Google SecOps와 Axonius 통합
이 문서에서는 Axonius를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 5.0
사용 사례
보강 작업을 수행합니다.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{root} | 예 | Axonius API 루트 |
| API 키 | 문자열 | 해당 사항 없음 | 예 | Axonius API 키 |
| API 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Axonius API 보안 비밀번호 |
| SSL 확인 | 체크박스 | 선택 | 예 | 선택하면 Axonius 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Axonius와의 연결을 테스트합니다.
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Axonius 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Axonius 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
항목 보강
Axonius의 정보를 사용하여 항목을 보강합니다. 지원되는 항목에는 호스트 이름, IP 주소, Mac 주소, 사용자, 이메일 주소 (이메일 정규 표현식과 일치하는 사용자 항목)가 포함됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 엔드포인트 통계 만들기 | 체크박스 | 참 | 아니요 | 사용 설정하면 작업에서 엔드포인트에 관한 정보가 포함된 통계를 만듭니다. |
| 사용자 통계 만들기 | 체크박스 | 참 | 아니요 | 사용 설정하면 작업에서 사용자에 관한 정보가 포함된 통계를 만듭니다. |
| 반환할 최대 메모 수 | 정수 | 50 | 아니요 | 케이스 월 표에 표시할 메모 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- Mac 주소
- 사용자
- 이메일
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과 - 엔드포인트:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:44:19 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"ad_distinguished_name": "CN=DESKTOP-ID,OU=Computers,DC=demo,DC=local",
"ad_object_class": [
"top",
"person",
"organizationalperson",
"user",
"computer"
],
"ad_sAMAccountName": "",
"ad_site_location": "Richmond",
"ad_site_name": "",
"device_disabled": false,
"device_managed_by": "Example User",
"domain": "example.example",
"hostname": "HOSTNAME",
"id": "CN=ID,OU=Computers,DC=demo,DC=local",
"last_seen": "Tue, 16 Mar 2021 19:44:05 GMT",
"name": "NAME",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
]
}
],
"os": {
"bitness": 64,
"distribution": "10",
"is_windows_server": false,
"os_str": "windows 10 pro 64-bit",
"type": "Windows",
"type_distribution": "Windows 10"
},
"part_of_domain": true
},
"plugin_name": "",
"plugin_type": "Adapter",
"plugin_unique_name": "",
"quick_id": "active_directory_adapter_0!CN=ID,OU=OU,DC=DOMAIN,DC=DOMAIN",
"type": "entitydata"
},
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:43:52 GMT",
"client_used": "https://DOMAIN",
"raw": {
"hostname": "HOSTNAME",
"id": "ID",
"last_seen": "Sun, 21 Mar 2021 01:50:28 GMT",
"name": "NAME",
"network_id": "NETWORK_ID",
"network_interfaces": [
{
"ips": [
"IP"
],
"ips_raw": [
"IP_RAW"
],
"ips_v4": [
"IP_V4"
],
"ips_v4_raw": [
"IP_V4_RAW"
],
"mac": "01:23:45:AB:CD:EF",
"manufacturer": "(Intel Corporate)"
}
]
},
"plugin_name": "Example",
"plugin_type": "Adapter",
"plugin_unique_name": "Example",
"quick_id": "ID",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
JSON 결과 - 사용자용:
{
"adapters": [
{
"accurate_for_datetime": "Sun, 21 Mar 2021 03:45:01 GMT",
"client_used": "DOMAIN\\axoniusSvc",
"raw": {
"account_disabled": false,
"ad_display_name": "",
"ad_distinguished_name": "CN=example, DC=example",
"ad_sid": "S-1-5-21-70119-3234025",
"ad_uac_dont_expire_password": false,
"ad_uac_password_not_required": false,
"display_name": "",
"domain": "example.example",
"employee_id": "ID",
"first_name": "Example",
"id": "CN=example, DC=example",
"is_admin": false,
"is_local": false,
"is_locked": false,
"last_name": "Example",
"last_password_change": "Wed, 17 Mar 2021 09:12:11 GMT",
"last_seen": "Thu, 18 Mar 2021 09:25:08 GMT",
"mail": "email@example.com",
"password_never_expires": false,
"password_not_required": false,
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com"
},
"user_city": "Boston",
"user_telephone_number": "(800) 555-0175",
"username": "user@example.com",
"plugin_name": "active_directory_adapter",
"plugin_type": "Adapter",
"plugin_unique_name": "active_directory_adapter_0",
"quick_id": "active_directory_adapter_0!CN=example,DC=example",
"type": "entitydata"
}
],
"Notes": [],
"internal_axon_id": "",
"labels": []
}
엔드포인트의 항목 보강:
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| object_classes | JSON으로 제공되는 경우 |
| site_name | JSON으로 제공되는 경우 |
| device_disabled | JSON으로 제공되는 경우 |
| device_managed_by | JSON으로 제공되는 경우 |
| 호스트 이름 | JSON으로 제공되는 경우 |
| ad_distinguished_name | JSON으로 제공되는 경우 |
| asset_name | JSON으로 제공되는 경우 |
| ips | JSON으로 제공되는 경우 |
| os | JSON으로 제공되는 경우 |
| id | JSON으로 제공되는 경우 |
| 링크 | JSON으로 제공되는 경우 |
항목 보강 - 사용자:
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| account_disabled | JSON으로 제공되는 경우 |
| ad_display_name | JSON으로 제공되는 경우 |
| ad_distinguished_name | JSON으로 제공되는 경우 |
| ad_sid | JSON으로 제공되는 경우 |
| employee_id | JSON으로 제공되는 경우 |
| is_admin | JSON으로 제공되는 경우 |
| is_local | JSON으로 제공되는 경우 |
| is_locked | JSON으로 제공되는 경우 |
| JSON으로 제공되는 경우 | |
| user_telephone_number | JSON으로 제공되는 경우 |
| id | JSON으로 제공되는 경우 |
| 링크 | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형(항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 일부 보강된 경우(is_success = true): 'Axonius를 사용하여 다음 항목을 성공적으로 보강했습니다.\n'.format(entity.identifier) 일부 항목을 보강하지 않은 경우 (is_success = true): '작업이 Axonius를 사용하여 다음 항목을 보강할 수 없었습니다.\n'.format(entity.identifier) 모두 보강하지 않은 경우 (is_success = false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 항목 테이블 | 항목 | |
케이스 월 테이블 (속성/데이터/데이터 목록에 값이 있는 경우) |
이름: {entity.identifier}: 메모 열:
|
일반 |
메모 추가
Axonius의 항목에 메모를 추가합니다. 지원되는 항목에는 호스트 이름, IP 주소, Mac 주소, 사용자, 이메일 주소 (이메일 정규 표현식과 일치하는 사용자 항목)가 포함됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 참고 | 문자열 | 해당 사항 없음 | 예 | 추가해야 하는 메모를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- Mac 주소
- 사용자
- 이메일 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"data": {
"attributes": {
"accurate_for_datetime": "2021-03-21T15:55:10.876568+00:00",
"note": "example",
"user_id": "",
"user_name": "internal/apiNAME",
"uuid": ""
},
"type": "notes_details_schema"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형(항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상 성공한 경우(is_success = true): 'Axonius: {0}의 다음 항목에 메모를 추가했습니다.'.format(entities) 하나 이상 실패한 경우(is_success = true): '작업이 Axonius: {0}의 다음 항목에 메모를 추가할 수 없습니다.'.format(entities) 모두 실패한 경우 (is_success = false): '제공된 항목에 메모가 추가되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''메모 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
태그 추가
Axonius의 항목에 태그를 추가합니다. 지원되는 항목: 호스트 이름, IP, Mac 주소, 사용자, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태그 | CSV | 예 | 엔티티에 추가해야 하는 태그를 쉼표로 구분된 목록으로 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- Mac 주소
- 사용자
- 이메일 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형(항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상 성공한 경우(is_success = true): 'Axonius: {0}의 다음 항목에 태그를 추가했습니다.'.format(entities) 하나 이상 실패한 경우(is_success = true): '작업이 Axonius: {0}의 다음 항목에 태그를 추가할 수 없습니다.'.format(entities) 모두 실패한 경우 (is_success = false): '제공된 항목에 태그가 추가되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''태그 추가' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
태그 삭제
Axonius에서 엔티티의 태그를 삭제합니다. 지원되는 항목: 호스트 이름, IP, Mac 주소, 사용자, 이메일 주소 (이메일 정규식과 일치하는 사용자 항목)
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 태그 | CSV | 예 | 엔티티에서 삭제해야 하는 태그의 쉼표로 구분된 목록을 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
- Mac 주소
- 사용자
- 이메일 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형(항목 \ 일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상 성공한 경우(is_success = true): 'Axonius: {0}에서 다음 항목의 태그를 삭제했습니다.'.format(entities) 하나 이상 실패한 경우(is_success = true): '작업이 Axonius: {0}의 다음 항목에서 태그를 삭제할 수 없습니다.'.format(entities) 모두 실패한 경우 (is_success = false): '제공된 항목에서 태그가 삭제되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''태그 삭제' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.