ExtraHop
統合バージョン: 2.0
Chronicle SOAR で ExtraHop 統合を構成する
Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | ○ | ExtraHop インスタンスの API ルート。 | |
| クライアント ID | 文字列 | なし | ○ | ExtraHop インスタンスのクライアント ID。 |
| クライアント シークレット | パスワード | なし | ○ | ExtraHop インスタンスのクライアント シークレット。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、ExtraHop サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
プロダクトのユースケース
アラートの取り込み
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで提供されているパラメータを使用して、ExtraHop への接続をテストします。
パラメータ
なし
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 成功した場合: 「指定された接続パラメータで ExtraHop サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「ExtraHop サーバーに接続できませんでした。エラー: {0}」.format(exception.stacktrace) |
一般 |
コネクタ
ExtraHop - 検出コネクタ
説明
ExtraHop からの検出に関する情報を pull します。
ExtraHop を構成する - Chronicle SOAR の検出コネクタ
Chronicle SOAR でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | プロダクト フィールド名を取得するために、ソース フィールド名を入力します。 |
| イベント フィールド名 | 文字列 | type | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が格納されるフィールドの名前を記述します。 環境フィールドが見つからない場合、その環境はデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | ○ | 現在のスクリプトを実行する Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance}.api.cloud.extrahop.com | ○ | ExtraHop インスタンスの API ルート。 |
| クライアント ID | 文字列 | なし | ○ | ExtraHop インスタンスのクライアント ID。 |
| クライアント シークレット | パスワード | なし | ○ | ExtraHop インスタンスのクライアント シークレット。 |
| 取得する最小のリスクスコア | 整数 | なし | いいえ | 検出の取得に使用する必要がある最小のリスクスコア。最大: 100。何も指定されない場合、コネクタはすべてのリスクスコアを含む検出を取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点から検出を取得するかの時間数。 |
| 取得する最大検出数 | 整数 | 100 | いいえ | 1 回のコネクタのイテレーションで処理する検出の数。デフォルト: 100。 |
| ホワイトリストをブラックリストとして使用する | チェックボックス | オフ | ○ | 有効にすると、ホワイトリストがブラックリストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、ExtraHop サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバー アドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| Proxy Password | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。