공되는 경우 |
| Vectra_has_active_traffic | results/has_active_traffic | JSON으로 제공되는 경우 |
| Vectra_is_targeting_key_asset | results/is_targeting_key_asset | JSON으로 제공되는 경우 |
| Vectra_privilege_level | results/privilege_level | JSON으로 제공되는 경우 |
| Vectra_previous_ip | 공백으로 구분된 {results/previous_ips} | JSON으로 제공되는 경우 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": 131,
"name": "DESKTOP-DAIOS7J",
"active_traffic": false,
"has_active_traffic": false,
"t_score": 0,
"threat": 0,
"c_score": 0,
"certainty": 0,
"severity": null,
"last_source": "10.0.2.68",
"ip": "10.0.2.68",
"previous_ips": [],
"last_detection_timestamp": "2019-10-08T17:13:57Z",
"key_asset": false,
"is_key_asset": false,
"state": "inactive",
"targets_key_asset": false,
"is_targeting_key_asset": false,
"detection_set": [],
"host_artifact_set": [
{
"type": "netbios",
"value": "DESKTOP-DAIOS7J",
"source": null,
"siem": false
}
],
"sensor": "YLq09aHU",
"sensor_name": "Vectra X",
"tags": [],
"note": null,
"note_modified_by": null,
"note_modified_timestamp": null,
"url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"host_url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"last_modified": "2020-02-12T13:41:51Z",
"assigned_to": null,
"assigned_date": null,
"groups": [],
"has_custom_model": false,
"privilege_level": null,
"privilege_category": null,
"probable_owner": null,
"detection_profile": null,
"host_session_luids": [],
"host_luid": "e0M-jygN"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우 (is_success = true): 'Vectra에서 다음 엔드포인트를 보강했습니다. \n {0}'.format(entity.identifier list)를 출력합니다. 작업에서 일부 Google SecOps 항목에 대해 Vectra에서 일치하는 항목을 여러 개 찾은 경우 첫 번째 일치 항목을 사용하여 엔드포인트를 보강했습니다. 'Vectra에서 여러 일치 항목이 발견되었습니다. 다음 항목의 첫 번째 일치 항목을 사용합니다./n {0}'.format(entity.identifiers list) 출력 특정 항목을 보강하지 못한 경우(is_success = true): '보강된 항목이 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. '엔드포인트 보강' 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
태그 추가
설명
Vectra의 엔드포인트 또는 감지에 태그를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 항목 유형 | 드롭다운 | 엔드포인트 가능한 값: 감지 |
예 | 태그를 추가할 상품 유형을 선택합니다. |
| 항목 ID | 문자열 | 해당 사항 없음 | 예 | 감지/엔드포인트의 ID를 지정합니다. |
| 태그 | CSV | 해당 사항 없음 | 예 | 감지/엔드포인트에 추가할 태그를 지정합니다. 태그는 쉼표로 구분해야 합니다(예: tag1, tag2). |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 감지/엔드포인트가 발견되고 태그가 성공적으로 업데이트된 경우 (is_success = true): 'ID가 {2}인 {1}에 태그 {0}이(가) 추가되었습니다.'를 출력합니다.format(tags, Item Type, Item ID) 감지/엔드포인트가 발견되었지만 태그가 추가되지 않은 경우 (is_success=False): '작업이 ID {2}로 {1}에 태그 {0}을 추가할 수 없습니다. 이유: {3}. format(tags, Item Type, Item ID, tags parameter from response)'. 감지/엔드포인트를 찾을 수 없는 경우 (is_success=False): 'ID가 {1}인 {0}을 찾을 수 없습니다.'를 출력합니다. II 특정 상황 없이 is_success=false이고 심각한 오류가 아닌 경우: '작업이 ID {1}을 사용하여 {0}에 태그를 추가할 수 없습니다.'.format(Item Type, Item ID)를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. '태그 추가' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
태그 삭제
설명
Vectra의 엔드포인트 또는 감지에서 태그를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 항목 유형 | 드롭다운 | 엔드포인트 가능한 값: 감지 |
예 | 태그를 삭제할 항목 유형을 선택합니다. |
| 항목 ID | 문자열 | 해당 사항 없음 | 예 | 감지/엔드포인트의 ID를 지정합니다. |
| 태그 | CSV | 해당 사항 없음 | 예 | 감지/엔드포인트에서 삭제할 태그를 지정합니다. 태그는 쉼표로 구분해야 합니다(예: tag1, tag2). |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 감지/엔드포인트가 발견되고 태그가 성공적으로 업데이트된 경우 (is_success = true): 'ID가 {2}인 {1}에서 태그 {0}을 삭제했습니다.'.format(tags, Item Type, Item ID)를 출력합니다. 감지/엔드포인트를 찾을 수 없는 경우 (is_success=False): 'ID가 {1}인 {0}을(를) 찾을 수 없습니다.'.format(Item Type, Item ID) 출력 감지/엔드포인트가 발견되었지만 태그가 발견되지 않은 경우 (is_success=False): 'ID가 {2}인 {1}에 {0} 태그가 없습니다.'.format(쉼표로 구분된 찾을 수 없는 태그 목록, 항목 유형, 항목 ID) 출력 특정 상황 없이 is_success=false이고 심각한 오류가 아닌 경우: '작업이 ID가 {1}인 {0}에서 태그를 삭제할 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 'Error executing action "Remove Tags". 이유: {0}'.format(error.Stacktrace) |
일반 |
메모 업데이트
설명
엔드포인트 또는 감지에 대한 메모를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 항목 유형 | 드롭다운 | 엔드포인트 가능한 값: 감지 |
예 | 메모를 업데이트할 항목 유형을 선택합니다. |
| 항목 ID | 문자열 | 해당 사항 없음 | 예 | 감지/엔드포인트의 ID를 지정합니다. |
| 참고 | 문자열 | 해당 사항 없음 | 예 | 감지/엔드포인트에 표시할 메모를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 감지/엔드포인트가 발견되고 메모가 성공적으로 업데이트된 경우 (is_success = true): 'ID가 {2}인 {1}의 메모가 업데이트되었습니다.'를 출력합니다.format(Item Type, Item ID) 감지/엔드포인트를 찾을 수 없는 경우 (is_success=False): 'ID가 {1}인 {0}을(를) 찾을 수 없습니다.'.format(Item Type, Item ID) 출력 특정 상황 없이 is_success=false이고 심각한 오류가 아닌 경우: '작업이 ID {1}로 {0}의 메모를 업데이트할 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. '메모 업데이트 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
감지 상태 업데이트
설명
감지 상태를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 감지 ID | 정수 | 해당 사항 없음 | 예 | 상태를 업데이트할 감지 ID를 지정합니다. |
| 상태 | DDL | 수정된 가능한 값은 다음과 같습니다. 고정 활성 |
예 | 감지에 설정할 상태를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지\* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 감지가 발견되고 상태가 성공적으로 업데이트된 경우 (is_success = true): 'ID가 {1}인 감지에서 상태를 '{0}'로 업데이트했습니다.'를 출력합니다.format(Status, Detection ID)
감지가 발견되지 않은 경우 (is_success=False): 'ID가 {1}인 감지를 찾을 수 없습니다.'.format(감지 ID)를 출력합니다. 특정 상황 없이 is_success=false이고 심각한 오류가 아닌 경우: '작업이 ID {1}로 감지 상태를 업데이트할 수 없습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. '감지 상태 업데이트 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
심사 규칙 세부정보 가져오기
설명
심사 규칙에 관한 자세한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 심사 규칙 ID | 정수 | 해당 사항 없음 | 예 | 심사 규칙 ID의 쉼표로 구분된 목록을 지정합니다. 예: 28,29 |
| 통계 만들기 | 체크박스 | 참 | 예 | 사용 설정하면 처리된 심사 규칙마다 별도의 통계가 생성됩니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
통계
| 통계 제목 | 통계 설명 |
|---|---|
| "Triage Rule {0}".format(triage_rule) | 'Detection Category: {0}\n Triage Category: {1}\n Detection: {2} \n Description: {3}'.format(detection_category, triage_category, detection, description) |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": 28,
"url": "https://api.demo.vectranetworks.com/api/v2.1/rules/28",
"description": "whatever",
"enabled": true,
"created_timestamp": "2020-10-01T17:21:19Z",
"last_timestamp": "2020-10-01T17:21:19Z",
"is_whitelist": false,
"priority": 1,
"active_detections": 1,
"total_detections": 1,
"template": false,
"additional_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "remote1_ip",
"values": [
{
"url": null,
"value": "35.166.75.118",
"label": "35.166.75.118"
}
],
"groups": [],
"label": "C&C Server IP"
}
}
]
}
]
},
"source_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "host",
"values": [
{
"url": "https://api.demo.vectranetworks.com/api/v2.1/hosts/142",
"value": 142,
"label": "IP-10.10.100.10"
}
],
"groups": [],
"label": "Host"
}
}
]
}
]
},
"detection_category": "COMMAND & CONTROL",
"triage_category": "triage rule 1",
"detection": "Hidden HTTPS Tunnel"
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 규칙 ID 중 하나 이상이 보강된 경우 (is_success = true): 'Vectra에서 다음 트리아지 규칙에 대한 정보를 검색했습니다.\n {0}'.format(processed rule ids)를 출력합니다. 특정 항목을 보강하지 못한 경우(is_success = true): '작업에서 다음 트리아지 규칙에 대한 정보를 가져올 수 없습니다.\n: {0}'.format(처리되지 않은 규칙 ID)을 출력합니다. 모든 항목을 보강하지 못한 경우 (is_success = false): '선별 규칙에 관한 정보가 검색되지 않았습니다.'를 출력합니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 'Error executing action "Get Triage Rule Details". 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 심사 규칙 세부정보 테이블 열: ID(id로 매핑됨) 사용 설정됨 (사용 설정됨으로 매핑됨) 감지 카테고리 (detection_category로 매핑됨) 분류 카테고리 (triage_category로 매핑됨) 감지 (감지로 매핑됨) 허용 목록 (is_whitelist로 매핑됨) 우선순위 (우선순위로 매핑됨) 생성 일시 (created_timestamp로 매핑됨) |
일반 |
커넥터
Vectra - 감지 커넥터
Google SecOps에서 Vectra - Detections Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | eventType | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
환경 필드 이름 |
문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://x.x.x.x:x:x | 예 | Vectra 서버의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | Vectra 계정의 API 토큰입니다. |
| 가져올 가장 낮은 위협 점수 | 정수 | 50 | 예 | 감지를 가져오는 데 사용할 가장 낮은 위협 점수입니다. 최소: 0 최댓값: 100 |
| 가져올 가장 낮은 확실성 점수 | 정수 | 0 | 아니요 | 감지를 가져오는 데 사용되는 가장 낮은 확실성 점수입니다. 최소: 0 최댓값: 100 |
| 카테고리 필터 | 쉼표로 구분된 값 | 명령 및 제어,봇넷 ,정찰,측면 이동,유출,정보 | Google SecOps로 수집할 감지 카테고리를 지정합니다. 가능한 값은 다음과 같습니다. 명령 및 제어 Botnet 정찰 측면 이동 유출 정보 |
|
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 위협을 가져올 위치로부터의 시간입니다. |
| 가져올 최대 탐지 수 | 정수 | 25 | 아니요 | 커넥터 반복당 처리할 감지 수입니다. 한도는 5,000입니다. 이는 Vectra의 제한사항입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정한 경우 Vectra 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.