Vectra
整合版本:8.0
應用實例
- 擷取 Vectra 偵測結果,用來建立 Google Security Operations 警報。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 執行擴充動作 - 從 Vectra 取得資料,擴充 Google SecOps 快訊中的資料。
產品權限
如要取得 API 權杖,請前往「設定檔」頁面並複製權杖。
在 Google SecOps 中設定 Vectra 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://{address}:{port} | 是 | Vectra 伺服器的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | Vectra 帳戶的 API 權杖。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Vectra 伺服器的 SSL 憑證有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Vectra 的連線。
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 列印「Successfully connected to the Vectra server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Vectra 伺服器!) 動作應會失敗並停止執行應對手冊: Print "Failed to connect to the Vectra server! Error is {0}".format(exception.stacktrace) |
一般 |
充實端點
說明
依主機名稱或 IP 位址擷取端點的系統資訊。
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| Vectra_id | results/id | 以 JSON 格式提供時 |
| Vectra_name | results/name | 以 JSON 格式提供時 |
| Vectra_state | 結果/狀態 | 以 JSON 格式提供時 |
| Vectra_threat | 結果/威脅 | 以 JSON 格式提供時 |
| Vectra_certainty | 結果/確定性 | 以 JSON 格式提供時 |
| Vectra_ip | results/last_source | 以 JSON 格式提供時 |
| Vectra_tags | 以半形空格分隔的 {results/tags} | 以 JSON 格式提供時 |
| Vectra_note | 結果/附註 | 以 JSON 格式提供時 |
| Vectra_url | results/url | 以 JSON 格式提供時 |
| Vectra_last_modified | results/last_modified | 以 JSON 格式提供時 |
| Vectra_groups | 以半形空格分隔的 {results/groups} | 以 JSON 格式提供時 |
| Vectra_is_key_asset | results/is_key_asset | 以 JSON 格式提供時 |
| Vectra_has_active_traffic | results/has_active_traffic | 以 JSON 格式提供時 |
| Vectra_is_targeting_key_asset | results/is_targeting_key_asset | 以 JSON 格式提供時 |
| Vectra_privilege_level | results/privilege_level | 以 JSON 格式提供時 |
| Vectra_previous_ip | 以半形空格分隔的 {results/previous_ips} | 以 JSON 格式提供時 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": 131,
"name": "DESKTOP-DAIOS7J",
"active_traffic": false,
"has_active_traffic": false,
"t_score": 0,
"threat": 0,
"c_score": 0,
"certainty": 0,
"severity": null,
"last_source": "10.0.2.68",
"ip": "10.0.2.68",
"previous_ips": [],
"last_detection_timestamp": "2019-10-08T17:13:57Z",
"key_asset": false,
"is_key_asset": false,
"state": "inactive",
"targets_key_asset": false,
"is_targeting_key_asset": false,
"detection_set": [],
"host_artifact_set": [
{
"type": "netbios",
"value": "DESKTOP-DAIOS7J",
"source": null,
"siem": false
}
],
"sensor": "YLq09aHU",
"sensor_name": "Vectra X",
"tags": [],
"note": null,
"note_modified_by": null,
"note_modified_timestamp": null,
"url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"host_url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"last_modified": "2020-02-12T13:41:51Z",
"assigned_to": null,
"assigned_date": null,
"groups": [],
"has_custom_model": false,
"privilege_level": null,
"privilege_category": null,
"probable_owner": null,
"detection_profile": null,
"host_session_luids": [],
"host_luid": "e0M-jygN"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功 且至少有一個提供的實體經過擴充 (is_success = true): Print "Successfully enriched the following endpoints from Vectra: \n {0}".format(entity.identifier list) 如果 Vectra 為某些 Google SecOps 實體找到多個相符的動作,系統會採用第一個相符的動作來擴充端點: Print "Multiple matches were found in Vectra, taking first match for the following entities:/n {0}".format(entity.identifiers list) 如果無法擴充特定實體(is_success = true): Print "No entities were enriched." 動作應會失敗並停止執行劇本: Print "Error executing action "Enrich Endpoint". 原因:{0}''.format(error.Stacktrace) |
一般 |
新增標記
說明
在 Vectra 中為端點或偵測項目新增標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 項目類型 | 下拉式選單 | 端點 可能的值: 偵測 |
是 | 選取要新增標記的項目類型。 |
| 項目 ID | 字串 | 不適用 | 是 | 指定偵測/端點的 ID。 |
| 標記 | CSV | 不適用 | 是 | 指定要新增至偵測/端點的標記。標記應以半形逗號分隔,例如:tag1, tag2。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統偵測到端點,且已成功更新標記 (is_success = true): Print "Successfully added tags {0} to {1} with ID {2}.format(tags, Item Type, Item ID) 如果系統偵測到端點,但未新增標記 (is_success=False): Print "Action wasn't able to add tags {0} to {1} with ID {2}. Reason: {3}. format(tags, Item Type, Item ID, tags parameter from response)"。 如果找不到偵測/端點 (is_success=False): Print "{0} with ID {1} was not found.format(Item Type, Item ID)." II is_success=false,但沒有特定情況,且不是重大錯誤: Print "Action wasn't able to add tags to {0} with ID {1}.format(Item Type, Item ID)": 動作應會失敗並停止執行劇本: Print "Error executing action "Add Tags". 原因:{0}''.format(error.Stacktrace) |
一般 |
移除標記
說明
從 Vectra 中的端點或偵測項目移除標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 項目類型 | 下拉式選單 | 端點 可能的值: 偵測 |
是 | 選取要移除標記的項目類型。 |
| 項目 ID | 字串 | 不適用 | 是 | 指定偵測/端點的 ID。 |
| 標記 | CSV | 不適用 | 是 | 指定要從偵測/端點移除的標記。標記應以半形逗號分隔,例如:tag1, tag2。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統偵測到端點,且已成功更新標記 (is_success = true): 列印「Successfully removed tags {0} from {1} with ID {2}.format(tags, Item Type, Item ID) 如果找不到偵測/端點 (is_success=False): Print "{0} with ID {1} was not found.".format(Item Type, Item ID)." 如果系統偵測到端點,但找不到代碼 (is_success=False): Print "Tags {0} don't exist in {1} with ID {2}.".format(list of tags that were not found separated by comma, Item Type, Item ID)." 如果 is_success=false,但沒有特定情況,且不是嚴重錯誤: 列印「Action wasn't able to remove tags from {0} with ID {1}.format(Item Type, Item ID)」: 動作應會失敗並停止執行劇本: Print "Error executing action "Remove Tags". 原因:{0}''.format(error.Stacktrace) |
一般 |
更新附註
說明
更新端點或偵測項目的附註。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 項目類型 | 下拉式選單 | 端點 可能的值: 偵測 |
是 | 選取要更新附註的項目類型。 |
| 項目 ID | 字串 | 不適用 | 是 | 指定偵測/端點的 ID。 |
| 注意事項 | 字串 | 不適用 | 是 | 指定要在偵測結果/端點上顯示的附註。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統偵測到端點,且已成功更新附註 (is_success = true): Print "Successfully updated note on {1} with ID {2}.format(Item Type, Item ID) 如果找不到偵測/端點 (is_success=False): Print "{0} with ID {1} was not found.".format(Item Type, Item ID)." 如果 is_success=false,但沒有特定情況,且不是嚴重錯誤: 列印「Action wasn't able to update note on {0} with ID {1}.format(Item Type, Item ID)」: 動作應會失敗並停止執行劇本: Print "Error executing action "Update Note". 原因:{0}''.format(error.Stacktrace) |
一般 |
更新偵測狀態
說明
更新偵測狀態。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 偵測 ID | 整數 | 不適用 | 是 | 指定要更新狀態的偵測 ID。 |
| 狀態 | DDL | 已修正 可能的值: 固定 有效 |
是 | 指定要為偵測結果設定的狀態。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息\* | 動作不應失敗,也不應停止執行應對手冊: 如果系統偵測到事件,且狀態已成功更新 (is_success = true): Print "Successfully updated status to '{0}' on detection with ID {1}.format(Status, Detection ID)
如果系統未偵測到臉部 (is_success=False): Print "Detection with ID {1} was not found.".format(Detection ID)." 如果 is_success=false,但沒有特定情況,且不是嚴重錯誤: 列印「Action wasn't able to update status on detection with ID {1}.format(detection ID)」: 動作應會失敗並停止執行劇本: Print "Error executing action "Update Detection Status". 原因:{0}''.format(error.Stacktrace) |
一般 |
取得分流規則詳細資料
說明
進一步瞭解會診規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 分流規則 ID | 整數 | 不適用 | 是 | 指定以半形逗號分隔的分類規則 ID 清單。示例:28,29 |
| 建立洞察資料 | 核取方塊 | 是 | 是 | 啟用後,系統會為每個處理的分類規則建立個別洞察資料。 |
執行時間
這項操作不會對實體執行。
動作執行結果
深入分析
| 洞察標題 | 洞察說明 |
|---|---|
| "Triage Rule {0}".format(triage_rule) | "Detection Category: {0}\n Triage Category: {1}\n Detection: {2} \n Description: {3}".format(detection_category, triage_category, detection, description) |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"id": 28,
"url": "https://api.demo.vectranetworks.com/api/v2.1/rules/28",
"description": "whatever",
"enabled": true,
"created_timestamp": "2020-10-01T17:21:19Z",
"last_timestamp": "2020-10-01T17:21:19Z",
"is_whitelist": false,
"priority": 1,
"active_detections": 1,
"total_detections": 1,
"template": false,
"additional_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "remote1_ip",
"values": [
{
"url": null,
"value": "35.166.75.118",
"label": "35.166.75.118"
}
],
"groups": [],
"label": "C&C Server IP"
}
}
]
}
]
},
"source_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "host",
"values": [
{
"url": "https://api.demo.vectranetworks.com/api/v2.1/hosts/142",
"value": 142,
"label": "IP-10.10.100.10"
}
],
"groups": [],
"label": "Host"
}
}
]
}
]
},
"detection_category": "COMMAND & CONTROL",
"triage_category": "triage rule 1",
"detection": "Hidden HTTPS Tunnel"
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且至少一個提供的規則 ID 已完成擴充 (is_success = true): Print "Successfully retrieved information about the following triage rules from Vectra: \n {0}".format(processed rule ids) 如果無法擴充特定實體(is_success = true): Print "Action was not able to retrieve information about the following triage rules\n: {0}".format(not processed rule ids) 如果無法為所有實體擴充資料 (is_success = false): Print "No information was retrieved about the triage rules." 動作應會失敗並停止執行劇本: Print "Error executing action "Get Triage Rule Details". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:分流規則詳細資料 資料表資料欄: ID (對應為 id) 已啟用 (對應為已啟用) 偵測類別 (對應為 detection_category) 分類類別 (對應為 triage_category) 偵測 (對應為偵測) 許可清單 (對應為 is_whitelist) 優先順序 (對應為優先順序) 建立時間 (對應為 created_timestamp) |
一般 |
連接器
Vectra - Detections 連接器
在 Google SecOps 中設定 Vectra - Detections Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | eventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
環境欄位名稱 |
字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://x.x.x.x:x:x | 是 | Vectra 伺服器的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | Vectra 帳戶的 API 權杖。 |
| 要擷取的最低威脅分數 | 整數 | 50 | 是 | 用於擷取偵測結果的最低威脅分數。 下限:0 最多 100 個 |
| 要擷取的最低確定度分數 | 整數 | 0 | 否 | 用於擷取偵測結果的最低確定度分數。 下限:0 最多 100 個 |
| 類別篩選器 | 逗號分隔值 | 命令與控制、殭屍網路、偵察、橫向移動、竊取、資訊 | 指定要擷取至 Google SecOps 的偵測類別。 可能的值包括: 命令與控制 Botnet 偵查 橫向移動 資料竊取 資訊 |
|
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取威脅的小時數。 |
| 要擷取的偵測結果數量上限 | 整數 | 25 | 否 | 每次連接器疊代要處理的偵測次數。上限為 5000。這是 Vectra 的限制。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Vectra 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。