将 Anomali STAXX 与 Google SecOps 集成
本文档介绍了如何将 Anomali STAXX 与 Google Security Operations (Google SecOps) 集成。
集成版本:4.0
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 服务器地址 | 字符串 | https://<ip>:<port> | 是 | Anomali STAXX 实例的服务器地址。 |
| 用户名 | 字符串 | 不适用 | 是 | Anomali STAXX 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Anomali STAXX 账号的密码。 |
| 验证 SSL | 复选框 | 尚未核查 | 否 | 如果启用,则验证与 Anomali STAXX 服务器的连接的 SSL 证书是否有效。 |
| 远程运行 | 复选框 | 勾选 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Anomali STAXX 的连接。
参数
无。
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已使用提供的连接参数成功连接到 Anomali STAXX 服务器!” 操作应失败并停止 playbook 执行: 如果不成功: “Failed to connect to the Anomali STAXX server! 错误为 {0}".format(exception.stacktrace) |
常规 |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Anomali STAXX - 指标连接器
从 Anomali STAXX 中提取指示器。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 |
存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
| 事件字段名称 | 字符串 | itype | 是 | 用于确定事件名称(子类型)的字段的名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 |
Environment Regex Pattern |
字符串 | .* | 否 |
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 |
| 服务器地址 | 字符串 | https://<ip>:<port> | 是 | Anomali STAXX 实例的服务器地址。 |
| 用户名 | 字符串 | 不适用 | 是 | Anomali STAXX 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Anomali STAXX 账号的密码。 |
| 服务器时区 | 字符串 | 不适用 | 否 | 指定 Anomali STAXX 服务器上设置的时区(相对于世界协调时间 [UTC]),例如 +1 或 -1。如果未指定任何内容,连接器将使用 UTC 作为默认时区。 |
| 要提取的最低严重程度 | 字符串 | 中 | 是 | 用于提取指示器的最低严重程度。 可能的值:
|
| 要提取的最低置信度 | 整数 | 0 | 否 | 用于提取指示器的最低置信度。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 要检索的指标的小时数(相对于当前时间)。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 |
| 要提取的指标数量上限 | 整数 | 50 | 否 | 每次连接器迭代要处理的指标数量。 |
Use whitelist as a blacklist |
复选框 | 尚未核查 | 是 | 如果选中此选项,连接器会将动态列表用作屏蔽列表。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果选择此项,集成会在连接到 Anomali STAXX 服务器时验证 SSL 证书。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。