ForeScout CounterACT
統合バージョン: 2.0
ユースケース
拡充アクションを実行します。
Chronicle SOAR で ForeScout CounterACT 統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| API ルート | 文字列 | https://<ip address> |
○ | ForeScout CounterACT API ルート |
| ユーザー名 | 文字列 | なし | ○ | ForeScout CounterACT API のユーザー名。 |
| パスワード | パスワード | なし | ○ | ForeScout CounterACT API のパスワード。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 エンコードされた CA 証明書ファイル。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効になっている場合は、Armis サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで提供されるパラメータを使用して、ForeScout CounterACT への接続性をテストします。
パラメータ
なし
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 アクションが失敗し、ハンドブックの実行が停止します: |
一般 |
エンティティの拡充
説明
ForeScout CounterACT の情報を使用してエンティティを拡充します。サポートされるエンティティ: IP、MAC アドレス。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、アクションによって拡充情報を含むインサイトが作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- MAC アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"ip": "172.30.202.30",
"mac": "005056a2196c",
"fields": {
"channel": {
"timestamp": 1623834301,
"value": "eth1.-1"
},
"nmap_banner7": [
{
"timestamp": 1623834430,
"value": "80/tcp Apache httpd 2.4.6 (CentOS)"
},
{
"timestamp": 1623834430,
"value": "22/tcp OpenSSH 7.4 protocol 2.0"
}
],
"onsite": {
"timestamp": 1623834301,
"value": "true"
},
"classification_source_os": {
"timestamp": 1623838175,
"value": "engine"
},
"linux_manage": {
"timestamp": 1623838175,
"value": "false"
},
"access_ip": {
"timestamp": 1623838175,
"value": "172.30.202.30"
},
"classification_source_vendor": {
"timestamp": 1623838175,
"value": "engine"
},
"mac_vendor_string": {
"timestamp": 1623834302,
"value": "VMWARE, INC."
},
"openports": [
{
"timestamp": 1623834384,
"value": "22/TCP"
},
{
"timestamp": 1623834397,
"value": "161/UDP"
},
{
"timestamp": 1623834384,
"value": "80/TCP"
}
]
},
"id": 2887698974
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ip | JSON で使用できる場合 |
| mac | JSON で使用できる場合 |
| オンサイト | JSON で使用できる場合 |
| guest_corporate_state | JSON で使用できる場合 |
| Fingerprint | JSON で使用できる場合 |
| vendor | JSON で使用できる場合 |
| 分類 | JSON で使用できる場合 |
| agent_version | JSON で使用できる場合 |
| オンライン | JSON で使用できる場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 一部が拡充されなかった場合(is_success = true): 「アクションで ForeScout CounterACT を使用して次のエンティティを拡充できませんでした:\n".format(entity.identifier) すべて拡充されなかった場合(is_success = false): 「拡充されたエンティティはありません」 アクションが失敗し、ハンドブックの実行が停止します: |
一般 |
| エンティティ テーブル | 拡充テーブルと同じ列ですが、接頭辞はありません。 | エンティティ |